- Les chercheurs d’ESET ont identifié sur VirusTotal de nouveaux échantillons de ransomware baptisés HybridPetya, dérivés de l'architecture Petya/NotPetya.
- HybridPetya chiffre la Master File Table (MFT) NTFS, compromettant l'accès aux métadonnées sensibles de l'ensemble des fichiers de la partition.
- Ce malware est capable d’infecter les systèmes UEFI modernes, en déployant une application EFI malveillante sur la partition système.
- Une variante d’HybridPetya exploite la faille CVE-2024-7344, via un fichier cloak.dat spécialement conçu, pour contourner le démarrage sécurisé sur des machines vulnérables.
- À ce jour, aucune activité malveillante d’HybridPetya n’a été détectée, selon la télémétrie d’ESET.
Les chercheurs d’ESET ont identifié un échantillon de malware sur la plateforme VirusTotal, téléchargé depuis la Pologne. Ce logiciel malveillant, baptisé HybridPetya, reprend les caractéristiques du tristement célèbre Petya/NotPetya, tout en intégrant des capacités avancées et inédites : compromission de systèmes UEFI et exploitation de la vulnérabilité CVE-2024-7344 pour contourner le démarrage sécurisé sur des machines obsolètes.
« Fin juillet 2025, nous avons détecté plusieurs fichiers suspects, dont notpetyanew.exe, évoquant clairement une filiation avec le malware destructeur qui avait frappé l’Ukraine et d’autres pays en 2017. Cette attaque, connue sous le nom de NotPetya, reste l’une des plus dévastatrices de l’histoire, avec des pertes estimées à plus de 10 milliards de dollars. En raison des similitudes techniques observées, nous avons nommé cette nouvelle variante HybridPetya », explique Martin Smolár, chercheur chez ESET qui a fait la découverte.
Contrairement à NotPetya, HybridPetya utilise un algorithme permettant à l’attaquant de reconstituer la clé de déchiffrement à partir de la clé d’installation personnelle de la victime, ce qui en fait un ransomware pleinement fonctionnel, à l’image du Petya original. Le malware intègre également une capacité de compromission des systèmes UEFI modernes via l'installation d'une application EFI malveillante sur la partition système. Cette application chiffre ensuite le fichier MFT (Master File Table), essentiel au fonctionnement des partitions NTFS.
« En poursuivant nos investigations sur VirusTotal, nous avons découvert une archive contenant l’intégralité d’une partition système EFI. Celle-ci incluait une version similaire de l’application UEFI HybridPetya, encapsulée dans un fichier cloak.dat spécialement formaté pour exploiter la CVE-2024-7344 ; une vulnérabilité que nous avons révélée début 2025 », ajoute M. Smolár. « Bien que nos publications de janvier aient volontairement omis les détails techniques de l’exploitation, il semble que l’auteur du malware ait réussi à reconstruire le format du fichier vulnérable via rétro-ingénierie. »
À ce jour, la télémétrie d’ESET ne montre aucune activité malveillante de HybridPetya dans un environnement réel. Il pourrait s’agir d’un prototype développé à des fins de recherche ou par un acteur malveillant encore inconnu. Par ailleurs, cette variante ne présente pas les capacités de propagation réseau agressive observées dans NotPetya.
Pour une analyse technique approfondie, consultez l’article complet d’ESET Research Présentation d'HybridPetya : copie de Petya/NotPetya avec contournement de démarrage sécurisé UEFI sur WeLiveSecurity.com.
Vue d'ensemble des étapes d'exécution d'HybridPetya.
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/na
et suivez-nous sur LinkedIn, Facebook et Instagram.