Les chercheurs d’ESET Research ont mis au jour HybridPetya, une évolution technologique majeure dans la famille des ransomwares. Dérivé du tristement célèbre NotPetya, ce nouveau malware combine cryptographie avancée, exploitation firmware et contournement UEFI, plaçant la barre plus haut dans la sophistication des cyberattaques modernes.
Une architecture héritée de NotPetya mais repensée pour 2025
Téléversé sur la plateforme VirusTotal depuis la Pologne, HybridPetya reprend la structure du malware NotPetya, qui avait paralysé des entreprises en 2017 et causé plus de 10 milliards de dollars de pertes.
Cependant, là où NotPetya se comportait comme un wiper destructeur, HybridPetya réintroduit la logique économique du ransomware classique : il chiffre la Master File Table (MFT) et permet à l’attaquant de rétablir la clé de déchiffrement à partir d’une clé d’installation unique, prouvant un retour vers des attaques monétisables.
Un malware conçu pour s’ancrer dans le firmware UEFI
Ce qui distingue HybridPetya, c’est sa capacité à infecter la couche UEFI, le micrologiciel fondamental qui s’exécute avant le système d’exploitation.
Les chercheurs d’ESET ont découvert qu’il installe une application EFI malveillante sur la partition système, capable de chiffrer la MFT dès le démarrage. Ce mécanisme empêche tout accès au système d’exploitation, rendant les outils de récupération traditionnels inopérants.
Cette approche marque une évolution technologique majeure : le malware agit avant Windows ou Linux, et s’exécute directement dans l’environnement pré-boot, une zone jusqu’ici considérée comme inviolable.
Exploitation de la faille CVE-2024-7344 : le talon d’Achille du démarrage sécurisé
Une version d’HybridPetya exploite la vulnérabilité CVE-2024-7344 à travers un fichier cloak.dat spécialement conçu. Cette faille permet de désactiver le démarrage sécurisé UEFI, mécanisme censé empêcher l’exécution de code non signé.
Selon Martin Smolár, chercheur chez ESET, l’auteur du malware aurait reconstruit le format vulnérable via rétro-ingénierie, prouvant un niveau technique avancé et une compréhension fine des composants firmware.
Un prototype plus qu’une menace active
Malgré ses capacités inquiétantes, aucune activité malveillante réelle d’HybridPetya n’a été détectée. Les chercheurs estiment qu’il s’agit probablement d’un prototype expérimental ou d’une preuve de concept développée pour explorer les failles UEFI.
Contrairement à NotPetya, cette version n’intègre pas de mécanismes de propagation réseau, ce qui limite son impact immédiat.
Vers une nouvelle génération d’attaques firmware
HybridPetya illustre la montée en puissance des attaques ciblant le firmware et la chaîne d’amorçage. En compromettant le micrologiciel UEFI, les cybercriminels franchissent une nouvelle frontière : celle où le logiciel rencontre le matériel. Cette approche pourrait rendre inopérantes de nombreuses solutions de cybersécurité basées uniquement sur le système d’exploitation.
ESET met en garde les entreprises et les fabricants d’équipements : la sécurité UEFI doit désormais être intégrée au cœur des politiques de défense. Des mises à jour de firmware régulières, la signature numérique stricte et la vérification d’intégrité des composants sont devenues indispensables.
Une alerte pour l’écosystème technologique mondial
La découverte d’HybridPetya confirme une tendance : les cyberattaques se déplacent du logiciel vers le matériel, ciblant les couches les plus profondes des systèmes d’exploitation.
Cette mutation technologique du cybercrime impose aux acteurs de l’IT — constructeurs, éditeurs, intégrateurs — de repenser la sécurité à la racine.
L’analyse complète d’ESET Research est disponible sur le site officiel :
👉 Présentation d’HybridPetya : copie de Petya/NotPetya avec contournement UEFI sécurisé
