Huit ans après l’attaque NotPetya, Eset révèle l’existence d’un nouveau maliciel dérivé, baptisé HybridPetya. Ce rançongiciel expérimental combine des techniques classiques de chiffrement de disque avec une compromission directe du système UEFI, rendant obsolètes les protections du démarrage sécurisé. Une évolution préoccupante, bien que pour l’heure théorique.
Bon nombre de DSI et de RSSI gardent en mémoire l’onde de choc provoquée par NotPetya en juin 2017. Cette attaque, déguisée en rançongiciel, mais conçue pour la destruction, avait paralysé des infrastructures critiques, notamment en Ukraine, et provoqué des pertes mondiales estimées à plus de 10 milliards de dollars. Parmi les victimes figuraient de grandes entreprises pourtant dotées de mesures de sécurité avancées. Le retour d’un code dérivé de NotPetya sous la forme d’un avatar plus furtif constitue un signal d’alerte pour la communauté cybersécurité.
Début juillet 2025, les chercheurs d’Eset ont repéré sur VirusTotal un fichier suspect, notpetyanew.exe, rappelant explicitement la généalogie Petya/NotPetya. Ce maliciel, qu’ils ont baptisé HybridPetya, en reprend l’architecture globale : il chiffre la table de fichiers maîtres (Master File Table, ou MFT) des partitions NTFS, ce qui compromet l’ensemble des métadonnées nécessaires à l’accès aux fichiers stockés.
Contournement du démarrage sécurisé via CVE‑2024‑7344
Mais HybridPetya franchit un nouveau palier technique en s’attaquant au micrologiciel (firmware). Il parvient à s’infiltrer dans les systèmes UEFI modernes via le déploiement d’une application EFI malveillante sur la partition système. Cette capacité place HybridPetya dans une catégorie à part : celle des menaces capables de survivre à une réinstallation complète du système, voire de compromettre l’intégrité matérielle du poste.
L’un des aspects les plus inédits de cette souche réside dans son exploitation de la vulnérabilité CVE‑2024‑7344. Selon Eset, le maliciel utilise un fichier encapsulé baptisé cloak.dat, spécifiquement formaté pour contourner la protection du démarrage sécurisé sur certaines machines vulnérables. Ce fichier permet l’injection de l’application EFI HybridPetya dans la séquence de démarrage, sans détection immédiate par les mécanismes de contrôle d’intégrité.
Cette faille avait été révélée par Eset en janvier 2025, mais sans divulgation des détails techniques. Le groupe à l’origine de HybridPetya semble néanmoins avoir réussi à reconstruire la structure exploitable par rétro-ingénierie. Cela témoigne d’une expertise avancée et d’une volonté de cibler les couches profondes de l’architecture système, là où les solutions antivirales traditionnelles peinent à opérer.
Prototype en sommeil ou menace émergente ?
À ce jour, aucune campagne active n’a été détectée par la télémétrie d’Eset. Aucun cas d’infection dans un environnement réel n’est signalé. Les chercheurs évoquent l’hypothèse d’un prototype — peut-être conçu à des fins de test ou par un acteur malveillant encore non identifié. Le code ne présente pas non plus, pour l’instant, les capacités de propagation réseau fulgurante qui avaient fait de NotPetya un fléau pandémique.
Reste que l’apparition d’un rançongiciel doté d’un mode opératoire EFI et capable de contourner Secure Boot marque une rupture. Elle démontre que les auteurs de maliciels visent désormais les fondations les plus basses du système, au-delà des couches classiques du système d’exploitation. Une évolution qui impose aux responsables sécurité d’intégrer la vérification UEFI dans leurs chaînes de contrôle, et de renforcer l’observabilité au niveau du firmware.
