Scoperto un nuovo attacco ransomware che agisce prima del sistema operativo: a rischio i PC non aggiornati
Gli esperti di sicurezza informatica hanno identificato una nuova minaccia in grado di aggirare i sistemi di protezione UEFI Secure Boot, cifrare i dati critici dei dischi e chiedere un riscatto in Bitcoin. Un salto tecnologico preoccupante che mette in allerta il settore.
Nel febbraio 2025, i ricercatori di ESET hanno individuato una nuova variante di malware altamente sofisticato capace di violare i meccanismi di protezione più avanzati finora ritenuti praticamente invulnerabili. Battezzato HybridPetya, il malware combina elementi di bootkit e ransomware, riuscendo a colpire i sistemi prima ancora dell’avvio del sistema operativo, bypassando le difese UEFI Secure Boot.
La scoperta è avvenuta in seguito all’analisi di campioni sospetti caricati su VirusTotal, piattaforma pubblica dove ricercatori e aziende condividono file potenzialmente pericolosi per analisi collaborative. La minaccia, descritta nei dettagli da Martin Smolár, analista specializzato di ESET, rappresenta un’evoluzione diretta dei malware Petya (2016) e NotPetya (2017), che a loro tempo causarono danni informatici globali per oltre 10 miliardi di dollari.
Un malware che agisce prima ancora di Windows: ecco come funziona
HybridPetya è in grado di scrivere un’applicazione malevola nella partizione di sistema EFI, modificando la sequenza di avvio di un computer e prendendo il controllo ancora prima che Windows o Linux vengano caricati. Questo avviene sfruttando una vulnerabilità catalogata come CVE‑2024‑7344, scoperta dagli stessi laboratori di ESET e resa pubblica nel corso dell’anno.
Il Secure Boot è un meccanismo di protezione integrato nel firmware UEFI dei moderni computer, progettato per impedire l’esecuzione di software non autorizzato durante l’avvio. In pratica, garantisce che solo il codice firmato digitalmente possa essere caricato. Tuttavia, HybridPetya riesce a eludere questo controllo, installando software malevolo in grado di eseguire azioni distruttive o estorsive.
Una volta installato, il malware carica la sua configurazione da un file posizionato in EFIMicrosoftBootconfig. Da lì verifica lo stato del sistema e determina se deve cifrare il disco, se è già stato cifrato, o se il riscatto è stato pagato.
Durante il processo di cifratura, HybridPetya mostra uno schermo simile a quello del comando CHKDSK di Windows, facendo credere alla vittima che il sistema stia semplicemente eseguendo una verifica standard degli errori del disco. In realtà, il malware sta cifrando la Master File Table (MFT) del file system NTFS, un file fondamentale che contiene le informazioni di tutti i dati presenti su disco.
Questa strategia di inganno non è nuova. Era già stata impiegata da NotPetya, ma la sua efficacia è tale da continuare a rappresentare un rischio anche nel 2025. Il fatto che molti utenti non riconoscano la differenza tra un controllo reale e un attacco informatico è ciò che rende ancora valide queste tattiche.
Un riscatto in Bitcoin e un algoritmo crittografico avanzato
Una volta completata la cifratura, il sistema mostra un messaggio che inizia con la frase: “Ooops, your important files are encrypted”, familiare per chi ha già avuto a che fare con ransomware come WannaCry o lo stesso Petya. La richiesta: 1.000 dollari in Bitcoin, da inviare a un portafoglio attualmente vuoto ma monitorato dagli analisti di ESET.
A differenza di NotPetya, progettato per distruggere i dati, HybridPetya è orientato al guadagno. Utilizza l’algoritmo Salsa20 per cifrare la MFT e conserva una chiave di installazione unica per ogni vittima, rendendo teoricamente possibile la decifratura in caso di pagamento. Inoltre, tiene traccia dei cluster già cifrati grazie a un file contatore, elemento tipico dei ransomware più avanzati.
Secondo ESET, non ci sono indicazioni di una diffusione attiva su larga scala. HybridPetya sarebbe, al momento, un proof-of-concept, forse sviluppato come test da parte di un gruppo sofisticato per future operazioni mirate. Tuttavia, le capacità tecniche del malware lo rendono una minaccia concreta per tutti i sistemi non aggiornati con le ultime patch Microsoft che disabilitano le firme vulnerabili.
Un ecosistema sempre più minacciato: bootkit anche per Linux
La scoperta di HybridPetya si inserisce in una tendenza crescente documentata dai ricercatori di tutto il mondo: il ritorno in auge dei bootkit, strumenti malevoli progettati per agire al livello più basso del sistema. Dopo il caso BlackLotus – primo bootkit commerciale capace di aggirare Secure Boot – e l’individuazione di Bootkitty, versione per sistemi Linux, il panorama delle minacce si è ulteriormente complicato.
La vulnerabilità del firmware rappresenta una superficie d’attacco privilegiata: è più difficile da analizzare, spesso esclusa dai controlli antivirus e con possibilità enormi di persistenza nel sistema anche dopo reinstallazioni o ripristini.
L’importanza degli aggiornamenti e della consapevolezza
Microsoft ha già aggiornato i suoi database dbx per bloccare le firme coinvolte nella vulnerabilità sfruttata da HybridPetya. Tuttavia, milioni di macchine nel mondo non ricevono regolarmente aggiornamenti UEFI, soprattutto nei contesti aziendali, scolastici o nei PC fuori produzione. Questo rende ancora possibile l’attacco in ambienti non protetti, con conseguenze potenzialmente gravi.
Il consiglio degli esperti è chiaro: aggiornare costantemente firmware, driver e sistema operativo, disattivare il boot da dispositivi esterni quando non necessario e utilizzare soluzioni di sicurezza con capacità di rilevamento UEFI.