Muchos, antes de leer estas palabras, habréis leído mucho sobre el nuevo ciberataque sufrido por 64 países el pasado 27 de Junio, que vendría a demostrar nuevamente lo vulnerables que son los sistemas que estamos empleando actualmente. Todo empezó en Ucrania, pero se expandió rápidamente a Rusia y Polonia hasta llegar finalmente inclusive a los EEUU.
Pues bien, parece ser que empiezan a salir los primeros detalles del supuesto ataque y ya hay muchas voces mencionando que posiblemente Petya, o NotPetya como se ha conocido por parte de otros muchos, no fuese un ataque ransonware realmente. Es cierto que el ataque encriptó archivos, secuestró el MBR de las máquinas y obligó a reiniciar mostrando la solicitud del rescate, pero como se hizo es, por lo menos, de una manera un tanto inusual.
 

 
Hay muchas formas de exigir un rescate electrónico, entre ellas el usar un monedero eléctronico de una criptonomeda suele ser la forma más común, pero lo que no suele ser usual es que los perpetradores del ataque utilizaran una dirección de correo electrónico pública para sus demandas de rescate. Esta cuenta pública era proporcionada por la empresa Posteo, que naturalmente cerró la cuenta tan pronto como quedó claro que su servicio estaba siendo utilizado para tales fines.
Una vez realizado el cierre de la cuenta por parte de Posteo, se cerró el único medio de comunicación entre los atacantes y sus victimas, por lo que ahora no tenían manera posible de poder pagar el rescate y recibir las claves de descifrado. ¿Hasta que punto es creíble, que un grupo de asaltantes que es capaz de generar una variante de un ramsonware y llegar a infectar a miles de ordenadores, puede llegar a cometer semejante idiotez? Pues no sé vosotros, pero suena mal como poco.
De hecho, un investigador de seguridad IT con el seudónimo “the grugq” ha querido comentar unas palabras al respecto:
 

“Aunque el gusano está camuflado para parecerse a la infame Petya ransomware, tiene un pipeline de pago muy pobre. Hay una sola cartera codificada en código BTC y las instrucciones requieren el envío de un correo electrónico con una gran cantidad de cadenas complejas (algo que dificulta mucho las facilidades con una victima que quiera pagar el rescate). Si este gusano bien diseñado y altamente sofisticado tenía la intención de generar ingresos, esta tubería de pago fue posiblemente la peor de todas las opciones (a menos que “envíe un cheque personal a: Petya Payments, PO Box …”). El parecido superficial con Petya sólo es profundo en la piel, aunque existe un intercambio significativo de código, el verdadero Petya era una empresa criminal para ganar dinero.”

 
Por lo tanto estamos hablando de que unos programadores muy competentes eligieron uno de los peores, o el peor posible, de los canales de comunicación para generar dinero. Anton Ivanov y Orkhan Mamedov de Kapersky Labs, defienden que la herramienta fue empleada para parecer un ataque ransonware pero en realidad no es más que una fachada.
Si además tenemos en cuenta que esta versión particular de ransomware tenía en su objetivo vulnerabilidades del software Me-Doc, que es uno de los dos únicos software de contabilidad aprobados en Ucrania y el más usado por empresas y gobiernos del país quizás tenga algo que ver.
Cada vez va cobrando más fuerza de que este ataque tuvo como intención perjudicar seriamente al gobierno y empresas del país ucraniano. Al parecer este ataque también tenía una “vacuna” pues el software intentaba buscar un archivo llamado “perfc” en la ruta “C:\Windows” en modo de sólo lecura, si el archivo estaba presente, no infectaba la máquina.
 

Comentarios