Hackers movilizan bitcoins colectados tras ataque de ransomware NotPetya

El pasado 28 de junio, piratas informáticos llevaron a cabo un ataque con un virus similar al ransomware Petya, el cual fue catalogado por los investigadores como el ataque NotPetya. El mismo fue ejecutado a través de actualizaciones de software. Se trató de una ofensiva cibernética de escala mundial que afectó principalmente a Ucrania.

Desde entonces, los hackers relacionados con NotPetya no se habían manifestado, hasta el 4 de julio, cuando estos atacantes vaciaron la cuenta de bitcoins que utilizaron para recibir los pagos provenientes de los rescates cancelados por las víctimas del ataque.

Según la información que se maneja, los hackers movieron alrededor de $10,000 dólares a otra cuenta, luego de realizar transacciones a Pastebin y a DeepPaste, sitios web que suelen ser utilizados por atacantes cibernéticos para presentar informaciones importantes.

Además, un grupo de desconocidos que afirmaban estar vinculados al ataque de NotPetya, se ofreció a desbloquear los archivos que fueron rescatados, pidiendo 100 bitcoins a cambio.

El anuncio de los hackers publicado en DeepPaste, en el cual piden 100 bitcoins a cambio de la clave para descifrar los archivos. Fuente: Motherboard

Dicha información fue anunciada en los servicios DeepPaste y Pastebin -servicios para compartir texto en internet que protegen contra el veto y censura de los mismos- minutos antes de que se ejecutaran las transacciones hacia las cuentas bitcoin desde la cartera en la que se pagaron los rescates. Por lo tanto, se presume que el dinero enviado desde esta última a la publicada en estos sitios web, fue el monto cancelado por la publicación en línea de esa información.

Cabe destacar que en el anuncio, los hackers exigieron 100 bitcoins a cambio de facilitar la clave con la cual supuestamente se pueden descifrar todos los archivos bloqueados por el ransomware NotPetya.

Adicionalmente, publicaron un enlace a una sala de chat en la web oscura para que las personas se pudieran contactar con ellos, ya que no facilitaron ninguna dirección bitcoin a la cual las víctimas pudieran enviar el pago a cambio de dicha contraseña privada.

Así mismo, en una intervención realizada por Motherboard en la sala de chat (cuyo link fue publicado en DeepPaste y Pastebin), un supuesto hacker indicó que el precio de la clave era muy elevado debido a que esta podría desencriptar todas las computadoras afectadas.

Además de ello, como demostración, los presuntos hackers con los que estaban interactuando en la sala de chat, se ofrecieron a desencriptar gratuitamente un archivo, y como aceptación de la oferta, Motherboard les envió un archivo cifrado y su correspondiente readme.txt generado por NotPetya (archivos que fueron facilitados por un investigador de seguridad). Sin embargo, los hackers no enviaron de forma inmediata el archivo descifrado.

No se ha podido confirmar si las personas que publicaron el anuncio y que estaban en la sala de chat fueron las mismas que estuvieron detrás del ataque cibernético del 28 de junio.

Por lo que se refiere a los motivos del ataque de NotPetya, todavía existe mucho escepticismo al respecto. Algunos investigadores han inferido que el principal objetivo del ataque era limpiar los datos de las computadoras, de manera que dichos atacantes no tenían como principal preocupación la obtención de dinero. Por otra parte, investigadores como Matt Suiche, de Comae Technologies, en una entrevista realizada por Motherboard, indicó que este caso está caracterizado por la incertidumbre y el temor.

Por su parte, el virus Petya encendió las alarmas globales poco después del ataque masivo de WannaCry, otro tipo de ransomware que logró contaminar a miles de computadoras y decenas de compañías e instituciones de relevancia, como la empresa de comunicaciones Telefónica y parte del servicio de salud del Reino Unido.

Petya está caracterizado por realizar un bloqueo general del disco duro de los equipos que afecta, en lugar de bloquear archivo por archivo, pidiendo un rescate de $300 dólares para que el usuario pueda recuperar los archivos.

Imagen destacada por The Digital Artist / pixabay.com