HybridPetya: o ransomware que ataca o PC antes de o Windows arrancar

A segurança informática continua a ser um dos maiores desafios da era digital, e os cibercriminosos não param de encontrar novas formas de ultrapassar as defesas dos sistemas. A mais recente ameaça é o HybridPetya, um ransomware inovador que consegue atacar o computador antes mesmo do Windows iniciar.

Explorando uma vulnerabilidade grave no UEFI (Interface Unificada de Firmware Extensível) — o mecanismo responsável pelo arranque seguro do sistema — este malware representa um novo nível de sofisticação, capaz de comprometer o PC a um ponto tão profundo que, até há poucos anos, seria considerado impossível.

Embora, por enquanto, o HybridPetya seja apenas uma prova de conceito, a sua descoberta serve como um alerta para utilizadores e empresas: as camadas mais protegidas do sistema já não são inatingíveis, e a atualização constante de software e firmware é mais crítica do que nunca.

Descoberta do HybridPetya

A descoberta foi feita por investigadores da ESET, que encontraram amostras do código malicioso em fevereiro, no repositório de malware VirusTotal. O nome HybridPetya foi atribuído devido às semelhanças com os famosos vírus Petya e NotPetya, conhecidos por bloquear o funcionamento do computador e exigir um resgate para a recuperação dos dados.

Como funciona este ransomware

Embora não esteja a circular de forma ativa, o HybridPetya é uma prova de conceito (proof of concept), demonstrando como a falha pode ser explorada. Tal como os seus antecessores, este ransomware visa impedir o acesso ao sistema, mas utiliza uma abordagem diferente:

Em vez de encriptar o Master Boot Record (MBR), o HybridPetya bloqueia a Master File Table (MFT) — a estrutura que guarda os metadados dos ficheiros em discos com formato NTFS.
Para conseguir esta operação, o malware instala um aplicativo EFI malicioso na partição do sistema, fingindo ser uma verificação CHKDSK. Durante este processo, os ficheiros são encriptados com o algoritmo Salsa20.
Após a encriptação, surge um pedido de resgate de cerca de 1.000 dólares em Bitcoin, alegadamente para obter a chave de desencriptação.

Vulnerabilidade e correções

A vulnerabilidade explorada, identificada como CVE-2024-7344, foi descoberta e divulgada pela ESET ainda este ano. A Microsoft já lançou atualizações de segurança para corrigir o problema, pelo que é fundamental que os utilizadores mantenham o Windows e o firmware UEFI sempre atualizados.
Apesar de, até agora, o HybridPetya não ter sido detetado em ataques reais, os investigadores alertam para o risco de cibercriminosos tentarem reproduzir esta técnica no futuro.

Antecedentes perigosos

O HybridPetya não é o primeiro malware a atacar a fase de arranque do sistema. Em 2023, o BlackLotus inaugurou esta categoria de ameaças, seguido do BootKitty e do Hyper-V Backdoor PoC, também documentados pela ESET. Estes casos demonstram que as vulnerabilidades no UEFI são um alvo cada vez mais apetecível para cibercriminosos.

Como se proteger

Para reduzir o risco de infeção, recomenda-se:

Atualizar imediatamente o Windows e aplicar todas as correções de segurança disponibilizadas pela Microsoft.
Verificar se o firmware UEFI/BIOS do equipamento está na versão mais recente.
Utilizar soluções antivírus e antimalware confiáveis, que incluam proteção contra ameaças ao arranque.
Fazer backups regulares dos ficheiros importantes, de preferência em locais offline ou na cloud.

Conclusão
O HybridPetya é um alerta para a evolução das ameaças digitais. Embora, por agora, seja apenas um protótipo, demonstra que os atacantes estão cada vez mais focados em explorar vulnerabilidades profundas do sistema, exigindo dos utilizadores e das empresas uma postura proativa de segurança. Manter o sistema operativo, firmware e softwares de proteção sempre atualizados é a melhor defesa contra este tipo de ataques.