Investigadores de ESET anunciaron el hallazgo de HybridPetya, un nuevo ransomware que combina rasgos de los históricos Petya y NotPetya, pero con un giro peligroso: la capacidad de evadir el mecanismo de seguridad conocido como “UEFI Secure Boot” en computadoras con sistemas desactualizados. Esta característica le permite instalarse en la partición de arranque y bloquear el inicio del sistema operativo, dejando a las víctimas sin acceso a sus equipos. Por el momento no se detectaron campañas activas de propagación masiva.
El malware fue identificado a partir de muestras subidas a VirusTotal en 2025. Al igual que Petya y NotPetya, HybridPetya cifra partes críticas del disco y despliega una nota de rescate. La diferencia es que, mientras NotPetya se utilizaba como un “wiper” diseñado para destruir datos, esta nueva variante ofrece en algunos casos la posibilidad de recuperar archivos si se paga el rescate, comportándose más como un ransomware tradicional.
Lo más preocupante es que una de sus variantes aprovecha la vulnerabilidad CVE-2024-7344, lo que le permite instalar un bootkit malicioso en la partición EFI y ejecutarse antes que el sistema operativo. De este modo, el atacante consigue un control total del arranque y puede imponer su código incluso en equipos que, en teoría, deberían estar protegidos por el arranque seguro.
El recuerdo de Petya y NotPetya sigue latente: entre 2016 y 2017, ambos causaron pérdidas multi millonarias y afectaron a empresas y servicios públicos en todo el mundo. HybridPetya no alcanza todavía esa magnitud, pero debido a sus capacidades técnicas, debe ser tenido en cuenta para futuros monitoreos de amenazas.
Casos como HybridPetya, BlackLotus, BootKitty y la Prueba de Concepto (PoC) dirigida a Hyper-V demustran que la evasión de UEFI Secure Boot no es una mera hipótesis: es una amenaza técnica real cuya incidencia aumenta.
Fuente
Ciberprisma - alianza por la ciberseguridad 