Novo Ransomware HybridPetya

O  HybridPetya é o mais recente nome que preocupa especialistas em segurança digital. Ele combina técnicas do Petya e do NotPetya, famosos por causar danos milionários no passado, mas agora traz uma inovação ainda mais perigosa: a capacidade de burlar o Secure Boot em sistemas modernos, explorando a falha CVE-2024-7344.

Neste artigo, você entenderá como este novo ransomware HybridPetya funciona, quais são os riscos para usuários e empresas e, principalmente, como se proteger dessa ameaça crescente.

O que é o HybridPetya?

O novo ransomware HybridPetya pode ser definido como uma nova versão de ransomware combinada com bootkit. Dessa forma, ele atua em sistemas UEFI, comprometendo a partição de inicialização EFI.

Além disso, o malware apresenta uma habilidade única: ele é capaz de burlar o Secure Boot, algo que até então era considerado uma barreira confiável. Por essa razão, seu impacto potencial é elevado.

Infográfico em português explicando como o ransomware HybridPetya se propaga, desde a execução inicial até a exibição da tela de resgate.

Como funciona o HybridPetya

O HybridPetya atua em quatro etapas principais. Cada fase ocorre de forma rápida e silenciosa, o que torna o ataque devastador. Veja como:

Instalação do bootkit

Logo após ser executado, o malware verifica se o sistema usa UEFI. Em seguida, ele insere um aplicativo malicioso na partição EFI. Assim, o código é carregado antes mesmo do Windows iniciar. Dessa forma, o vírus se mantém oculto e praticamente impossível de remover com métodos tradicionais.

Bypass do Secure Boot

Normalmente, o Secure Boot impediria esse tipo de ataque. No entanto, o HybridPetya explora a falha CVE-2024-7344. Com isso, ele consegue ignorar a verificação de segurança. Logo, mesmo em máquinas atualizadas, o malware se infiltra. Portanto, o usuário acredita estar protegido, mas não está.

Criptografia da MFT

Na sequência, o ransomware parte para a criptografia. Diferente de outros, ele não atinge arquivo por arquivo. Em vez disso, ele bloqueia a Master File Table (MFT), que funciona como o índice de todos os arquivos do disco. Assim, sem acesso à MFT, o sistema não consegue localizar nada. Portanto, o computador inteiro fica paralisado.

Tela vermelha do ransomware Petya/NotPetya exibindo a mensagem de resgate e instruções de pagamento em Bitcoin.

Exibição do resgate

Depois do bloqueio, o computador reinicia. Em seguida, aparece uma tela de resgate no lugar do Windows. Ali, a vítima recebe instruções para pagar em criptomoedas. Dessa forma, o atacante promete liberar a chave de acesso. Entretanto, não há garantias de que o pagamento realmente devolva os arquivos.

Resultado final

Consequentemente, o sistema torna-se inutilizável. Sem backups externos, o usuário fica sem saída. Assim, o HybridPetya se destaca como uma das ameaças mais perigosas já vistas, unindo bootkit avançado e ransomware destrutivo em um único ataque.

Riscos do HybridPetya

Embora o HybridPetya ainda não tenha causado ataques em massa, os riscos já são evidentes. Isso porque, mesmo em estágio inicial, esse malware apresenta alto poder de destruição.

Em primeiro lugar, as empresas podem sofrer interrupções de serviços, perda de dados e prejuízos financeiros. Além disso, sistemas inteiros, ficam inacessíveis como bancos, hospitais e indústrias.

Por outro lado, usuários domésticos também enfrentam perigos. Documentos pessoais, fotos e registros importantes podem ser bloqueados em segundos. Dessa forma, ainda que não envolva grandes valores financeiros, o impacto emocional e a perda de lembranças tornam-se devastadores.

Além disso, especialistas em cibersegurança alertam que, caso o HybridPetya seja usado em escala global, o cenário pode repetir, ou até superar o NotPetya de 2017. Naquele ataque, empresas perderam bilhões. Logo, um surto atual poderia provocar consequências igualmente graves no mundo digital e econômico.

Consequentemente, a conclusão é clara: a ameaça não pode ser ignorada. Assim, empresas precisam investir em planos de contingência, usuários devem manter backups externos, e todos devem realizar atualizações constantes.

HybridPetya vs Petya e NotPetya

Para entender a gravidade do HybridPetya, é essencial compará-lo com seus antecessores diretos: Petya e NotPetya. Afinal, cada versão trouxe evoluções técnicas que, gradualmente, transformaram esse tipo de ransomware em uma ameaça global.

Petya (2016): o início

Primeiramente, o Petya original, descoberto em 2016, já se destacava por sua abordagem diferente. Em vez de criptografar arquivos individualmente, ele atacava diretamente o Master Boot Record (MBR) e a Master File Table (MFT). Assim, o sistema inteiro tornava-se inacessível de forma muito mais rápida do que os ransomwares tradicionais.

Entretanto, apesar de inovador, o Petya possuía algumas limitações. Por exemplo, sua disseminação dependia de engenharia social, geralmente via anexos maliciosos em e-mails. Portanto, seu alcance inicial foi limitado, embora já demonstrasse o enorme potencial dessa família de ameaças.

NotPetya (2017): o desastre global

Posteriormente, em 2017, surgiu o NotPetya, considerado uma das maiores catástrofes cibernéticas da história. Diferente do Petya original, ele não tinha como objetivo apenas o lucro. Na verdade, sua função era causar destruição em larga escala.

Além disso, o NotPetya utilizava técnicas de worm, o que permitia sua propagação automática dentro de redes corporativas. Para isso, explorava a vulnerabilidade EternalBlue no protocolo SMB, falha que havia sido usada também pelo WannaCry. Dessa forma, ele se espalhava de máquina em máquina sem necessidade de interação do usuário.

Consequentemente, os danos foram bilionários. Empresas como Maersk, Merck e FedEx registraram prejuízos gigantescos. E, mesmo com o pagamento do resgate, os arquivos permaneciam inacessíveis, já que o malware não oferecia um mecanismo de recuperação funcional.

HybridPetya (2024): a nova geração

Por fim, surge o HibridPetya, que combina o pior dos dois mundos. Em primeiro lugar, ele mantém a tática de atacar a MFT, com o Petya original, garantindo bloqueio total do sistema. Em seguida, ele incorpora avanços que lembram a agressividade do NotPetya, porém com novas armas.

Como se proteger do HybridPetya?

Embora o cenário pareça assustador, existem medidas práticas que podem reduzir os riscos. Assim, seguem algumas recomendações:

1. Atualizar firmware/UEFI – Antes de tudo, instale as correções liberadas pelos fabricantes.

2. Ativar o Secure Boot – Além disso, verifique se a funçao está devidamente configurada.

3. Manter backups offline – Consequentemente, mesmo que o sistema seja comprometido, os arquivos poderão ser restaurados.

4. Utilizar ferramentas de segurança avançadas – Assim, é possível detectar bootkits e malwares persistentes.

5. Treinar usuários e colaboradores – Logo, a chance de infecção por phishing diminui.

6. Implementar plano de resposta a incidentes – Dessa forma, empresas conseguem reagir rapidamente a qualquer suspeita.

FAQ – Perguntas Frequentes

O novo ransomware HybridPetya já atingiu o Brasil?

Até o momento, não há confirmação de casos em larga escala. Entretanto, a ameaça é global.

Pagar o resgate garante a recuperação?

Na prática, não. Isso porque criminosos podem simplesmente não enviar a chave de decriptação.

Já existe ferramenta gratuita de recuperação?

Ainda não. Portanto, a prevenção é a melhor estratégia.

O Secure Boot ativado me protege totalmente?

Infelizmente, não. Afinal, se o firmware estiver desatualizado, ainda haverá risco de exploração.

Conclusão

O novo ransomware HybridPetya é um alerta vermelho para usuários e empresas. Apesar de não estar circulando em massa, suas técnicas avançadas mostram o rumo que os ransomwares estão tomando: ataques cada vez mais sofisticados e difíceis de barrar.

A melhor defesa é a prevenção: mantenha firmware atualizado, pratique boas políticas de backup e adote soluções de cibersegurança robustas. Ignorar essa ameaça pode custar caro.

Ricardo Delallíbera

Ricardo Delalíbera é um profissional apaixonado por tecnologia, com vasta experiência em desenvolvimento web, hospedagem de sites, e-commerce e soluções digitais. Fundador da Kurumin Brasil, Ricardo dedica-se a criar conteúdos relevantes e acessíveis, ajudando pessoas e empresas a alcançarem seus objetivos online.