La oleada de ataques con NotPetya buscaría la destrucción masiva de datos en lugar de su secuestro

Alejo I
9 15 37
Noticias » Tecnología
A comienzos de esta semana una nueva oleada de ciberataques con epicentro en Ucrania hacía prever una situación parecida a la provocada por el ransomware WannaCry en el mes de mayo. Esta vez la situación algo más contenida, en parte porque WannaCry puso sobre aviso a numerosas compañías con sistemas desactualizados o escasamente protegidos, pero eso no impidió que NotPetya (también conocido como PetyaWrap o ExPetr) haya causado estragos en las redes internas de varias empresas. Ahora que comienza a asentarse la polvareda, los detalles sobre NotPetya muestran una realidad más inquietante de lo que cabía esperar inicialmente.

De acuerdo con los hallazgos de varias firmas de ciberseguridad como Kaspersky, NotPetya no es un ejemplo de ransomware. La característica que define a todo ransomware es que esta categoría de malware exige un rescate (ransom) a cambio de desbloquear los datos de un disco duro secuestrado mediante técnicas criptográficas. NotPetya, sin embargo, no permite recuperar la información cifrada. De hecho, el malware toma medidas muy concretas para evitar su posible rescate, dando a entender que su verdadero propósito es la destrucción masiva de datos en las redes atacadas.

El funcionamiento de NotPetya es particularmente malicioso. Aunque inicialmente fue identificado de forma errónea como una variante de Petya, NotPetya trata de emular su funcionamiento para evitar un diagnóstico correcto o distraer a los administradores de sistemas.

Como si fuera un ransomware, NotPetya cifra el registro de arranque principal o MBR del disco duro para evitar el acceso a los datos por parte del usuario y exige a continuación un supuesto rescate. Llegados a este punto un malware tipo permitiría recuperar la información después de pagar un rescate utilizando algún tipo de criptomoneda, pero NotPetya no tiene el menor interés en devolver el acceso a los contenidos del disco duro. Al contrario, el malware sobrescribe parte del MBR, haciendo imposible su recuperación. Esto lo convierte en un wiper disfrazado. Una ciberarma.

De acuerdo con un investigador, NotPetya no ha sido diseñado para ganar dinero, sino para "extenderse rápidamente y causar daño manteniendo la tapadera de la negación plausible".

Por el momento se desconoce el origen de NotPetya y su posible objetivo. Lo único que se sabe es que su difusión fue posible gracias al uso de dos exploits robados a la NSA y que fue inicialmente difundido a través del mecanismo de actualización de M.E.Doc, una aplicación de contabilidad utilizada por empresas que hacen negocios en Ucrania.
37 comentarios
  1. La empresa donde trabajo ha sido una de las afortunadas.
    Ahora bien, sin saber mucho del tema, si sólo sobreescribe el MBR ¿No sería posible recuperar la mayoría de los datos con algún software de recuperación?
  2. Oh y ahora quien podra defendernos, que putada, creo que dejare de navegar por internet en mi pc, y me dare baja en mi compañia de INTERNET. Es lo mejor
  3. 3lgaro escribió:La empresa donde trabajo ha sido una de las afortunadas.
    Ahora bien, sin saber mucho del tema, si sólo sobreescribe el MBR ¿No sería posible recuperar la mayoría de los datos con algún software de recuperación?

    No creo que cifre sólo el MBR pero desde luego, el MBR es lo más fácil de recuperar. Además de que para recuperarlo sin problemas sólo hay que hacerle backup una vez y listo.
  4. Que vulnerabilidad tenemos en internet.. y manejan los datos como quieren y encima se lo ofrecemos gratis.... Son solo avisos desde luego, para que seamos conscientes de todo
  5. tengo una duda, esto como te lo cuelan? por abrir un correo ? o navegando con las típicas ventanitas de publicidad? :Ð
  6. D3mian escribió:tengo una duda, esto como te lo cuelan? por abrir un correo ? o navegando con las típicas ventanitas de publicidad? :Ð



    Cuando el neófito pulsa donde no debería pulsar!
  7. emipta escribió:
    D3mian escribió:tengo una duda, esto como te lo cuelan? por abrir un correo ? o navegando con las típicas ventanitas de publicidad? :Ð



    Cuando el neófito pulsa donde no debería pulsar!



    Si me explicas donde no hay que pulsar , se te agradecería [poraki]

    [bye] [bye]
  8. emipta escribió:
    D3mian escribió:tengo una duda, esto como te lo cuelan? por abrir un correo ? o navegando con las típicas ventanitas de publicidad? :Ð



    Cuando el neófito pulsa donde no debería pulsar!


    En este caso no es así, ya que se colaba por el proceso de actualización de un mierdeprograma de contabilidad. Lo mismo ni siquiera requería de la acción del usuario.
  9. D3mian escribió:
    emipta escribió:
    D3mian escribió:tengo una duda, esto como te lo cuelan? por abrir un correo ? o navegando con las típicas ventanitas de publicidad? :Ð



    Cuando el neófito pulsa donde no debería pulsar!



    Si me explicas donde no hay que pulsar , se te agradecería [poraki]

    [bye] [bye]

    Aqui
    (imagen)
  10. 3lgaro escribió:si sólo sobreescribe el MBR ¿No sería posible recuperar la mayoría de los datos con algún software de recuperación?

    Eso estaba pensando yo ...
Ver más comentarios »