¿Qué son los ransomware Petya y NotPetya?
Petya y NotPetya afectaron a ordenadores en 2016 y 2017, respectivamente, y este último causó daños por valor de miles de millones de dólares. La primera variante de Petya cifró registros de arranque maestros para hacer inaccesibles discos duros enteros, en lugar de cifrar archivos específicos como hace el ransomware típico. Sin embargo, otra variante de Petya era más peligrosa, ya que infectaba los registros de arranque y cifraba los documentos.
Una versión significativamente modificada de Petya, bautizada por los investigadores como NotPetya, era más destructiva y prolífica que las antiguas versiones de Petya. A diferencia de Petya, NotPetya puede haber sido un arma cibernética. Afectó principalmente a organizaciones de Ucrania.
¿Qué es Petya?
Petya es un malware de cifrado que los investigadores encontraron en 2016. Su nombre está inspirado en un satélite soviético ficticio de la película de James Bond GoldenEye (1995). Aunque la tasa de penetración de Petya era media, su técnica de cifrado era innovadora e inusual.
¿Qué hizo Petya?
El ransomware se propagó a través de correos electrónicos de phishing que contenían un PDF que funcionaba como troyano. En cuanto alguien activaba Petya y le daba acceso de administrador, el ransomware se ponía manos a la obra. Tras reiniciar el ordenador del objetivo como un virus de sector de arranque, sobrescribía el Registro Maestro de Arranque (MBR) para cifrar el disco duro. Aunque los archivos de un ordenador infectado por Petya no se cifraban, corrompían o perdían, eran inaccesibles. Petya exigía Bitcoin a las víctimas para restaurar el acceso.
¿Cuál es la diferencia entre Petya y NotPetya?
NotPetya era una versión mejorada de Petya. Los expertos en ciberseguridad lo bautizaron como "NotPetya", y el nombre se quedó. Aunque tanto Petya como NotPetya pueden ayudar a un ciberdelincuente a lanzar un ataque de ransomware, existen algunas diferencias críticas.
1. Propagación
Petya no se propagó tan rápidamente como NotPetya por varias razones. Por un lado, intentaba engañar a los usuarios para que lo abrieran, y muchos usuarios de ordenadores modernos pueden identificar técnicas de ingeniería social como los ataques de phishing. La variante original de Petya también requería permisos de administrador que muchos usuarios experimentados no compartían. Por otro lado, NotPetya se propagó más rápidamente a través de puertas traseras, exploits como Eternal Blue y vulnerabilidades de acceso remoto. Puedes leer sobre EternalPetya para saber más sobre la familia de ransomware Petya.
2. Cifrado
Como ya se ha mencionado, la versión original de Petya no cifra los archivos, solo el registro de arranque para evitar que las víctimas carguen Windows. En cambio, NotPetya cifraba archivos e incluso dañaba algunas unidades de almacenamiento. Los dos también diferían en sus pantallas y mensajes a sus objetivos. Curiosamente, una segunda variante de Petya armada con la carga útil del ransomware Mischa también cifra documentos y no necesita permisos administrativos de la víctima.
3. Descifrado
Muchos expertos afirmaron que los atacantes de NotPetya no podían descifrar los archivos. Por ejemplo, el National Cyber Security Centre del Reino Unido afirmó: "El malware no estaba diseñado para ser descifrado. Esto significaba que no había medios para que las víctimas recuperaran los datos una vez cifrados." Sin embargo, los investigadores de Vice se enteraron de que los hackers de NotPetya pudieron desbloquear todos los archivos cifrados por el ransomware después de todo.
¿Qué tipo de ataque fue NotPetya?
Lo más probable es que NotPetya fuera un ciberataque. Sus autores parecían más interesados en perturbar los sistemas que en generar ingresos, y es poco probable que hackers de poca monta tuvieran los recursos o las habilidades para convertir Petya en NotPetya tan rápidamente.
¿A quién iba dirigido NotPetya?
Aunque NotPetya se propagó orgánicamente por Europa, Asia y Norteamérica, su objetivo real fue probablemente Ucrania. NotPetya afectó a los sectores gubernamental, del transporte, energético y financiero, provocando grandes pérdidas monetarias y de productividad en el país europeo. El ataque NotPetya también comenzó en la víspera del Día de la Constitución de Ucrania.
¿Quién inició NotPetya?
NotPetya tiene el sello distintivo de la ciberguerra patrocinada por el Estado. Los políticos ucranianos culparon a los servicios de seguridad rusos de NotPetya, y el gobierno estadounidense estuvo de acuerdo. El Kremlin respondió negando estas afirmaciones y señalando que el ransomware se extendió también a Rusia. Sin embargo, un portavoz nacional dijo que el ataque no causó daños graves en Rusia.
¿Es NotPetya un ransomware?
Algunos expertos sostienen que NotPetya no es un ransomware porque sus autores podrían no tener la capacidad de descifrar los ordenadores. Pero la respuesta a "¿Es NotPetya un ransomware?" depende de su definición de ransomware. Se podría decir que NotPetya es un ransomware independientemente de la capacidad de sus autores para descifrar ordenadores porque impide a los usuarios acceder a sus archivos o a su sistema y exige el pago de un rescate. Del mismo modo, WannaCry también es una cepa de ransomware aunque sus autores tengan la capacidad de descifrar ordenadores.
Cómo detener Petya
Es posible que hayas leído acerca de cómo los actores de amenazas están utilizando vulnerabilidades SMB para lanzar ataques de ransomware como NotPetya y WannaCry. Descargar los parches más recientes de Windows Server Message Block (SMB) puede tapar estos fallos de seguridad. También es importante utilizar software de seguridad que proteja contra el ransomware. Hacer copias de seguridad de tus datos con regularidad también puede ayudarte a estar preparado en caso de un ataque de ransomware.