Fonte:

Um novo tipo de ransomware nasceu: é o HybridPetya, capaz de explorar uma vulnerabilidade na Interface Unificada do Firmware Extensível (UEFI), a famosa Inicialização Segura do Windows. É o quarto bootkit capaz de burlar as defesas do sistema operacional da Microsoft, tomando controle do PC antes mesmo de ligar completamente — algo que, há alguns anos, era lenda urbana. O que é ransomware? Primeiro ransomware feito com IA é identificado, mas ainda não está ativo Os responsáveis pela descoberta foram pesquisadores da ESET, que notaram amostras do bootkit no repositório de códigos hackers VirusTotal em fevereiro. A tecnologia maliciosa foi batizada de HybridPetya por conta de similaridades com os já conhecidos vírus Petya e NotPetya, que também são capazes de travar o funcionamento do computador até que resgate seja pago. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Ransomware contido, mas não morto O lado bom da descoberta é que o novo ransomware é apenas uma prova de conceito, ou seja, nunca foi visto agindo no computador de usuários, e não está sendo espalhado agressivamente como o NotPetya foi. Em 2017, esse vírus causou prejuízos de mais de R$ 50 bilhões pelo mundo. Assim como os predecessores, que travavam o Master Boot Record (MBR) do computador, o HybridPetya trava a Master File Table (MFT) com criptografia, a estrutura que guarda os metadados de arquivos nos volumes NTFS (ou seja, os discos rígidos). O novo vírus, apesar de não estar em atividade, mostra capacidades assustadoras de travar o PC e pedir resgate para voltar a acessar os arquivos (Imagem: PxHere/CC0/Domínio Público) A vulnerabilidade UEFI explorada é a CVE-2024-7344, que a ESET descobriu e divulgou ainda este ano; a Microsoft já corrigiu o problema em atualizações de software lançadas recentemente. O malware instala um aplicativo EFI maliciosos ao sistema de partições para conseguir encriptar os arquivos, fingindo, com uma mensagem CHKDSK, que o disco rígido está sendo verificado em busca de erros. Após os arquivos serem encriptados, usando, neste caso, o algoritmo Salsa20, surge uma mensagem pedindo o envio de US$ 1.000 (cerca de R$ 5.400) para uma carteira de Bitcoins agora vazia. Isso seria a “compra” do desencriptador de arquivos responsável por destravar o PC, que é liberado para o usuário apenas após o pagamento. Apesar do vírus não estar solto na natureza online, os especialistas temem pelas capacidades mostradas, valendo monitorar os sistemas por atores parecidos. O primeiro malware capaz de se aproveitar da inicialização segura foi o BlackLotus, em 2023, seguido do BootKitty e do Hyper-V Backdoor PoC, todos documentados pela ESET. Confira mais no Canaltech: ChatGPT falso espalha ataques de ransomware, avisa Microsoft Novo ransomware consegue "cegar" antivírus para roubar dados Clone falso de Minecraft com vírus perigoso rouba senhas e espiona jogadores VÍDEO | Como se proteger do ataque ransomware WannaCrypt   Leia a matéria no Canaltech.

---

Clique aqui para ver toda notícia no site oficial.