El día de ayer se reanudó en todo el mundo la pesadilla del WannaCry, sólo que en esta ocasión, al parecer, el ransomware proviene de un grupo distinto de hackers, y también se presenta como un nuevo malware. Uno en el que pagar el rescate no vale para recuperar los archivos, tal como han descubierto en su código expertos en ciberseguridad.
Tal como reportamos, el llamado ransomware Petya infectó, sólo durante el día de ayer, a una gran diversidad de compañías en Rumania, Rusia, España, India, Reino Unido y a Estados Unidos, entre las que se cuentan petroleras, bancos, energéticas, fábricas, aeropuertos, farmacéuticas y más. Dos de ellas fueron de hecho la farmacéutica Merck, la más vieja del mundo y una de las más grandes; y Maersk, que es la compañía de transporte marítimo de mercancías más grande del mundo. El hecho de que los hackers hayan podido violar sus sistemas de seguridad dice mucho sobre la peligrosidad de este nuevo software.
Pero además, en este Petya Global o ExPetr, como lo denomina Kaspersky Lab, no hay posibilidad alguna de recuperar los archivos pagando el rescate. Así lo determinó esta firma de ciberseguridad tras analizar su código: todos los virus ransomware deben tener, para el caso del intercambio entre el rescate y la llave de descifrado, una identificación de instalación para cada PC infectada. Sin ella, no es posible hacer ese intercambio. Y esta nueva versión del Petya no contiene ese trozo del código, por lo que pagar resulta completamente inútil, ya que ni aunque lo quisieran los hackers podrían desencriptar los archivos de la víctima.
El análisis de nuestros expertos indica que nunca hubo mucha esperanza de que las víctimas recuperaran sus datos. Los investigadores de Kaspersky Lab han analizado el código de alto nivel de la rutina de cifrado y han determinado que después del cifrado de disco, el agente de amenaza no podría descifrar los discos de las víctimas (…) ExPetr (alias NotPetya) no tiene ese ID de instalación, lo que significa que el agente de amenaza no puede extraer la información necesaria para el descifrado. En resumen, las víctimas no pueden recuperar sus datos. No pague el rescate. No ayudará.
Kaspersky Lab
Esto se suma a la decisión del proveedor alemán de correo electrónico Posteo de cancelar la cuenta de los hackers, donde se suponía que las víctimas debían enviar, según se indica en la nota de rescate, los datos referentes al pago.
A mediados de hoy nos dimos cuenta de que los chantajistas de ransomware usan actualmente una dirección de Posteo como medio de contacto. Nuestro equipo de lucha contra el abuso lo comprobó y bloqueó la cuenta de inmediato. No toleramos el uso indebido de nuestra plataforma: el bloqueo inmediato de las cuentas de correo electrónico mal utilizadas es el enfoque necesario por los proveedores en estos casos.
Kaspersky Lab
Esta decisión, curiosamente, fue tildada como errónea por otros expertos, como el equipo de ciberseguridad Malware Hunter Team, que ha hecho aportes en el pasado para identificar varias clases y efectos del ransomware. Según lo que indican, con la decisión de Posteo se les impide el único medio a las víctimas para recuperar sus archivos.
Idiots…
Blocking email won't stop infections, but it will make victims surely not get back files even if they wanted to pay.
? https://t.co/AENHYr9Fly— MalwareHunterTeam (@malwrhunterteam) 27 de junio de 2017
Sin embargo, dado el descubrimiento de Kaspersky Lab, parece que sí resulta inútil pagar el rescate de 300$ en BTC por computador infectado. Lo cual es una muy mala noticia para las víctimas que ya han pagado, sumando hasta el momento de esta nota un total de 3.99009155 BTC (más de $10.300) en la dirección otorgada por los hackers.
Adicionalmente, cabe mencionar que, según la firma de ciberseguridad Avast, tan sólo el día de ayer pudieron detectarse 12.000 intentos de ataque, y, dado que esta nueva versión del Petya utiliza la misma vulnerabilidad del WannaCry para esparcirse —la EternalBlue— también determinaron en su análisis que más de 38 millones de computadores continúan sin instalar el parche otorgado por Windows en marzo, por lo que son completamente vulnerables a este ataque. Además, en esta ocasión el Windows 10, que no fue afectado por el WannaCry, se ha unido a las víctimas; si bien el sistema más atacado sigue siendo el Windows 7.
Lo mejor que pueden hacer ahora los usuarios de Windows, tanto los individuales como los corporativos, es hacer respaldo de todos sus datos y actualizar sus sistemas. Por otro lado, los usuarios de Linux y Mac también deberían prepararse a un posible ataque, pues los expertos han descubierto la misma vulnerabilidad para estos sistemas.
