Petya (malware)

Petya
Nombre Técnico	Win32.Ransom.Petya
País de Origen	Se especula que Rusia o Alemania
Tipo	Troyano y Ransomware
Fecha de descubrimiento	marzo de 2016
Variantes	Mischa; GoldenEye
	[editar datos en Wikidata]

Petya es un malware de tipo ransomware reportado por la empresa Heise Security. Petya se esparce como troyano usando el popular sistema de archivos en la nube Dropbox.^[1] Mientras la mayoría de los malware de secuestro de computadoras selecciona los archivos a encriptar, Petya aumenta el daño potencial al impedir el arranque de la computadora.

Historia[editar]

Petya fue descubierto por primera vez en marzo de 2016.^[2] Otra variante de Petya descubierta en mayo de 2016.

Ciberataque en 2017[editar]

Artículo principal: Ciberataques en Ucrania de 2017

El 27 de junio de 2017, comenzó un ciberataque mundial (las compañías ucranianas fueron las primeras en afirmar que estaban siendo atacadas), utilizando una nueva variante de Petya.^[3] En ese día, Kaspersky Lab informó de infecciones en Francia, Alemania, Italia, Polonia, Reino Unido y Estados Unidos, pero que la mayoría de las infecciones se dirigieron a Rusia y Ucrania, donde más de 80 empresas fueron atacadas, incluyendo el Banco Nacional de Ucrania.^[4]

Funcionamiento[editar]

Este malware utiliza ingeniería social para convencer a usuarios (o a administradores de redes) de descargar un archivo que al abrirlo se autoextrae y ejecuta el troyano. Al ejecutarse aparece una alerta de Windows. Si el usuario prosigue, Petya se aloja el registro de arranque principal (MBR) de la computadora de la víctima, desactiva el modo de inicio seguro de Windows y el equipo se reinicia. Al reiniciar, aparece una pantalla que engaña al usuario diciendo "tu disco ha sido dañado y necesita ser reparado" una vez terminado este proceso, aparecen ventanas de alerta indicando que el equipo ha sido secuestrado y cómo acceder al sitio de los secuestradores para pagar el rescate antes del vencimiento de un plazo de tiempo. Al vencerse el plazo de tiempo, el monto del rescate se duplica.

Los primeros ataques observados ocurrieron en Alemania, con una campaña de mensajes dirigidos a empresas de recursos humanos, donde un candidato incluye un enlace para descargar su currículo desde Dropbox.^[5] Desde su descubrimiento, los antivirus han empezado a actualizarse y la empresa Dropbox eliminó de sus servidores los archivos afectados allí alojados.^[6]

Acciones mitigantes[editar]

Lo primero que debe hacer una víctima de secuestro de computadora es apagar el equipo, dado que mientras esté encendido el malware podría encriptar más archivos. Se ha reportado que es posible reiniciar desde otro disco diferente del infectado y recuperar los archivos del disco comprometido. En los sistemas revisados por Heise Security no se observó encriptamiento de archivos, solo del registro de arranque principal.^[5]

NotPetya[editar]

Existe otra versión de Petya llamada NotPetya. NotPetya aprovecha la vulnerabilidad de Windows denominada EternalBlue, la misma que meses antes utilizó otra cepa de ransomware, WannaCry. EternalBlue permite que malware como NotPetya se extienda rápidamente y por su cuenta dentro de una red, pudiendo llegar a infectar una organización entera en cuestión de horas.

El ataque de 2017 se dirigió contra grandes corporaciones, como bancos, proveedores de energía y conglomerados del transporte. Además del nuevo vector de infección, NotPetya tiene otra (crucial) diferencia respecto a su contrapartida de 2016: no existe un remedio. NotPetya cifra de forma permanente cualquier equipo que toca y, debido al modo en que lo realiza, es imposible deshacer el cifrado aunque se pague el rescate. Es un tipo de malware conocido como «wiper» (limpiador), solo que está disfrazado de ransomware.

Este cambio ha llevado a muchos expertos en ciberseguridad a concluir que el ataque NotPetya de 2017 no fue un intento de secuestro, sino un ciberataque directo cuyo objetivo era interrumpir y dañar los sistemas atacados en Ucrania. Hay quien teoriza que el disfraz de ransomware se empleó para hacer pasar el ataque por una acción delictiva y así ocultar otro posible origen: que se tratara de un acto de ciberguerra patrocinado por algún estado.

Como la vulnerabilidad EternalBlue empleada por NotPetya ya está corregida, es muy improbable que vuelva a toparse con esta cepa de malware concreta... si ha actualizado su software, algo que debería hacer siempre.^[7]

Rescate gratuito[editar]

Gracias a un esfuerzo colectivo, tras la publicación de los detalles de malware, fueron publicadas dos herramientas claves para rescatar los equipos secuestrados sin pagar el rescate. La primera es un analizador que toma como entrada extractos de archivos que fueron cifrados por Petya y genera una clave similar a la que reciben las víctimas tras haber pagado rescate. La segunda es un extractor de segmentos que permite generar la entrada para el analizador. La debilidad del mecanismo de cifrado usado por este malware permite rescatar los equipos secuestrados. Es previsible que nuevas generaciones de este malware utilicen un método de cifrado más sofisticado.^[8]

Referencias[editar]

↑ Security, heise. «Petya: Erpressungs-Trojaner riegelt gesamten Rechner ab». Security (en alemán). Consultado el 30 de junio de 2017.
↑ «Petya, un nuevo ransomware que impide el acceso al disco duro». unaaldia.hispasec.com. Consultado el 1 de julio de 2017.
↑ «Petya es el nuevo ransomware que causa estragos en todo el mundo». unaaldia.hispasec.com. Consultado el 1 de julio de 2017.
↑ «Un nuevo ciberataque con foco central en Ucrania y Rusia afecta también a multinacionales con sede en España». abc. 27 de junio de 2017. Consultado el 1 de julio de 2017.
↑ ^a ^b «New ransomware installs in boot record, encrypts hard disk [Updated]». Ars Technica (en inglés estadounidense). Consultado el 30 de junio de 2017.
↑ «PETYA Crypto-ransomware Overwrites MBR to Lock Users Out of Their Computers - TrendLabs Security Intelligence Blog». TrendLabs Security Intelligence Blog (en inglés estadounidense). 25 de marzo de 2016. Consultado el 30 de junio de 2017.
↑ «Ransomware Petya: Cómo funciona y cómo protegerse». 28 de noviembre de 2019. Consultado el 19 de abril de 2023.
↑ «Experts crack nasty ransomware that took crypto-extortion to new heights». Ars Technica (en inglés estadounidense). Consultado el 30 de junio de 2017.

Datos: Q23670513

[1] Security, heise. «Petya: Erpressungs-Trojaner riegelt gesamten Rechner ab». Security (en alemán). Consultado el 30 de junio de 2017.

[2] «Petya, un nuevo ransomware que impide el acceso al disco duro». unaaldia.hispasec.com. Consultado el 1 de julio de 2017.

[3] «Petya es el nuevo ransomware que causa estragos en todo el mundo». unaaldia.hispasec.com. Consultado el 1 de julio de 2017.

[4] «Un nuevo ciberataque con foco central en Ucrania y Rusia afecta también a multinacionales con sede en España». abc. 27 de junio de 2017. Consultado el 1 de julio de 2017.

[:0-5] «New ransomware installs in boot record, encrypts hard disk [Updated]». Ars Technica (en inglés estadounidense). Consultado el 30 de junio de 2017.

[6] «PETYA Crypto-ransomware Overwrites MBR to Lock Users Out of Their Computers - TrendLabs Security Intelligence Blog». TrendLabs Security Intelligence Blog (en inglés estadounidense). 25 de marzo de 2016. Consultado el 30 de junio de 2017.

[7] «Ransomware Petya: Cómo funciona y cómo protegerse». 28 de noviembre de 2019. Consultado el 19 de abril de 2023.

[8] «Experts crack nasty ransomware that took crypto-extortion to new heights». Ars Technica (en inglés estadounidense). Consultado el 30 de junio de 2017.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]