Новое вредоносное ПО HybridPetya демонстрирует способность обходить один из ключевых механизмов защиты современных компьютеров — UEFI Secure Boot. Это открывает злоумышленникам прямой путь к установке вредоносного кода непосредственно в системный раздел EFI, делая его практически неуязвимым для традиционных методов обнаружения.
На рынке считают, что HybridPetya — потомок Petya/NotPetya, вредоносного ПО, которое в 2016-2017 годах нанесло колоссальный ущерб по всему миру. Новая версия, по мнению экспертов, использует более изощрённые методы проникновения.
«Вирусы, которые научились обходить Secure Boot, не являются абсолютной новинкой. Мы наблюдали подобные атаки, например, с буткитом BlackLotus в 2022-2023 годах. Опасность таких угроз заключается в двух ключевых моментах: во-первых, они загружаются на самой ранней стадии, ещё до старта операционной системы, что делает их практически невидимыми для традиционных средств защиты, таких как EDR. Во-вторых, они глубоко интегрируются в систему и удалить их без перепрошивки BIOS невозможно — простая переустановка ОС здесь бессильна», — отметил руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.
При этом HybridPetya эксплуатирует специфическую уязвимость в ОС Windows. Это даёт надежду на то, что своевременная установка обновлений от Microsoft может стать эффективной мерой профилактики.
Ранее «Телеспутник» писал, что использование решений от разных вендоров вызывает сложности у ИБ-специалистов. Основные проблемы: усложнение технологического стека, перерасход бюджета и трудности автоматизации.
