Neue Ransomware-Variante 'HybridPetya' entdeckt: Merkmale von Petya und NotPetya kombiniert

HybridPetya Möglicher Nachfolger der Ransomware Petya entdeckt

23.09.2025 Von Melanie Staudacher 4 min Lesedauer

Anbieter zum Thema

FAST LTA GmbH

V2_Screen_M.png (SEPPmail - Deutschlang GmbH)

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Eset hat eine neue Ransomware-Variante entdeckt, die Merkmale der bekannten Schadprogramme Petya und NotPetya kombiniert und moderne Systeme mit UEFI Secure Boot angreifen kann.

Wird ein System mit HybridPetya infiziert, können die Folgen schwerwiegend sein: Der Zugriff auf sämtliche Dateien könnte blockiert, der Startprozess manipuliert und selbst moderne Sicherheitsvorkehrungen wie Secure Boot könnten ausgehebelt werden.(Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert) — Wird ein System mit HybridPetya infiziert, können die Folgen schwerwiegend sein: Der Zugriff auf sämtliche Dateien könnte blockiert, der Startprozess manipuliert und selbst moderne Sicherheitsvorkehrungen wie Secure Boot könnten ausgehebelt werden.
(Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)

Die Sicherheitsforscher von Eset haben ein Ransomware-Sample entdeckt, das sie „HybridPetya“ nennen. Denn die Daten sind den berüchtigten Ransomware-Varianten Petya und NotPetya überraschend ähnlich. So verschlüsselt HybridPetya ebenso die Master File Table (MFT) von NTFS-Partitionen, wodurch Dateien für die Opfer praktisch unzugänglich werden. Außerdem setzt die Schadsoftware wie ihre Vorgänger auf Manipulation des Bootprozesses, indem sie vor dem Start des Betriebssystems aktiv wird und etwa Fake-CHKDSK-Meldungen einblendet, um ihre Aktivitäten zu verschleiern. Neben der Code-Probe entdeckten die Forschenden auch einen Beitrag einer X-Userin namens „@hasherezade“, die auf ein Video hinweist, das die Ausführung von HybridPetya demonstriere.

Angriffe mit Ransomware entwickeln sich technisch und taktisch rasant weiter. Der aktuelle Bericht von Unit 42, dem Threat-Intelligence-Team von Palo Alto Networks, analysiert die wichtigsten Entwicklungen im ersten Quartal 2025. (Bild: © concept w - stock.adobe.com)

HybridPetya nutzt bekannte Schwachstelle aus

Alle drei Varianten verfolgen damit ein ähnliches Ziel: Sie wollen Systeme unbrauchbar machen, indem sie den Zugriff der Nutzer auf ihre Daten blockieren. Während Akteure mit Petya und HybridPetya einen typischen Ransomware-Ansatz verfolgen und nach dem Verschlüsseln Lösegeld fordern, gilt NotPetya als besonders destruktiv, da es in vielen Fällen keine reale Möglichkeit zur Wiederherstellung bot.

Allerdings geht HybridPetya Eset zufolge noch einen Schritt weiter: Die Schadsoftware sei die erste bekannte Petya-Variante, die gezielt den Schutzmechanismus UEFI Secure Boot umgehen könne. Dafür nutze HybridPetya die Sicherheitslücke CVE-2024-7344 bei Microsoft aus, um trotz aktivem Secure Boot eigenen Code in der EFI-Systempartition auszuführen. Diese Schwachstelle hat Eset bereits Anfang 2025 gemeldet. Eset ordnet HybridPetya zudem als mindestens viertes öffentlich bekannte Beispiel eines UEFI-Bootkits mit Secure-Boot-Bypass ein, nach BlackLotus, BootKitty und dem Hyper-V-Backdoor-PoC.

BlackLotus nutzt eine mehr als ein Jahr alte Sicherheitslücke, die Microsoft mit einem Update vom Januar 2022 gepatcht hat. Trotzdem ist die Malware in der freien Wildbahn aktiv. (Bild: temp-64GTX - stock.adobe.com)

„Ende Juli 2025 stießen wir auf verdächtige Ransomware-Samples unter verschiedenen Dateinamen, darunter notpetyanew.exe und ähnliche. Dies deutet auf eine Verbindung zu der berüchtigt zerstörerischen Malware hin, die 2017 die Ukraine und viele andere Länder heimsuchte. Der NotPetya-Angriff gilt als der verheerendste Cyberangriff der Geschichte mit einem Gesamtschaden von über 10 Milliarden US-Dollar. Aufgrund der gemeinsamen Merkmale der neu entdeckten Samples mit Petya und NotPetya haben wir diese neue Malware HybridPetya genannt“, erklärt Eset-Forscher Martin Smolár, der die Entdeckung machte, in einem Blogbeitrag.

Ein Cyberanalyst von Eset entdeckte eine Schwachstelle bei Microsoft, die der Hersteller am Patchday im Janaur schloss. (Bild: Mediaparts - stock.adobe.com)

Technische Analyse von HybridPetya

Neben den Unterschieden und Gemeinsamkeiten von HybridPetya mit Petya und NotPetya haben die Forschenden sich auch angesehen, wie die neue Malware-Variante vorgeht.

1. Systemüberprüfung: Wenn HybridPetya startet, prüft die Malware zuerst, ob der Computer mit UEFI läuft und ob die Festplatte mit GPT-Partitionierung eingerichtet ist. Das sind technische Voraussetzungen, um bestimmte Schutzmechanismen zu nutzen beziehungsweise zu umgehen.

2. Installation eines Bootkits in der EFI-Systempartition: Wenn die Voraussetzungen erfüllt sind, legt HybridPetya verschiedene Dateien in der EFI-Systempartition ab. Dieses Verzeichnis ist normalerweise Teil des Startprozesses des Rechners. Ist es kompromittiert, funktioniert auch Secure Boot nicht. Zu den abgelegten Dateien gehören unter anderem Konfigurationsdateien, eine modifizierte Bootloader-Version und ein Fallback-Bootloader.

3. Manipulation des Bootloaders: Die Malware ersetzt den offiziellen Windows-Bootloader „bootmgfw.efi“ durch eine manipulierte Variante („reloader.efi“) und löscht oder entfernt andere Startdateien wie „bootx64.efi“. Dadurch wird sichergestellt, dass beim nächsten Neustart der kompromittierte Bootvorgang verwendet wird.

4. Täuschung und Neustart: Nachdem sich HybirdPetya installiert hat, erzeugt die Malware einen „Blue Screen of Death“ (BSOD) mit einer falschen Fehlermeldung. Dann startet das System neu, und das bösartige Bootkit wird aktiv, bevor das reguläre Betriebssystem hochfährt.

5. Verschlüsselung der Dateien: Sobald der Bootkit ausgeführt wird, beginnt HybridPetya damit, die Master File Table zu verschlüsseln. Verschlüsselt wird Eset zufolge mit dem Algorithmus Salsa20 unter Nutzung eines Schlüssels und eines sogenannten Nonce, die aus einer der Konfigurationsdateien stammen. Gleichzeitig zeigt die Malware eine gefälschte „CHKDSK“-Meldung an, um den Eindruck einer normalen Systemprüfung zu erwecken.

Zwar haben die Forschenden von Eset keine Hinweise dafür gefunden, dass HybridPetya bereits in der Praxis eingesetzt wurde. Dennoch fanden sie eine Erpressungsnachricht in dem analysierten Malware-Sample. In dieser wird das Opfer aufgefordert einen 32-stelligen Schlüssel einzugeben, um die verschlüsselten Daten zu entschlüsseln. Die Researcher weisen darauf hin, dass dieser analysierte Ablauf von HybridPetya sich von dem Proof of Concept der UEFI-Umgehung aus dem Video, das @hasherezade geteilt hat, unterscheidet. Dennoch vermuten sie, dass zwischen beiden Fällen eine Beziehung bestehen könnte. HybridPetya könnte ihrer Meinung nach sowohl von einem unbekannten Bedrohungsakteur wie auch für ein Forschungsprojekt entwickelt worden sein.

Die ATHENE-Gerichtssimulation verdeutlicht, wie schnell Cybersicherheitsforschung in rechtliche Grauzonen geraten kann und will Forschenden helfen, dies zu vermeiden. (Bild: Studio_East - stock.adobe.com)

Schutz vor HybridPetya

Um sich vor HybridPetya zu schützen, empfiehlt Eset, dafür zu sorgen, dass das UEFI Secure Boot aktuell ist und die aktuellen DBX-Updates von Microsoft aufgespielt sind. Zudem sollten Unternehmen sicherstellen, dass auch alle weiteren Sicherheitsupdates zeitnah installiert werden. Zudem sollten sie die EFI-Systempartition auf unautorisierte Änderungen zu überwachen und die Bootloader-Integrität regelmäßig überprüfen. Eset hat die Indicators of Compromise über Github veröffentlicht. Diese können ebenfalls dabei helfen, sich vor HybridPetya zu schützen.

Ransomware wie WannaCry dürfte auf längere Sicht ein „Erfolgsmodell“ für Cyberkriminelle sein. Datensicherung mit Objekt-basierten Speichern kann eine wirksame Gegenmaßnahme sein. (artemegorov - stock.adobe.com)

(ID:50549582)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.