Internet
NotPetya: los hackers cambian de método

La principal diferencia del virus NotPetya con otros malware de tipo ransomware (cifrado de archivos con petición de rescate), es que no solo impide el acceso a los archivos del ordenador, sino que bloquea totalmente toda la unidad de disco duro del equipo, según explica la empresa de seguridad Check Point. Por ello, algunos expertos en ciberseguridad entienden que su intencionalidad es hacer el mayor daño posible a los ordenadores y no tanto conseguir dinero, ya que además los ataques se han realizado a redes corporativas y el virus se ha expandido por las compañías afectadas.

Un total de 2.000 organizaciones han sido afectadas por el nuevo ciberataque, según los datos de telemetría de Kaspersky Labs, siendo las organizaciones de Rusia y Ucrania las más afectadas, seguidas de Polonia, Italia, Reino Unido, Alemania, EEUU y España.

Este ransomware, que también utiliza el exploit –fragmento de software utilizado para aprovechar una vulnerabilidad de seguridad de un sistema– robado a la NSA Eternal Blue, al igual que WannaCry –el ciberataque que afectó a 230.000 terminales en mayo–, pedía un rescate por una cifra de 300 dólares en bitcoins. Sin embargo, en lugar de pedir un ingreso en una cuenta, como se venía haciendo hasta ahora, los cibercriminales detrás de este malware han pedido a sus víctimas que envíen sus números de cuenta por email a wowsmith123456@posteo.net para confirmar las transacciones, algo que ha permitido al proveedor del servicio de correo bloquear esta dirección de email para que no acumulasen más dinero en su cuenta, que logró alcanzar la cifra de 10.000 dólares en bitcoins.

Sin embargo, según ha publicado el portal Motherboard, los bitcoins se han movido desde la cuenta de los cibercriminales a otra cartera sin identificar esta semana. Por otra parte, minutos antes de esto, hicieron dos pequeños pagos a los websites Pastebin y DeepPaste, donde es habitual que los hackers realicen anuncios.

Así, poco después de estas donaciones, un usuario que decía estar detrás de NotPetya se anunció en ambas páginas pidiendo 100 bitcoins (256.000 dólares) por una clave de cifrado que supuestamente desbloquearía a todos los ordenadores afectados por el ransomware. Para poder hablar con él, este hacker ofrece un enlace a la dark web en la que se abre un chat con este usuario. No obstante, el investigador Matt Suiche cree que se trata de un intento de confundir a la prensa para cambiar la narrativa sobre el ransomware una vez más.

La OTAN podría considerarlo un acto de guerra

El centro de ciberdefensa de la OTAN podría considerar el ataque masivo de NotPetya como una violación de la soberanía, tal como ha publicado en su web, si se corrobora que el ataque cuenta con apoyo estatal de algún tipo, alegando que podría activar contramedidas. De hecho, según Kaspersky, el ataque pudo haber estado dirigido a alguien específico y existen sospechas de que el ransomware podría ser de origen ruso, aunque todavía no se conocen pistas sobre los autores de este malware.

Por su parte, Hervé Lambert, global retail product manager de Panda Security, opina que no sería descabellado pensar que las guerras del futuro comiencen en el ciberespacio colapsando infraestructuras críticas para luego acabar con artillería e I+D asociado a la destrucción.

En Kaspersky han visto este ataque como un signo de competencia entre los grupos de ransomware. “Teóricamente esto es bueno, porque cuanto más tiempo pasen los cibercriminales para luchar entre ellos y engañarse mutuamente, menos organizados serán y menos efectivas serán sus campañas maliciosas”, explica Anton Ivanov, analista senior de seguridad antiransom de esta compañía.

Por su parte, Check Point se limita a advertir a los gobiernos y explica que “los ataques globales demuestran que necesitamos invertir en el futuro de la ciberseguridad”. Asimismo apuntan que “es esencial que las tecnologías modernas de protección se desplieguen desde el Estado para evitar que vuelvan a suceder”.