HybridPetya: Yeni Bir Tehditin Ortaya Çıkışı
Son dönemde siber güvenlik araştırmacıları, HybridPetya adında yeni bir ransomware (fidye yazılımı) türü keşfetti. Bu yazılım, kötü şöhretli Petya ve NotPetya malware’lerine benzerken, Unified Extensible Firmware Interface (UEFI) sistemlerindeki Secure Boot mekanizmasını aşabilme yeteneği ile dikkat çekiyor. Slovakya merkezli ESET siber güvenlik şirketi, örneklerin Şubat 2025‘te VirusTotal platformuna yüklendiğini bildirdi.
HybridPetya’nın Çalışma Prensibi
HybridPetya, Master File Table (MFT) olarak adlandırılan dosya yapısını şifreleyerek etkisini gösteriyor. MFT, NTFS formatlı disklerdeki tüm dosyalarla ilgili önemli meta verileri barındırıyor. ESET’ten güvenlik araştırmacısı Martin Smolár, “HybridPetya, modern UEFI tabanlı sistemleri tehlikeye atabiliyor ve kötü niyetli bir EFI uygulamasıyi EFI Sistem Bölümüne kurabiliyor” diyor.
Bu EFI uygulaması, MFT dosyasının şifrelenmesinden sorumlu olan merkezi bileşendir. HybridPetya, iki ana bileşenden oluşuyor: bir bootkit ve bir kurulum aracı. Bootkit, iki farklı versiyonda bulunuyor ve şifreleme durumunu kontrol etmekle görevli.
Kötü Amaçlı Bootkit Bileşeni
Bootkit, kurulum aracı tarafından yayılıyor ve aşağıdaki üç değer ile çalışıyor:
- 0 – Şifrelemeye hazır
- 1 – Zaten şifrelenmiş
- 2 – Fidye ödenmiş, disk deşifre edilmiş
Eğer değer 0 olarak ayarlanmışsa, bootkit önce değeri 1 yapar ve ardından EFIMicrosoftBootverify dosyasını Salsa20 şifreleme algoritması ile şifreler. Şifreleme sürecinden önce, bootkit, tüm NTFS formatlı bölümlerin disk şifreleme işlemini başlatmadan önce EFIMicrosoftBootcounter adında bir dosya oluşturur. Bu dosya, şifrelenmiş disk küme sayısını takip etmek için kullanılıyor.
Sahte CHKDSK Mesajı ile Baiting
Bootkit, kurbanın ekranında sahte bir CHKDSK mesajı görüntüleyerek, sistemin disk hatalarını onardığı izlenimini veriyor. Eğer bootkit, diskin zaten şifrelenmiş olduğunu (değer 1) tespit ederse, kurbana fidye notunu gösteriyor ve 1,000 dolar değerinde Bitcoin göndermesini talep ediyor.
Fidye notunda, kurbanın gerekli anahtarı girmesi bekleniyor. Doğru anahtar girildiğinde bootkit bu değeri 2 yaparak deşifre aşamasına geçiyor. MFT‘nin deşifre sürecinin durumu ise, bootkit tarafından gösteriliyor.
Deşifre Aşaması ve Sonrası
Deşifre aşaması, bootkit’in, kurulum sürecinde oluşturulan geçerli bootloader’ları geri yüklemesiyle başlıyor. Bu işlem tamamlandığında kurbana Windows makinesini yeniden başlatması talimatı veriliyor. Ancak bootkit’in kurulum sürecindeki değişiklikler, sisteme Blue Screen of Death (BSoD) hatasına neden oluyor.
ESET, HybridPetya’nın bazı versiyonlarının, CVE‑2024‑7344 adlı uzaktan kod yürütme zafiyetini kötüye kullandığını belirtiyor. Bu zafiyet, UEFI uygulaması olan Howyar Reloader ile ilgili ve UEFI Secure Boot bypass’ına yol açabiliyor. Diğer taraftan, HybridPetya, NotPetya’dan farklı olarak maliyetli olan deşifre anahtarını kurbanın kişisel kurulum anahtarlarından yeniden oluşturma yeteneğine sahiptir.
Gelecekteki Tehditler ve Güvenlik Önlemleri
ESET’in topladığı telemetri verilerine göre, HybridPetya’nın henüz kullanıma girmediğine dair bir kanıt yok. Bununla birlikte, bu tür UEFI bootkit’lerin giderek daha yaygın ve çekici hale geldiği ortaya çıkıyor. Siber tehditlerle karşılaşmamak için, kullanıcıların en güncel güvenlik yazılımlarını kullanmaları, sistem güncellemelerini düzenli olarak yapmaları ve veri yedekleme işlemlerini aksatmamaları önem arz ediyor.
Secure Boot bypass’ları, sadece bilgisayar kullanıcılarının değil, tüm dünya için ciddi bir tehdit oluşturuyor. Araştırmalar gösteriyor ki bu tür ransomware‘ler, belirli bir düzeyde etkin bir şekilde önlenmediği sürece, siber saldırıların gelecekte daha yaygın hale geleceğini gösteriyor.
