HybridPetya: Ransomware knackt Windows Secure Boot

Eine neue Ransomware-Variante namens „HybridPetya“ kann die grundlegende Windows Secure Boot-Sicherung umgehen – ein Durchbruch, der Cybersecurity-Experten alarmiert. Die Schadsoftware nutzt eine bereits gepatchte Schwachstelle, um tief ins System einzudringen und kritische Dateien zu verschlüsseln.

ESET entdeckte erste Proben der Malware bereits im Februar auf der Analyse-Plattform VirusTotal. Ursprünglich aus Polen hochgeladen, zeigt HybridPetya beunruhigende Parallelen zu den berüchtigten Vorgängern Petya und NotPetya – mit einem entscheidenden Unterschied: Sie kann moderne UEFI-Systeme kompromittieren.

Noch wurde die Ransomware nicht bei aktiven Angriffen beobachtet. Doch ihre ausgeklügelte Technik gilt als deutliche Warnung vor einer neuen Generation von Bootkit-basierten Bedrohungen.

Zerstörerisches Erbe mit modernem Anstrich

Der Name HybridPetya ist Programm: Die Malware kombiniert Eigenschaften der ursprünglichen Petya-Ransomware von 2016 mit dem verheerenden NotPetya-Angriff von 2017, der Schäden von rund 8,5 Milliarden Euro verursachte.

Wie ihre Namensgeber zielt HybridPetya auf die Master File Table (MFT) ab – eine zentrale Datenbank auf NTFS-Partitionen, die alle Dateien und Verzeichnisse katalogisiert. Durch Verschlüsselung der MFT mit dem Salsa20-Algorithmus wird die gesamte Festplatte unlesbar. Eine gefälschte CHKDSK-Meldung soll die bösartige Aktivität verschleiern.

Entscheidender Unterschied zum rein destruktiven NotPetya: HybridPetya funktioniert als echte Ransomware. Der Algorithmus erlaubt es Angreifern, den Entschlüsselungskey aus dem persönlichen Installationsschlüssel des Opfers zu rekonstruieren. Daher könnten Betroffene ihre Daten theoretisch nach Lösegeldzahlung zurückerhalten. Die analysierte Variante forderte 850 Euro in Bitcoin.

Secure Boot ausgetrickst

Das alarmierendste Feature: HybridPetya umgeht UEFI Secure Boot, eine Sicherheitsstandard, der nur vertrauenswürdige Software beim Systemstart zulässt. Die Ransomware nutzt die Schwachstelle CVE-2024-7344 in einer signierten Microsoft EFI-Datei (reloader.efi).

Der Trick: Die anfällige Datei wird dazu gebracht, eine nicht signierte, bösartige Datei namens cloak.dat zu laden. Dadurch werden Integritätsprüfungen umgangen und die Malware kann mit höchsten Rechten ausgeführt werden – noch bevor das Betriebssystem startet.

Der Angriffsablauf ist perfide: Der Installer ersetzt den legitimen Windows-Bootloader durch die anfällige Version. Anschließend löst die Malware absichtlich einen Systemabsturz aus, der einen Neustart erzwingt. Beim Hochfahren startet der kompromittierte Bootloader das HybridPetya-Bootkit und beginnt die MFT-Verschlüsselung.

Anzeige: Übrigens: Wenn Windows nach einem Malware- oder Boot?Problem nicht mehr startet, hilft ein vorbereiteter USB?Startstick. Festplatte kaputt oder Windows streikt? Ein kostenloser Report erklärt Schritt für Schritt, wie Sie einen Windows?11?Boot?Stick erstellen und ihn für Reparatur, Neuinstallation und Datenrettung richtig einsetzen – ideal auch für Einsteiger. Gratis?Anleitung zum Windows?11?Boot?Stick sichern

Besorgniserregender Trend

HybridPetya reiht sich in eine wachsende Liste von UEFI-Bootkits ein, die Secure Boot aushebeln können. Neben BlackLotus, BootKitty und einem Hyper-V-Backdoor-Konzept ist es das vierte bekannte Beispiel dieser Art.

„Obwohl sich HybridPetya nicht aktiv verbreitet, machen seine technischen Fähigkeiten – besonders MFT-Verschlüsselung, UEFI-Kompatibilität und Secure Boot-Umgehung – es bemerkenswert für zukünftige Bedrohungsüberwachung,“ erklärte ESET-Forscher Martin Smolár.

Besonders beunruhigend: Der Malware-Autor hat die Schwachstelle offenbar aus begrenzten öffentlichen Informationen nachentwickelt – ein Zeichen für hohes technisches Niveau.

Schutz bereits verfügbar

Einen direkten Schutz gibt es bereits: Microsoft schloss die Schwachstelle CVE-2024-7344 im Januar 2025 mit den Patch Tuesday-Updates. Systeme mit aktuellen Sicherheitsupdates sind vor dieser speziellen Angriffsmethode geschützt.

HybridPetya scheint derzeit ein Machbarkeitsbeweis zu sein statt ein Werkzeug für massenhafte Angriffe. Anders als NotPetya fehlen aggressive Netzwerk-Verbreitungsfunktionen. Die Gefahr liegt jedoch im Potenzial: Andere Cyberkriminelle könnten die Secure Boot-Umgehung in breitere Attacken integrieren.

Anzeige: Passend zum Thema Absicherung: Ein Boot?Stick macht Sie unabhängig vom installierten System – ein Stick, alle PCs. Der kostenlose Ratgeber zeigt, welche Dateien Sie brauchen, welche Fehler Sie vermeiden sollten und wie Sie Windows 11 überall starten. So sind Sie im Ernstfall in Minuten wieder handlungsfähig. Jetzt kostenlosen Boot?Stick?Guide anfordern

Die bewährte Empfehlung bleibt: Regelmäßige Offline-Backups kritischer Daten ermöglichen die Wiederherstellung ohne Lösegeldzahlung.