¿Qué son los ransomware Petya y NotPetya?
Petya y NotPetya afectaron a computadoras en 2016 y 2017, respectivamente, esta última causando daños por miles de millones de dólares. La primera variante de Petya encriptaba los registros de inicio maestro para dejar los discos duros completos inaccesibles en lugar de encriptar archivos específicos como un ransomware típico. Sin embargo, otra variante de Petya era más peligrosa, infectando registros de inicio y encriptando documentos.
Una versión significativamente modificada de Petya, llamada por los investigadores NotPetya, fue más destructiva y prolífica que las viejas versiones de Petya. A diferencia de Petya, NotPetya puede haber sido un arma cibernética. Impactó principalmente a organizaciones en Ucrania.
¿Qué es Petya?
Petya es un malware de encriptación que los investigadores descubrieron en 2016. Su nombre está inspirado por un satélite soviético ficticio de la película de James Bond GoldenEye (1995). Aunque el índice de penetración de Petya fue promedio, su técnica de encriptación era innovadora y poco usual.
¿Qué hizo Petya?
El ransomware se propagaba a través de correos electrónicos de phishing que contenían un PDF que funcionaba como caballo de Troya. En cuanto alguien activaba Petya y le daba acceso de administrador, el ransomware comenzaba su trabajo. Después de reiniciar la computadora de un objetivo como un virus del sector de arranque, sobreescribía el Registro de Inicio Maestro (MBR) para encriptar el disco duro. Aunque los archivos en una computadora infectada por Petya no estaban encriptados, corruptos o perdidos, eran inaccesibles. Petya demandaba Bitcoin a las víctimas para restaurar el acceso.
¿Cuál es la diferencia entre Petya y NotPetya?
NotPetya fue una versión mejorada de Petya. Los expertos en ciberseguridad lo llamaron “NotPetya”, y el nombre pegó. Aunque tanto Petya como NotPetya pueden ayudar a un ciberdelincuente a lanzar un ataque de ransomware, existen algunas diferencias críticas.
1. Propagación
Petya no se propagó tan rápidamente como NotPetya por varias razones. Por un lado, intentaba engañar a los usuarios para que lo abrieran, y muchos usuarios modernos de computadoras pueden identificar técnicas de ingeniería social como ataques de phishing. La variante original de Petya también requería permisos de administrador que muchos usuarios experimentados no compartían. Por otro lado, NotPetya se propagó más rápido a través de puertas traseras, exploits como Eternal Blue y vulnerabilidades de acceso remoto. Puedes leer sobre EternalPetya para más información sobre la familia de ransomware Petya.
2. Encriptación
Como se mencionó antes, la versión original de Petya no encripta archivos, solo el registro de inicio para evitar que las víctimas carguen Windows. Por el contrario, NotPetya encriptaba archivos e incluso dañaba algunas unidades de almacenamiento. Los dos también se diferenciaban en sus pantallas y mensajes a sus objetivos. Curiosamente, una segunda variante de Petya armada con la carga útil de ransomware Mischa también encripta documentos y no necesita permisos administrativos de la víctima.
3. Desencriptación
Muchos expertos afirmaron que los atacantes de NotPetya no podían desencriptar archivos. Por ejemplo, el Centro Nacional de Ciberseguridad del Reino Unido dijo: “El malware no fue diseñado para ser desencriptado. Esto significaba que no había medios para que las víctimas recuperaran datos una vez que habían sido encriptados”. Sin embargo, investigadores en Vice descubrieron que los hackers de NotPetya podían desbloquear todos los archivos encriptados por el ransomware después de todo.
¿Qué tipo de ataque fue NotPetya?
NotPetya fue muy probablemente un ciberataque. Sus autores parecían más interesados en interrumpir sistemas que en generar ingresos, y es poco probable que hackers novatos tuvieran los recursos o habilidades para desarrollar Petya en NotPetya tan rápidamente.
¿A quién atacó NotPetya?
Aunque NotPetya se extendió orgánicamente por Europa, Asia y América del Norte, su objetivo real era probablemente Ucrania. NotPetya impactó los sectores gubernamental, de transporte, energía y financiero, resultando en grandes pérdidas monetarias y de productividad en el país europeo. El ataque de NotPetya también comenzó en la víspera del Día de la Constitución de Ucrania.
¿Quién inició NotPetya?
NotPetya tiene las características de una ciber-guerra patrocinada por el estado. Los políticos de Ucrania culparon a los servicios de seguridad rusos por NotPetya, y el gobierno estadounidense estuvo de acuerdo. El Kremlin respondió negando estas afirmaciones y señalando que el ransomware se extendió también a Rusia. Sin embargo, un portavoz nacional dijo que el ataque no causó daños serios en Rusia.
¿Es NotPetya un ransomware?
Algunos expertos argumentan que NotPetya no es un ransomware porque sus autores podrían no tener la capacidad de desencriptar computadoras. Pero la respuesta a “¿Es NotPetya un ransomware?” depende de tu definición de ransomware. Podrías decir que NotPetya es ransomware independientemente de la capacidad de sus autores de desencriptar computadoras, porque impide a los usuarios acceder a sus archivos o sistema y exige un pago de rescate. De manera similar, WannaCry es también una cepa de ransomware, aunque sus autores puedan tener la capacidad de desencriptar computadoras.
Cómo detener a Petya
Puede que hayas leído sobre cómo los actores de amenazas están utilizando vulnerabilidades SMB para lanzar ataques de ransomware como NotPetya y WannaCry. Descargar los parches más recientes de Windows Server Message Block (SMB) puede tapar estas fallas de seguridad. También es importante usar software de seguridad que pueda proteger contra ransomware. Hacer copias de seguridad de tus datos regularmente también puede ayudarte a estar preparado en caso de un ataque de ransomware.