HACE UNOS DÍAS LES HABLABA DE LOS AVANCES DEL RANSOMWARE PETYA. HOY TENGO NOTICIAS NUEVAS.
El ransomware NotPetya que encriptó y bloqueó miles de computadoras en todo el mundo ayer y hoy es, en realidad, un "limpia disco" destinado a sabotear y destruir computadoras, y no un ransomware. Esta es la conclusión de los dos informes separados de Comae Technologies y los expertos de Kaspersky Lab.
Los expertos dicen que NotPetya - también conocido como Petya, Petna, ExPetr - funciona como un ransomware, pero pistas ocultas en su código fuente revelan que los usuarios nunca podrán recuperar sus archivos.
Esto no tiene nada que ver con el hecho de que un proveedor de correo electrónico alemán haya cerrado la cuenta del correo electrónico del operador de NotPetya. Incluso si las víctimas podrían ponerse en contacto con el autor de NotPetya, aún así no tienen ninguna posibilidad de recuperar sus archivos.
NotPetya nunca generó un ID de infección válido
Esto se debe a que NotPetya genera un ID de infección aleatoria para cada equipo. Un ransomware que no utiliza un servidor de comando y control, como NotPetya, utiliza el ID de infección para almacenar información sobre cada víctima infectada y la clave de descifrado.
El archivo MFT es irrecuperable
El descubrimiento de Kaspersky también fue reforzado por un informe separado publicado por el investigador de Comae Technologies, Matt Suiche, quien encontró un defecto totalmente diferente, pero llegó a la misma conclusión.
En su informe , Suiche describe una secuencia defectuosa en las operaciones que realiza el malware que haría imposible recuperar la MFT original (Tabla de archivos maestros), al cual NotPetya cifra. Este archivo maneja la ubicación de los archivos en un disco duro, y con este archivo encriptado, no hay forma de saber dónde está cada archivo en un equipo afectado.
"[El original] Petya modifica el disco de una manera en que realmente puede revertir sus cambios, mientras que [NotPetya] hace daños permanentes e irreversibles al disco", dijo Suiche.
Debido a que NotPetya genera datos aleatorios para ese ID en particular, el proceso de descifrado es imposible, según el experto de Kaspersky Anton Ivanov.
"Bueno, en primer lugar, esta es la peor de las noticias para las víctimas - incluso si pagan el rescate no van a obtener sus datos de nuevo.En segundo lugar, esto refuerza la teoría de que el objetivo principal del Ataque ExPetr no estaba motivado por obtener dinero, sino destructivo ", dijo Ivanov.
NotPetya fue diseñado para el caos, no ganar dinero
La idea de que NotPetya no siguiera las reglas regulares de rescate fue propuesta por primera vez por el experto en amenazas, The Grugq, en un informe publicado ayer.
"La verdadera Petya era una empresa criminal que deseaba ganar dinero, lo cual no es un programa diseñado para ganar dinero", dijo Grugq. "Esto está diseñado para propagarse rápidamente y causar daños, con una cubierta plausiblemente denegable de 'ransomware'".
Lo que hay que dejar en claro es que NotPetya no es un limpiador de discos literalmente. No elimina ningún dato, sino que simplemente lo hace inutilizable bloqueando archivos y tirando la clave.
"En mi libro, una infección por ransomware con ningún mecanismo de descifrado posible es equivalente a un limpiador", dijo JA Guerrero-Saade, investigador de seguridad de Kaspersky Lab a Bleeping Computer vía correo electrónico. "Al ignorar un mecanismo de descifrado viable, los atacantes han mostrado un desprecio total por el beneficio monetario a largo plazo".
Además, en un tweet enviado hoy, el autor del Petya original también dejó en claro que NotPetya no era su trabajo, disipando cualquier rumor de que se trataba de una variante de su ransomware.
Él, de hecho, es el segundo creador de un ransomware que tuvo que decir esto, después de que el autor del ransomware AES-NI señalará en mayo que él no creó el ransomware XData, que también fue utilizado en ataques dirigidos contra Ucrania. Además, XData y NotPetya utilizaron el mismo vector de distribución, los servidores de actualización de un fabricante de software de contabilidad ucraniano .
Los signos con grandes luces parpadeantes brillantes apuntan a la teoría de que alguien está secuestrando familias de ransomware conocidas y usándolas para atacar a usuarios ucranianos.
Esconder los limpia discos bajo un tipo de ransomware se ha convertido en práctica común
Si bien esto suena sneaky, en realidad se ha hecho antes. Los atacantes con una agenda oculta que se presentan como ciberdelincuentes mundanos y ocultando ser limpiadores de discos como ransomware no es una nueva táctica. En realidad es una tendencia.
En el pasado (otoño e invierno), hemos visto informes de limpiadores de disco obteniendo "componentes de ransomware" para que pudieran pasar como infecciones de ransomware y evitar el escrutinio de los detectores de incidentes. Esto ocurrió con las familias de malware Shamoon y KillDisk , ambas herramientas conocidas por sus capacidades de borrado de disco. Además, incluso el malware industrial está recibiendo funciones de limpieza de disco.
Con la reclasificación de NotPetya como limpiador de disco, los expertos pueden colocar fácilmente el malware en la categoría de armas cibernéticas, y analizar sus efectos desde una perspectiva diferente.
Con el punto de origen y la mayoría de las víctimas que residen dentro de sus fronteras, es bastante obvio que Ucrania fue la víctima. No hay evidencia palpable para señalar el dedo hacia un atacante, pero funcionarios ucranianos ya habían culpado a Rusia, que acusaron en el pasado varios otros incidentes cibernéticos que se remontan a 2014.
El consenso sobre NotPetya ha cambiado dramáticamente en las últimas 24 horas, y nadie se equivocaría al decir que NotPetya está en el mismo nivel que Stuxnet y BlackEnergy, dos familias de malware usadas con fines políticos y por sus efectos destructivos. La evidencia está clara que NotPetya es un ciber-arma y no un ransomware excesivamente agresivo.
El ransomware NotPetya que encriptó y bloqueó miles de computadoras en todo el mundo ayer y hoy es, en realidad, un "limpia disco" destinado a sabotear y destruir computadoras, y no un ransomware. Esta es la conclusión de los dos informes separados de Comae Technologies y los expertos de Kaspersky Lab.
Los expertos dicen que NotPetya - también conocido como Petya, Petna, ExPetr - funciona como un ransomware, pero pistas ocultas en su código fuente revelan que los usuarios nunca podrán recuperar sus archivos.
Esto no tiene nada que ver con el hecho de que un proveedor de correo electrónico alemán haya cerrado la cuenta del correo electrónico del operador de NotPetya. Incluso si las víctimas podrían ponerse en contacto con el autor de NotPetya, aún así no tienen ninguna posibilidad de recuperar sus archivos.
NotPetya nunca generó un ID de infección válido
Esto se debe a que NotPetya genera un ID de infección aleatoria para cada equipo. Un ransomware que no utiliza un servidor de comando y control, como NotPetya, utiliza el ID de infección para almacenar información sobre cada víctima infectada y la clave de descifrado.
El archivo MFT es irrecuperable
El descubrimiento de Kaspersky también fue reforzado por un informe separado publicado por el investigador de Comae Technologies, Matt Suiche, quien encontró un defecto totalmente diferente, pero llegó a la misma conclusión.
En su informe , Suiche describe una secuencia defectuosa en las operaciones que realiza el malware que haría imposible recuperar la MFT original (Tabla de archivos maestros), al cual NotPetya cifra. Este archivo maneja la ubicación de los archivos en un disco duro, y con este archivo encriptado, no hay forma de saber dónde está cada archivo en un equipo afectado.
"[El original] Petya modifica el disco de una manera en que realmente puede revertir sus cambios, mientras que [NotPetya] hace daños permanentes e irreversibles al disco", dijo Suiche.
Debido a que NotPetya genera datos aleatorios para ese ID en particular, el proceso de descifrado es imposible, según el experto de Kaspersky Anton Ivanov.
"Bueno, en primer lugar, esta es la peor de las noticias para las víctimas - incluso si pagan el rescate no van a obtener sus datos de nuevo.En segundo lugar, esto refuerza la teoría de que el objetivo principal del Ataque ExPetr no estaba motivado por obtener dinero, sino destructivo ", dijo Ivanov.
NotPetya fue diseñado para el caos, no ganar dinero
La idea de que NotPetya no siguiera las reglas regulares de rescate fue propuesta por primera vez por el experto en amenazas, The Grugq, en un informe publicado ayer.
"La verdadera Petya era una empresa criminal que deseaba ganar dinero, lo cual no es un programa diseñado para ganar dinero", dijo Grugq. "Esto está diseñado para propagarse rápidamente y causar daños, con una cubierta plausiblemente denegable de 'ransomware'".
Lo que hay que dejar en claro es que NotPetya no es un limpiador de discos literalmente. No elimina ningún dato, sino que simplemente lo hace inutilizable bloqueando archivos y tirando la clave.
"En mi libro, una infección por ransomware con ningún mecanismo de descifrado posible es equivalente a un limpiador", dijo JA Guerrero-Saade, investigador de seguridad de Kaspersky Lab a Bleeping Computer vía correo electrónico. "Al ignorar un mecanismo de descifrado viable, los atacantes han mostrado un desprecio total por el beneficio monetario a largo plazo".
Además, en un tweet enviado hoy, el autor del Petya original también dejó en claro que NotPetya no era su trabajo, disipando cualquier rumor de que se trataba de una variante de su ransomware.
Él, de hecho, es el segundo creador de un ransomware que tuvo que decir esto, después de que el autor del ransomware AES-NI señalará en mayo que él no creó el ransomware XData, que también fue utilizado en ataques dirigidos contra Ucrania. Además, XData y NotPetya utilizaron el mismo vector de distribución, los servidores de actualización de un fabricante de software de contabilidad ucraniano .
Los signos con grandes luces parpadeantes brillantes apuntan a la teoría de que alguien está secuestrando familias de ransomware conocidas y usándolas para atacar a usuarios ucranianos.
Esconder los limpia discos bajo un tipo de ransomware se ha convertido en práctica común
Si bien esto suena sneaky, en realidad se ha hecho antes. Los atacantes con una agenda oculta que se presentan como ciberdelincuentes mundanos y ocultando ser limpiadores de discos como ransomware no es una nueva táctica. En realidad es una tendencia.
En el pasado (otoño e invierno), hemos visto informes de limpiadores de disco obteniendo "componentes de ransomware" para que pudieran pasar como infecciones de ransomware y evitar el escrutinio de los detectores de incidentes. Esto ocurrió con las familias de malware Shamoon y KillDisk , ambas herramientas conocidas por sus capacidades de borrado de disco. Además, incluso el malware industrial está recibiendo funciones de limpieza de disco.
Con la reclasificación de NotPetya como limpiador de disco, los expertos pueden colocar fácilmente el malware en la categoría de armas cibernéticas, y analizar sus efectos desde una perspectiva diferente.
Con el punto de origen y la mayoría de las víctimas que residen dentro de sus fronteras, es bastante obvio que Ucrania fue la víctima. No hay evidencia palpable para señalar el dedo hacia un atacante, pero funcionarios ucranianos ya habían culpado a Rusia, que acusaron en el pasado varios otros incidentes cibernéticos que se remontan a 2014.
El consenso sobre NotPetya ha cambiado dramáticamente en las últimas 24 horas, y nadie se equivocaría al decir que NotPetya está en el mismo nivel que Stuxnet y BlackEnergy, dos familias de malware usadas con fines políticos y por sus efectos destructivos. La evidencia está clara que NotPetya es un ciber-arma y no un ransomware excesivamente agresivo.