Petya/NotPetya se hace pasar por 'ransomware' para borrar todos tus datos

El último ciberataque empezó en Ucrania, pero pronto se extendió por todo el mundo. El pasado 22 de junio, MeDoc fue infectada. Se trata de una compañía con sede en la exrepública soviética que se dedica a fabricar software de contabilidad para otras empresas. Aunque según la firma de ciberseguridad rusa Kaspersky el 60% de las infecciones se han producido allí, Petya/NotPetya suma más de 2.000 organizaciones e incontables equipos informáticos Windows afectados, que buscan a estas horas una solución para restablecer sus discos duros. Pero pagar no es una opción.

Petya/NotPetya no ha secuestrado nada. El falso ransomware mostraba un mensaje similar al que usó WannaCry el mes pasado por el que la víctima debía ingresar 300 dólares en bitcoin para liberar el equipo. Con una teórica llave de descifrado provista por los ciberatacantes tras el pago, el ordenador debería volver a la normalidad. Pero Kaspersky confirma que no, que Petya/NotPetya no es un ransomware, sino un wiper; y que, a pesar de pagar, nuestro disco duro seguirá inservible tras hacerlo. Paralelamente a la investigación de la empresa rusa, Comae, otra compañía especializada en ciberseguridad, ha llegado a la misma conclusión.

“Lo que hace un wiper es borrar los archivos sin que tengas la posibilidad de recuperarlos. Lo hace 'de forma segura', que se llama”, explica a eldiario.es Vicente Díaz, analista de Kaspersky. Borrar algo de forma segura significa sobreescribir con nueva información el disco duro, haciendo imposible recuperar lo que existía antes. “Ya hemos visto ataques de wipers en el pasado: por ejemplo, contra Saudi Aramco y otras grandes empresas petroleras. En este caso, lo que está haciendo es incapacitarte para acceder a tus archivos, y más cuando el código no tiene ni siquiera la capacidad de ser descifrado”, continúa.

No quiere dinero, sino destruirlo todo

A diferencia de WannaCry, que consiguió infectar millones de equipos en muy poco tiempo, Petya/NotPetya no fue diseñado para propagarse con la misma rapidez. “Una vez que está dentro de la empresa, entonces sí: se expande de forma superagresiva”, explica Díaz. Las firmas de seguridad empezaron a sospechar del malware cuando, al leer su código, comprobaron que estaba “muy bien hecho” desde el punto de vista técnico.

“Al mismo tiempo, el tema del pago es muy pobre: solo hay una cuenta de bitcoin a la que pagar, solo hay un correo...”. El analista de Kaspersky se refiere al email que los ciberdelincuentes dejaron en el propio malware para contactar con ellos, wowsmith123456@posteo.net. A las pocas horas de producirse el ataque, Posteo, la empresa propietaria de la dirección de correo, bloqueó la cuenta.

Los ciberatacantes sabían que el correo sería lo primero en ser deshabilitado: “De esta forma, ya estás dejando a todo el mundo sin la posibilidad de hacer un pago aunque lo desee. No tiene ningún sentido que pongas un esfuerzo importante en el nivel técnico pero luego, a nivel de pago, que es de lo que en teoría vives, no sea así”, explican desde la firma de ciberseguridad.

Como WannaCry, Petya/NotPetya también se ha valido de los exploits de la NSA que el grupo de hackers The Shadow Brokers publicó el pasado abril en la Deep web. “Uno de ellos es ETERNALBLUE, el mismo que utilizaba WannaCry; y el segundo es ETERNALROMANCE, que es parecido”, dice Díaz. El analista de la firma rusa confirma, sin embargo, que el wiper “tiene varias herramientas para conseguir la propagación agresiva dentro de la víctima”.

Ucrania: “Esto fue dirigido a propósito contra nosotros”

De momento, Ucrania, que suma más de la mitad de las infecciones, culpa a Rusia del ciberataque. “Creo que esto fue dirigido a propósito contra nosotros”, dijo el miércoles Roman Boyarchuk, director del centro de ciberseguridad ucraniano. “Definitivamente no es un acto criminal. Esto es más como si hubiera sido promovido por un Estado”, dice. Y sobre el papel de Rusia explicó que “es difícil imaginar a alguien más que quisiera hacer esto”.

El ataque se produjo un día antes del Día de la Constitución en Ucrania. Ese día, el 23 de junio es festivo. Los ciberatacantes sabían que, como mínimo sumirían al país en el caos durante dos días consecutivos. “Todo apunta a que se trataba de un ataque disruptivo que lo que buscaba era hacer daño y paralizar empresas, el gobierno y demás organismos”, explica Díaz.

“Lo que quieren no es dinero, sino paralizar las operaciones de sus víctimas. A efectos prácticos, es lo mismo que borren los archivos o que los cifren: igualmente nadie podrá entrar en ellos”, continúa el analista de Kaspersky. A Díaz, que no oculta la posibilidad de que el ciberataque pudiera haber sido realizado por otro Estado, el modus operandi de los cibercriminales le recuerda al grupo Black Energy, de ascendencia rusa. “Tuvieron ataques hasta cierto punto parecidos a finales de 2015, cuando paralizaron el aeropuerto en Ucrania y la red eléctrica”, dice.

La firma rusa apunta que este ataque “se ha sobredimensionado por el miedo del efecto WannaCry”. Petya/NotPetya ha actuado mayoritariamente en un solo país, pequeño, pero que a nivel geopolítico cuenta con cierta importancia. El futuro, como la noche, es oscuro y alberga horrores: “Estos ataques seguro que seguirán, porque son muy efectivos y se venden a un precio muy razonable. No veo ningún motivo por el cual no vayan a seguir produciéndose en el futuro”, sentencia Díaz.