Die Malware-Forscher des IT-Sicherheitsherstellers ESET haben eine neue Ransomware entdeckt und analysiert, die den Startschutz von Windows-Rechnern umgehen kann. „HybridPetya“ kann moderne PCs mit UEFI befallen und dabei das sogenannte Secure Boot von Windows aushebeln. Dies ist eine Sicherheitsfunktion, die eigentlich verhindern soll, dass nicht vertrauenswürdige Software beim Systemstart ausgeführt wird. Dadurch schützt diese Funktion vor Bedrohungen wie Rootkits und Malware, die vor dem eigentlichen Laden des Betriebssystems aktiv werden könnten.
HybridPetya könnte das mangelhafte Updateverhalten vieler Anwender ausnutzen: Wer eine bekannte Sicherheitslücke im Secure Boot mit dem seit Anfang 2025 bereitgestellten Patch nicht geschlossen hat, ist höchst gefährdet. Auch Nutzer mit älterer Hardware, fehlenden Firmware-Updates oder nicht eingespielten Secure-Boot-Sperrlisten tragen ein erhöhtes Risiko.
„Der Fund zeigt, wie schnell neue Ransomware alte Ideen mit moderner Technik verbindet“, sagt ESET-Forscher Martin Smolár. „Auch wenn wir bislang keine Fälle im Umlauf sehen, sollten Unternehmen jetzt prüfen, ob ihre Geräte auf dem neuesten Stand sind.“ HybridPetya wurde zunächst als Probe auf der Analyseplattform VirusTotal gefunden. Hinweise auf einen aktiven Einsatz gibt es derzeit nicht.
Was ist besonders daran?
HybridPetya zielt sehr früh im Startvorgang des Computers auf die Festplatte. Die Ransomware verschlüsselt das Master File Table (MFT), eine zentrale Tabelle, die Informationen über alle Dateien enthält. Dadurch wirken Daten zwar noch vorhanden, sind aber unlesbar. Anders als bei „NotPetya“ ist eine Entschlüsselung grundsätzlich möglich. Damit ist der Verschlüsselungstrojaner als „klassische“ Erpressersoftware funktionsfähig und nicht nur rein zerstörerisch.
Besonders brisant ist die Fähigkeit, eine bösartige EFI-Anwendung auf die EFI-Systempartition zu bringen. Eine EFI-Anwendung ist ein kleines Programm, das der Computer noch vor dem Start des Betriebssystems ausführt. Secure Boot erlaubt eigentlich nur EFI-Anwendungen, deren Signatur als vertrauenswürdig hinterlegt ist. Angreifer versuchen manchmal, eine eigene EFI-Anwendung auf die Systempartition zu schreiben oder eine bestehende zu ersetzen, um schon vor Windows die Kontrolle zu übernehmen. Deshalb sind Firmware- und Secure-Boot-Updates sowie aktiviertes Secure Boot zentrale Schutzmaßnahmen.
In mindestens einer Variante nutzt HybridPetya die Schwachstelle CVE-2024-7344, um UEFI Secure Boot auf nicht aktualisierten Systemen zu umgehen. Diese Variante bedient sich einer speziell formatierten Datei namens cloak.dat. Systeme, die Microsofts Aktualisierung der Secure-Boot-Sperrliste aus Januar 2025 erhalten haben, sind gegen genau diesen Bypass geschützt.
So schützt man sich
- Updates einspielen. Windows, Treiber und vor allem Firmware aktualisieren.
- Secure-Boot-Schutz prüfen. Das dbx-Update von Januar 2025 von Microsoft installieren und den Status kontrollieren.
- Sicherheitssoftware aktuell halten. Frühwarnfunktionen aktivieren.
- Regelmäßige Backups nach dem 3-2-1-Prinzip erstellen (3 Kopien auf 2 verschiedenen Speicherarten und 1 Kopie an einem anderen Ort) und die Wiederherstellung testen.
- Rechte beschränken. Administrator-Konten absichern und nur einsetzen, wenn nötig.
ESET hat weitere technischen Details auf dem eigenen Security-Blog www.welivesecurity.de veröffentlicht.