A comienzos de esta semana una nueva oleada de ciberataques con epicentro en Ucrania hacía prever una situación parecida a la provocada por el ransomware WannaCry en el mes de mayo. Esta vez la situación algo más contenida, en parte porque WannaCry puso sobre aviso a numerosas compañías con sistemas desactualizados o escasamente protegidos, pero eso no impidió que NotPetya (también conocido como PetyaWrap o ExPetr) haya causado estragos en las redes internas de varias empresas. Ahora que comienza a asentarse la polvareda, los detalles sobre NotPetya muestran una realidad más inquietante de lo que cabía esperar inicialmente.
De acuerdo con los hallazgos de varias firmas de ciberseguridad como Kaspersky, NotPetya no es un ejemplo de ransomware. La característica que define a todo ransomware es que esta categoría de malware exige un rescate (ransom) a cambio de desbloquear los datos de un disco duro secuestrado mediante técnicas criptográficas. NotPetya, sin embargo, no permite recuperar la información cifrada. De hecho, el malware toma medidas muy concretas para evitar su posible rescate, dando a entender que su verdadero propósito es la destrucción masiva de datos en las redes atacadas.
El funcionamiento de NotPetya es particularmente malicioso. Aunque inicialmente fue identificado de forma errónea como una variante de Petya, NotPetya trata de emular su funcionamiento para evitar un diagnóstico correcto o distraer a los administradores de sistemas.
Como si fuera un ransomware, NotPetya cifra el registro de arranque principal o MBR del disco duro para evitar el acceso a los datos por parte del usuario y exige a continuación un supuesto rescate. Llegados a este punto un malware tipo permitiría recuperar la información después de pagar un rescate utilizando algún tipo de criptomoneda, pero NotPetya no tiene el menor interés en devolver el acceso a los contenidos del disco duro. Al contrario, el malware sobrescribe parte del MBR, haciendo imposible su recuperación. Esto lo convierte en un wiper disfrazado. Una ciberarma.
De acuerdo con un investigador, NotPetya no ha sido diseñado para ganar dinero, sino para "extenderse rápidamente y causar daño manteniendo la tapadera de la negación plausible".
Por el momento se desconoce el origen de NotPetya y su posible objetivo. Lo único que se sabe es que su difusión fue posible gracias al uso de dos exploits robados a la NSA y que fue inicialmente difundido a través del mecanismo de actualización de M.E.Doc, una aplicación de contabilidad utilizada por empresas que hacen negocios en Ucrania.
