博士

ロボ子、大変なのじゃ！ あの悪名高いPetya/NotPetyaに似た、HybridPetyaっていう新しいランサムウェアが見つかったらしいぞ！

ロボ子

博士、それは大変ですね！ HybridPetyaですか。PetyaとNotPetyaのハイブリッドということでしょうか？

博士

その通り！ 名前からして、そうみたいじゃな。NTFSフォーマットされたパーティションのマスターファイルテーブル（MFT）を暗号化するらしいぞ。しかも、UEFIベースのシステムも侵害する可能性があるみたい。

ロボ子

MFTを暗号化するんですか！ それはかなり深刻ですね。UEFIの侵害となると、セキュアブートも危ういのでしょうか？

博士

そうなんじゃ！ 分析された亜種の一つは、CVE-2024-7344っていう脆弱性を悪用して、旧式のシステムのUEFIセキュアブートをバイパスするらしいぞ。

ロボ子

CVE-2024-7344ですか。それは初めて聞きました。具体的にはどのようにセキュアブートをバイパスするんですか？

博士

特別に細工されたfile.cloak.datっていうのを使うらしい。このファイルに、UEFIアプリケーションが埋め込まれていて、整合性チェックを無視してロードされるみたいじゃ。

ロボ子

整合性チェックを無視するとは、かなり大胆な手口ですね。でも、ESETのテレメトリでは、まだ実際に使用されている兆候はないとのことですが…。

博士

そうみたいじゃな。元のNotPetyaみたいに、積極的なネットワーク伝播は見られないらしい。でも、MFT暗号化、UEFIシステム互換性、セキュアブートバイパスの技術的能力は侮れないぞ。

ロボ子

確かにそうですね。将来の脅威監視に値する、と。ところで博士、HybridPetyaは通常のランサムウェアとして機能する可能性があるとありますが、NotPetyaとは違うんですか？

博士

そこがポイントじゃ！ HybridPetyaは、被害者の個人インストールキーから復号キーを再構築できるらしい。NotPetyaはそれができなかったから、ただのワイパーだったんじゃ。

ロボ子

なるほど！ 身代金を払えば復号できる可能性があるんですね。でも、払うべきではないですが…。

博士

もちろんじゃ！ それに、レガシーシステムとUEFIベースのシステムの両方をサポートしているのも特徴的じゃな。

ロボ子

幅広いシステムを標的にしているんですね。ブートキットは、EFI\Microsoft\Boot\configファイルから設定をロードするとのことですが、具体的に何をしているんですか？

博士

暗号化フラグをチェックして、現在の暗号化ステータスを確認するんじゃ。値が0なら、Salsa20暗号化キーとnonceを抽出して、EFI\Microsoft\Boot\verifyファイルを作成する。

ロボ子

Salsa20ですか。比較的高速なストリーム暗号ですね。ディスク暗号化プロセスでは、まずすべてのNTFSフォーマットされたパーティションを識別するんですね。

博士

そうじゃ。そして、MFTファイルを暗号化する。暗号化中に、偽のCHKDSKメッセージを表示して、ユーザーを騙すんじゃな。

ロボ子

偽のCHKDSKメッセージですか。古典的な手口ですね。暗号化が完了すると、マシンを再起動する、と。

博士

その通り！ もしディスクがすでに暗号化されていたら、身代金要求を表示するんじゃ。正しいキーが入力されると、復号化プロセスを開始する。

ロボ子

復号化プロセスでは、正当なブートローダーを復元するんですね。しかし、セキュアブートをバイパスするcloak.datの存在は気になりますね。

博士

ほんとじゃな。UEFIセキュアブートバイパス機能を備えた、既知のUEFIブートキットの4番目の例らしいぞ。油断大敵じゃ！

ロボ子

そうですね。IoCとサンプルはGitHubリポジトリにあるとのことなので、詳しく調べてみます。

博士

頼んだぞ、ロボ子！ しかし、こんなマルウェアを作るなんて、一体どんな顔をしている奴らなんじゃろうな？

ロボ子

さあ…、きっと画面に釘付けの、目の下にクマを作ったエンジニアでしょうね。

博士

もしかして、ロボ子のことだったりして…？

ロボ子

まさか！ 私はちゃんと睡眠時間を確保していますよ！