Nový škodlivý kód s názvom HybridPetya, odhalený výskumníkmi Esetu., vyvolal medzi odborníkmi na kybernetickú bezpečnosť mimoriadnu pozornosť. Ide o modernú mutáciu, ktorá si požičiava prvky známych vírusov Petya a NotPetya a rozširuje ich o schopnosť zasiahnuť aj zariadenia chránené mechanizmom UEFI Secure Boot (bezpečnostná funkcia počítača, ktorá pri štarte povolí spustiť len dôveryhodný, digitálne podpísaný kód). HybridPetya pritom neútočí len na úrovni operačného systému, ale zasahuje do procesu štartu počítača, keďže škodlivé komponenty ukladá priamo do zavádzacej oblasti EFI. Po úspešnej infekcii si tak dokáže privlastniť kontrolu nad spúšťaním systému a zablokovať používateľovi prístup k dátam.

Vírus je nebezpečný práve kvôli svojej jednoduchosti a faktu, že sa aktivuje už pri procese štartu  počítača, teda v čase, keď ešte mnohé antivírusové riešenia nie sú aktívne.  Ransomvér po kontrole diskových oddielov vyhľadá zväzky formátované na NTFS a zašifruje Master File Table, teda centrálny katalóg metadát, bez ktorého operačný systém nedokáže nájsť žiadny súbor. Výsledkom je počítač, ktorý sa nespustí, a disk, na ktorom sú dáta prakticky nedostupné. Na obrazovke sa následne objaví výzva na zaplatenie výkupného približne vo výške tisíc dolárov v bitcoinoch a inštrukcia zaslať inštalačný kľúč prostredníctvom ProtonMailu, až potom obeť (teoreticky) dostane dešifrovací kód.

Autori kódu cielene preverujú, či infikovaný nosič používa rozdelenie GPT, teda novší typ rozdelenia disku na oddiely (GUID Partition Table), čo ransomvéru uľahčuje obchádzanie bezpečnostných kontrol a ukladanie škodlivých súborov do spúšťacej oblasti. Tento prístup je nebezpečný preto, že preniká pod bežnú vrstvu ochrany a operuje v raných fázach štartu systému, čo sťažuje jeho odhalenie aj odstránenie.

Na základe doteraz dostupných analýz nemožno hovoriť o potvrdených útokoch v reálnom prostredí, nájdené vzorky však pôsobia ako dôkaz konceptu či testovacia verzia. Pozitívnou správou je, že zraniteľnosť, ktorú HybridPetya zneužíva, bola už na úrovni Windows odstránená v januári 2025. Systémy, ktoré sú pravidelne aktualizované, majú teda výrazne vyššiu šancu odolať pokusom o zneužitie a zablokovať spustenie škodlivého kódu v štartovacom reťazci. Zatiaľ nie je jasné, či nová mutácia cieli aj na zariadenia s macOS alebo Linuxom.

Paralela s NotPetya z roku 2017 je dôležitá. Vtedy šlo predovšetkým o deštrukciu, pričom zaplatenie výkupného nehralo rolu a dáta nebolo možné obnoviť. HybridPetya sa odlišuje tým, že teoreticky umožňuje dešifrovanie, ak obete zaplatia. Poučenie pre bežných používateľov aj správcov je jasné. Kritická je včasná inštalácia aktualizácií operačného systému aj firmvéru, dôsledná kontrola nastavení Secure Bootu a obmedzenie dôvery k externým podpísaným súčastiam v UEFI, ak to podmienky prevádzky dovoľujú. Keďže HybridPetya cieli na NTFS a manipuluje so súbormi v zavádzacej oblasti EFI, najviac ohrozené sú platformy Windows, kde sú zanedbané záplaty a aktualizácie.

HybridPetya zatiaľ nie je masovo šírená, no názorne demonštruje, kam sa ransomvér posúva. Útoky na najnižšie vrstvy systému prestávajú byť výlučne akademickou disciplínou a stávajú sa praktickým nástrojom nátlaku.