El equipo de investigación de ESET ha identificado un nuevo ransomware al que ha denominado HybridPetya, por sus similitudes con el conocido malware Petya/NotPetya. La muestra fue detectada en la plataforma VirusTotal y se diferencia de su predecesor en que puede comprometer sistemas modernos basados en UEFI.
Los sistemas UEFI (Unified Extensible Firmware Interface) son la evolución del tradicional BIOS, presentes en la mayoría de ordenadores actuales. Se encargan de iniciar el sistema operativo y permiten funciones avanzadas como el arranque seguro (Secure Boot), que impide la carga de software no autorizado durante el proceso de inicio.
HybridPetya cifra la Master File Table (MFT), donde se almacenan los metadatos esenciales de los archivos en particiones con NTFS. Además, una de sus variantes aprovecha la vulnerabilidad CVE-2024-7344 para evadir la protección UEFI Secure Boot en equipos desactualizados, utilizando un archivo malicioso denominado cloak.dat.
Según Martin Smolár, investigador de ESET, “a finales de julio de 2025 encontramos muestras sospechosas de ransomware bajo distintos nombres de archivo, como notpetyanew.exe, lo que sugería una conexión con el malware que en 2017 causó pérdidas estimadas en más de 10.000 millones de dólares”. Por las similitudes observadas, el equipo decidió bautizar este nuevo código como HybridPetya.
A diferencia del NotPetya original, el algoritmo de cifrado de HybridPetya permite a los atacantes recuperar la clave de descifrado, lo que lo convierte en un ransomware operativo y no únicamente destructivo. Otro aspecto relevante es su capacidad para instalar una aplicación EFI maliciosa dentro de la partición de sistema, encargada de cifrar el archivo MFT.
El análisis también reveló un paquete comprimido con el contenido completo de una partición EFI, donde se incluía una variante de HybridPetya diseñada para explotar CVE-2024-7344. Según Smolár, es probable que el autor del malware haya reconstruido el formato vulnerable mediante ingeniería inversa.
Por el momento, la telemetría de ESET no muestra indicios de que HybridPetya se esté utilizando activamente en ataques reales. Esto abre la posibilidad de que se trate de una prueba de concepto, aunque su diseño recuerda la necesidad de aplicar de forma rigurosa políticas de actualización y gestión de vulnerabilidades.
“Con los antecedentes de NotPetya y el impacto que tuvo en 2017, no sorprende que el hallazgo de un malware con características similares despierte atención”, comenta Josep Albors, director de investigación y concienciación de ESET España. “Aunque no parece que se esté propagando activamente, sí demuestra cómo una vulnerabilidad conocida y no corregida puede convertirse en un riesgo crítico”, añade.
El análisis técnico completo de HybridPetya está disponible en el blog de ESET Research, WeLiveSecurity.
