Los expertos en ciberseguridad se cuestionan las motivaciones reales de los hackers que crearon Petya

El impacto de los últimos ataques de ransomware mundiales ha llevado a los expertos en ciberseguridad a cuestionarse las motivaciones reales de los cibercriminales. Es el caso del ataque de ransomware Petya, que infectó equipos de varios países el pasado mes de junio, cuyos responsables podrían estar más interesados en causar daños a objetivos concretos –Ucrania en particular- que en obtener beneficios económicos.

El diseño y la estrategia del ataque fueron cuidadosamente planeados para que éste se extendiera de forma rápida y eficaz, incluso en equipos que habían sido actualizados. Los desarrolladores de Petya corrigieron muchos de los errores de su predecesor, WannaCry, incluyendo varias técnicas de propagación a través de redes y eliminando cualquier interruptor de seguridad que permitiese anular el malware, como ocurrió con WannaCry. En contraste, el mecanismo para recibir pagos que pusieron en funcionamiento resultó ser ineficaz y fácil de neutralizar.

Microsoft

Mientras expertos de diferentes agencias de seguridad internacionales continúan investigando su procedencia, Microsoft ha hecho público que los delincuentes se centraron desde el principio en el software de M.E.Doc, una compañía ucraniana especializada en contabilidad fiscal clave en la propagación. El ataque se presentó bajo varios nombres -Petya, NotPetya y GoldenEye- y sus creadores consiguieron situarlo en algunas de las instituciones más importantes de Ucrania, como el Banco Nacional y el sistema de metro de Kiev.

Ucrania en el punto de mira

Estos primeros focos son particularmente reveladores porque fueron seleccionados directamente por los responsables de la infección. Más de 12.500 equipos en Ucrania se hallaban entre los primeros objetivos, según Microsoft, aunque el ataque se extendió rápidamente a otros 64 países, entre ellos Rusia y, Polonia, Italia y Alemania. Varias compañías en otros países europeos y de Estados Unidos también fueron afectadas.

La dirección de correo electrónico de los hackers fue cerrada y en pocas horas habían perdido la capacidad de comunicarse con sus víctimas y, por extensión, de restaurar el acceso a los ordenadores una vez pagado un hipotético rescate. Normalmente los ataques de ransomware asignan monederos exclusivos de Bitcoin a cada ordenador infectado, a fin de automatizar el pago y el proceso de entrega de claves de encriptación. Pero los creadores de Peyta utilizaron una sola dirección Bitcoin para todos los pagos, cerrada por las autoridades en las primeras horas del ataque. La cartera Bitcoin asociada con el ataque había recibido sólo 10.000 dólares, un pago bastante bajo para este tipo de ataques.

Demanda pública

A principios de julio, el grupo responsable del ataque realizó su primera declaración pública, a través del servicio de anuncios DeepPaste de la red Tor. En el mensaje, los autores de Petya ofrecen la clave de cifrado privada utilizada en el ataque para recuperar los equipos a cambio de 100 bitcoin, el equivalente a más de 250,000 dólares. El mensaje incluye un archivo firmado con la clave privada de Petya, que es una prueba sólida de que el mensaje proviene de los verdaderos responsables.

No está claro por qué la demanda surgió más de una semana después de las infecciones iniciales y cuando la extensión del virus se encontraba bajo control. La mayoría de las compañías más grandes afectadas por el ataque habían reanudado ya sus operaciones, limitando el número de víctimas potenciales para el pago de los 100-bitcoin.

Una vez más, nunca se sabe cuál va a ser la siguiente víctima de los cibercriminales, así que lo mejor para estar prevenido es contar siempre con un buen software antivirus, así como tener siempre actualizado no solo los programas instalados sino el sistema operativo.

La pregunta que debemos hacernos es hasta qué punto somos conscientes de que vivimos en un estado de ciberguerra constante que, en cualquier momento, va a convertir nuestra realidad en un nuevo ciberataque.