HybridPetya แรนซัมแวร์กลายพันธุ์ เจาะผ่าน UEFI Secure Boot ได้ เสี่ยงติดตั้ง Bootkit ลึกถึงขั้นตอนบูทเครื่อง

นักวิจัยจาก ESET ได้ค้นพบแรนซัมแวร์ตัวใหม่ชื่อ HybridPetya ซึ่งถูกพัฒนากลายพันธุ์มาจากตระกูลมัลแวร์ชื่อดังอย่าง Petya และ NotPetya ที่เคยสร้างความเสียหายมหาศาลในอดีต จุดเด่นของ HybridPetya คือความสามารถในการ เจาะผ่านระบบรักษาความปลอดภัย UEFI Secure Boot ผ่านช่องโหว่ CVE-2024-7344 และติดตั้ง bootkit ลงใน EFI System Partition (ESP) ของเครื่อง ทำให้แม้แต่คอมพิวเตอร์ที่เปิดฟีเจอร์รักษาความปลอดภัยขั้นสูงสุดก็ยังเสี่ยงต่อการถูกโจมตี

เจาะลึกการทำงานของ HybridPetya

HybridPetya ใช้เทคนิคขั้นสูงในการเข้าถึงระดับการบูทเครื่อง โดยเริ่มจากการตรวจสอบระบบว่ารองรับ UEFI และพาร์ติชันแบบ GPT ก่อน จากนั้นจะเขียนไฟล์อันตรายลงใน EFI System Partition พร้อมแทนที่ bootloader เดิมด้วยไฟล์ exploit-reloader.efi และลบไฟล์ bootx64.efi เพื่อควบคุมขั้นตอนการบูท เมื่อเครื่องถูกรีสตาร์ต มัลแวร์จะทำงานทันที เข้ารหัสตาราง Master File Table (MFT) ของระบบไฟล์ด้วยอัลกอริทึม Salsa20 พร้อม nonce และกุญแจเฉพาะ ก่อนแสดงข้อความปลอมที่ดูเหมือน CHKDSK เพื่อหลอกผู้ใช้ และปิดท้ายด้วยหน้าจอเรียกค่าไถ่ซึ่งกำหนดราคาประมาณ 1,000 ดอลลาร์สหรัฐ (ชำระด้วย Bitcoin)

ความซับซ้อนของ HybridPetya ทำให้แม้ผู้เชี่ยวชาญด้านความปลอดภัยก็อาจต้องใช้ความพยายามอย่างสูงในการกู้คืนระบบ เพราะมันควบคุมการบูทตั้งแต่ระดับต่ำมาก การลบหรือติดตั้งระบบปฏิบัติการใหม่อาจไม่เพียงพอ และหากไม่มีการสำรองข้อมูลไว้ ผู้ใช้มีความเสี่ยงสูงที่จะสูญเสียข้อมูลทั้งหมด

ช่องโหว่ CVE-2024-7344 และการแพตช์

HybridPetya ใช้ช่องโหว่ CVE-2024-7344 ซึ่งเกี่ยวข้องกับการเซ็นชื่อแอปพลิเคชันที่ใช้ในระบบ Secure Boot ทำให้มัลแวร์สามารถรันไฟล์ที่ไม่ปลอดภัยได้ แม้เปิดใช้งาน Secure Boot แล้วก็ตาม Microsoft ได้ออกแพตช์แก้ไขช่องโหว่นี้ในรอบอัปเดต Patch Tuesday เดือนมกราคม 2025 ดังนั้น ผู้ใช้งานที่ติดตั้งแพตช์ล่าสุดแล้วจะได้รับการป้องกัน แต่ผู้ที่ยังไม่ได้อัปเดตมีความเสี่ยงอย่างมาก

อันตรายและผลกระทบ

การที่ HybridPetya สามารถ เจาะผ่าน Secure Boot ได้ เป็นสัญญาณเตือนชัดเจนว่าแม้เทคโนโลยีรักษาความปลอดภัยขั้นสูงก็ยังมีช่องโหว่ที่อาจถูกนำไปใช้โจมตีได้ การโจมตีลักษณะนี้อาจถูกนำไปใช้เจาะระบบขององค์กรสำคัญ เช่น ธนาคาร หน่วยงานรัฐ หรือโครงสร้างพื้นฐานสำคัญ หาก HybridPetya ถูกพัฒนาและแพร่กระจายจริงในวงกว้าง อาจก่อให้เกิดความเสียหายเชิงระบบอย่างมหาศาล เนื่องจากการโจมตีเกิดตั้งแต่ขั้นตอนการบูทเครื่องและยากต่อการกู้คืน

แม้ตอนนี้ยังไม่พบรายงานการแพร่ระบาดของ HybridPetya ในวงกว้าง แต่ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่าองค์กรและผู้ใช้ควรเตรียมพร้อมและอัปเดตระบบโดยด่วน

คำแนะนำสำหรับผู้ใช้และองค์กร

• ติดตั้งแพตช์ล่าสุดของ Microsoft เพื่อลดความเสี่ยงจากช่องโหว่ CVE-2024-7344
• สำรองข้อมูลสำคัญไว้ในระบบที่ไม่เชื่อมต่อกับเครือข่าย (Offline Backup)
• ตรวจสอบ Indicators of Compromise (IoCs) ที่ ESET เผยแพร่ใน GitHub สำหรับทีมรักษาความปลอดภัย
• เพิ่มมาตรการเฝ้าระวังและตรวจสอบความปลอดภัยของ UEFI/เฟิร์มแวร์ในองค์กร

ที่มา