Stručnjaci savjetuju da se odmah provjeri jesu li računala ažurirana i je li instalirana najnovija verzija BIOS/UEFI softvera
Stručnjaci za sigurnost iz ESET-a nedavno su uočili novu varijantu zlonamjernog programa nazvanu HybridPetya, koja predstavlja vrlo ozbiljan rizik za računala širom svijeta.
Riječ je o naprednom zlonamjernom softveru koji preuzima osobine ranijih ransomwarea Petya i NotPetya (koji se povezuju s ruskim hakerskim grupama), ali ide i dalje — napada sam firmware računala, odnosno UEFI (Unified Extensible Firmware Interface). UEFI se pokreće prije operativnog sustava i odgovoran je za inicijalizaciju hardvera i dizanje sustava. Ako se kompromitira taj sloj, napadač dobiva gotovo potpunu kontrolu nad uređajem, a čišćenje takve infekcije iznimno je teško.
Posebno je zabrinjavajuće to što HybridPetya zaobilazi mehanizam Secure Boot, čija je zadaća spriječiti učitavanje zlonamjernog koda prilikom pokretanja računala. Istraživači su utvrdili da se napad oslanja na ranjivost označenu kao CVE-2024-7344, koja omogućava da operativni sustav prihvati zlonamjerni kod kao legitimnog. Ako uređaji nisu ažurirani i nemaju primijenjene sigurnosne zakrpe, takav napad može kompromitirati čitavu računalnu mrežu već u ranoj fazi bootanja.
Gubitak pristupa podacima
Nakon što se zlonamjerni program HybridPetya jednom instalira na računalo, njegovo djelovanje razlikuje se od uobičajenih ransomware napada koji šifriraju svaku datoteku zasebno. Umjesto toga, on cilja glavnu tablicu datoteka (Master File Table), zbog čega operativni sustav više ne može pronaći nijednu datoteku na disku. Rezultat je trenutan gubitak pristupa svim podacima, bez obzira na njihov broj ili veličinu. Na ekranu se zatim pojavljuje obavijest s traženjem otkupnine i detaljima o načinu plaćanja. Ipak, zasad nema potvrde da napadači doista posjeduju ključ kojim bi se podaci mogli otključati, što upućuje na mogućnost da se ne radi o klasičnom ransomwareu s ciljem zarade, već o čistoj destruktivnoj sabotaži.
Poseban problem predstavlja činjenica da HybridPetya može opstati i nakon ponovne instalacije operativnog sustava. Budući da prodire u UEFI, ne uklanja se običnim formatiranjem diska niti ponovnim postavljanjem Windowsa, već ostaje aktivan i nakon potpunog reinstaliranja sustava. Osim toga, većina antivirusnih rješenja ne provjerava UEFI zonu, pa ga je vrlo teško uočiti.
Stručnjaci preporučuju korisnicima i administratorima da provjere jesu li njihova računala redovito ažurirana i imaju li najnoviju verziju BIOS/UEFI softvera. Također, naglašavaju važnost uključivanja Secure Boot opcije i dosljednog instaliranja sigurnosnih zakrpa koje uklanjaju poznate ranjivosti. Preporučuje se i redovito izrađivanje sigurnosnih kopija svih važnih podataka, bilo na vanjske diskove ili u pouzdane oblačne servise, kako bi se eventualni gubitci sveli na minimum. Pojava HybridPetye jasno pokazuje da su kibernetičke prijetnje sve dublje i složenije, te da zaštita više ne smije ovisiti samo o antivirusima, već o sustavnom održavanju cijelog računalnog sustava, prenosi Danas.hr.
