El ransomware NotPetya que encripto y bloqueo miles de computadoras en todo el mundo desde el pasado 27 de Junio, es, en realidad, un limpiador de disco destinado a sabotear y destruir computadoras, y no un ransomware. Esta es la conclusión de dos reportes separados provenientes de las tecnologías de Comae Technologies y de los expertos de Kaspersky Lab.

Los expertos en seguridad informática dicen que NotPetya — también conocido como Petya, Petna, ExPetr — opera como un ransomware, pero las pistas ocultas en su código fuente revelan que los usuarios afectados por el malware nunca podrán recuperar sus archivos.

Nada tiene que ver con esto, el hecho de que un proveedor de correo electrónico alemán ha cerrado la cuenta de correo electrónico del operador de NotPetya. Incluso si las víctimas pudieran ponerse en contacto con el autor de NotPetya, todavía no tienen ninguna posibilidad de recuperar sus archivos.

NotPetya nunca creo un identificador de infección válido

Esto se debe a que NotPetya genera un identificador de infección aleatorio para cada equipo. Un ransomware que no utiliza un servidor de comando y control, como NotPetya, utiliza el identificador de infección para almacenar información acerca de cada víctima infectada y la clave de descifrado.
Según el experto de Kaspersky Lab, Anton Ivanov debido a que NotPetya genera datos aleatorios para ese ID en particular, el proceso de desencriptación es imposible.

“¿Qué significa?” Bueno, en primer lugar, esta es la peor noticia para las víctimas – incluso si pagan el rescate no obtendrán sus datos de nuevo. En segundo lugar, esto refuerza la teoría de que el objetivo principal del ataque de ExPetr no fue motivado económicamente, sino destructivo, “dijo Ivanov.

El archivo MFT no es recuperable

El descubrimiento de Kaspersky también fue reforzado por un informe separado publicado por el investigador de Comae Technologies, Matt Suiche, quien encontró un defecto totalmente diferente, pero llegó a la misma conclusión.

En su reporte, Suiche describe una secuencia defectuosa de operaciones que haría imposible recuperar la MFT original (Tabla de archivos maestros), que cifra NotPetya. Este archivo es el que en un disco duro maneja la ubicación de los archivos en el mismo, y con este archivo aún encriptado, no hay forma de saber dónde está cada archivo en un equipo afectado.

Suiche dijo que; “[El original] Petya modifica el disco duro de una manera en que realmente puede revertir sus cambios, mientras que [NotPetya] hace daños permanentes e irreversibles al disco”.

NotPetya fue diseñado con el objetivo de generar caos, no para ganar dinero

En un informe publicado antier, por el experto en inteligencia de amenazas The Grugq, fue propuesto por primera vez la idea de que NotPetya no siguiera las reglas regulares de rescate.

“El verdadero Petya era una empresa criminal para ganar dinero.” Este [NotPetya] definitivamente no está diseñado para ganar dinero, dijo el Grugq. Además agrego que; “Esto está diseñado para extenderse rápidamente y causar daño, con una cubierta plausiblemente negable de ‘ ransomware ‘”.

Lo que hay que dejar claro es que NotPetya no es un limpiador de disco duro en si. No elimina ningún dato, porque simplemente lo hace inutilizable bloqueando archivos y desechando la llave.

J. A. Guerrero-Saade, investigador de seguridad para Kaspersky Lab, dijo que “En mi libro, una infección de ransomware con ningún mecanismo de descifrado posible es equivalente a un limpiador”, además dijo a Bleeping Computer hoy por correo electrónico. “Al ignorar un mecanismo de descifrado viable, los atacantes han mostrado un desprecio total por el beneficio monetario a largo plazo”.

Además, el autor de la original Petya en un tweet enviado el día 28 de Junio, también hizo claro que NotPetya no era su obra, disipando los rumores de que se trataba de una rama Petya.

Él, de hecho, es el segundo autor de ransomware que tuvo que decir esto, después de que el autor del ransomware AES-NI dijera en mayo que no creó el ransomware XData, que también se utilizó en ataques dirigidos contra Ucrania. Además, XData y NotPetya utilizaron el mismo vector de distribución, los servidores de actualización de un fabricante de software de contabilidad ucraniano.

Las señales con grandes luces brillantes parpadeantes apuntan a la teoría de que alguien está secuestrando a las familias conocidas de ransomware y las usa para atacar a los usuarios ucranianos.

Ocultar limpiadores de disco duro en ransomware se ha convertido en práctica común

Mientras esto suena furtivo, lo cual se ha hecho antes. Los atacantes con una agenda oculta que se hacen pasar como ciber-criminales mundanos y ocultan limpiadores de disco como ransomware no es una nueva táctica. En realidad, se ha convertido en una tendencia.

Este otoño e invierno pasado se han visto visto reportes de limpiadores obteniendo “componentes de ransomware” para que pudieran pasar como infecciones ransomware y evitar el escrutinio de los respondedores de incidentes. Esto sucedió con las familias de malware Shamoon y KillDisk, ambas herramientas conocidas por sus habilidades de barrido de disco. Además, incluso el malware industrial está obteniendo funciones de barrido de disco.

Con la reclasificación de NotPetya como limpiador de discos, los expertos pueden fácilmente poner el malware en la categoría de ciber-armas, y analizar sus efectos desde una perspectiva diferente.

Con el punto de origen y la mayoría de las víctimas que residen dentro de sus fronteras, es bastante obvio que Ucrania fue la víctima elegida. No hay pruebas palpables que apunten el dedo hacia un atacante, pero los funcionarios ucranianos ya habían culpado a Rusia, a quien acusaron en el pasado de varios otros incidentes cibernéticos que se remontan al año 2014.

En las últimas 24 horas el consenso sobre NotPetya ha cambiado dramáticamente, por lo cual nadie se equivocaría al decir que NotPetya está en el mismo nivel que Stuxnet y BlackEnergy, dos familias de malware usadas con fines políticos y por sus efectos destructivos. La evidencia está claramente montada de que NotPetya es un ciber-arma y no apenas un ransomware excesivamente agresivo.

Fuente: bleepingcomputer

Anuncios