Petya | ||
---|---|---|
Captura de pantalla de Petya al ejecutarse. | ||
Nombre Técnico | Win32.Ransom.Petya | |
País de Origen | Se especula que Rusia o Alemania | |
Tipo | Ransomware | |
Fecha de descubrimiento | marzo de 2016 | |
Variantes |
Mischa GoldenEye Wannacry[1] | |
Petya es un malware de tipo ransomware reportado por la empresa Heise Security. Petya se esparce como troyano usando el popular sistema de archivos en la nube Dropbox.[2] Mientras la mayoría de los malware de secuestro de computadoras selecciona los archivos a encriptar, Petya aumenta el daño potencial al impedir el arranque de la computadora.
Petya fue descubierto por primera vez en marzo de 2016.[3] Otra variante de Petya descubierta en mayo de 2016.
El 27 de junio de 2017, comenzó un ciberataque mundial (las compañías ucranianas fueron las primeras en afirmar que estaban siendo atacadas), utilizando una nueva variante de Petya.[4] En ese día, Kaspersky Lab informó de infecciones en Francia, Alemania, Italia, Polonia, Reino Unido y Estados Unidos, pero que la mayoría de las infecciones se dirigieron a Rusia y Ucrania, donde más de 80 empresas fueron atacadas, incluyendo el Banco Nacional de Ucrania.[5]
Este malware utiliza ingeniería social para convencer a usuarios (o a administradores de redes) de descargar un archivo que al abrirlo se autoextrae y ejecuta el troyano. Al ejecutarse aparece una alerta de Windows. Si el usuario prosigue, Petya se aloja el registro de arranque principal (MBR) de la computadora de la víctima, desactiva el modo de inicio seguro de Windows y el equipo se reinicia. Al reiniciar, aparece una pantalla que engaña al usuario diciendo "tu disco ha sido dañado y necesita ser reparado" una vez terminado este proceso, aparecen ventanas de alerta indicando que el equipo ha sido secuestrado y cómo acceder al sitio de los secuestradores para pagar el rescate antes del vencimiento de un plazo de tiempo. Al vencerse el plazo de tiempo, el monto del rescate se duplica.
Los primeros ataques observados ocurrieron en Alemania, con una campaña de mensajes dirigidos a empresas de recursos humanos, donde un candidato incluye un enlace para descargar su currículo desde Dropbox.[6] Desde su descubrimiento, los antivirus han empezado a actualizarse y la empresa Dropbox eliminó de sus servidores los archivos afectados allí alojados.[7]
Lo primero que debe hacer una víctima de secuestro de computadora es apagar el equipo, dado que mientras esté encendido el malware podría encriptar más archivos. Se ha reportado que es posible reiniciar desde otro disco diferente del infectado y recuperar los archivos del disco comprometido. En los sistemas revisados por Heise Security no se observó encriptamiento de archivos, solo del registro de arranque principal.[6]
Existe otra versión de Petya llamada NotPetya. NotPetya aprovecha la vulnerabilidad de Windows denominada EternalBlue, la misma que meses antes utilizó otra cepa de ransomware, WannaCry. EternalBlue permite que malware como NotPetya se extienda rápidamente y por su cuenta dentro de una red, pudiendo llegar a infectar una organización entera en cuestión de horas.
El ataque de 2017 se dirigió contra grandes corporaciones, como bancos, proveedores de energía y conglomerados del transporte. Además del nuevo vector de infección, NotPetya tiene otra (crucial) diferencia respecto a su contrapartida de 2016: no existe un remedio. NotPetya cifra de forma permanente cualquier equipo que toca y, debido al modo en que lo realiza, es imposible deshacer el cifrado aunque se pague el rescate. Es un tipo de malware conocido como «wiper» (limpiador), solo que está disfrazado de ransomware.
Este cambio ha llevado a muchos expertos en ciberseguridad a concluir que el ataque NotPetya de 2017 no fue un intento de secuestro, sino un ciberataque directo cuyo objetivo era interrumpir y dañar los sistemas atacados en Ucrania. Hay quien teoriza que el disfraz de ransomware se empleó para hacer pasar el ataque por una acción delictiva y así ocultar otro posible origen: que se tratara de un acto de ciberguerra patrocinado por algún estado.
Como la vulnerabilidad EternalBlue empleada por NotPetya ya está corregida, es muy improbable que vuelva a toparse con esta cepa de malware concreta... si ha actualizado su software, algo que debería hacer siempre.[8]
Gracias a un esfuerzo colectivo, tras la publicación de los detalles de malware, fueron publicadas dos herramientas claves para rescatar los equipos secuestrados sin pagar el rescate. La primera es un analizador que toma como entrada extractos de archivos que fueron cifrados por Petya y genera una clave similar a la que reciben las víctimas tras haber pagado rescate. La segunda es un extractor de segmentos que permite generar la entrada para el analizador. La debilidad del mecanismo de cifrado usado por este malware permite rescatar los equipos secuestrados. Es previsible que nuevas generaciones de este malware utilicen un método de cifrado más sofisticado.[9]