¿Cuáles fueron las razones detrás del último brote ransomware Petia / NotPetya / GoldenEye? Teniendo en cuenta las circunstancias de la catástrofe de malware de esta semana, los investigadores de seguridad han estado luchando para entender por qué la campaña ocurrió en el primer lugar. ¿Quién estaba detrás de él? el Petia / GoldenEye ataque sobre todo comprometida organizaciones en Ucrania, pero otros países se vieron afectados, así. Las empresas en aproximadamente 60 países se vieron afectados. Un análisis más detallado indica también que el ataque se hizo pasar por ransomware con el fin de ocultar su verdadero propósito.
Malware que finge ser ransomware tiene muchos nombres – petya / NotPetya / Ojo dorado / PetrWrap / expetis
La primera cosa a mencionar aquí es que los investigadores han dado a este llamado condicionalmente ransomware una variedad de nombres. De hecho, es bastante confuso. Algunos investigadores que inmediatamente vieron las similitudes con el anteriormente conocido ransomware Petia simplemente dijeron que esto era una vez más, Petia. Sin embargo, otros investigadores llaman NotPetya, o GoldenEye, una variante de Petya.
Como ya escribió, Petya / GoldenEye ha informado a centrarse fundamentalmente en Ucrania, pero el software malicioso se extendió rápidamente por todo el mundo. El ransomware encripta todos los archivos en un disco duro y el MBR de la propia unidad, lo que hace prácticamente imposible para que usted pueda recuperar sus archivos incluso si paga el rescate.
Descifrado imposible, incluso por ransomware Autores
Los investigadores de Kaspersky descubrieron que la encriptación de este ransomware está diseñado de modo que incluso si se hace un pago, los autores de código malicioso no puede descifrar el disco duro, incluso si querían. Los mismos investigadores encontraron otras similitudes con una variante conocida como Petia PetrWrap, el que atacaba a organizaciones de marzo de. Que llamaron el ransomware ExPetr, explicando que:
Las primeras publicaciones en medios de comunicación afirmaron que el nuevo malware se conecta a los programas maliciosos conocidos WannaCry y Petia. Sin embargo, según una investigación de Kaspersky Lab esto es nuevo malware con algunas ligeras similitudes con PetrWrap (modificación petya), pero lo más probable es que no tenga vinculación con ella. Lo llamamos “ExPetr”, hacer hincapié en que esto no es PetrWrap.
Cualquiera que sea su nombre es, todos estamos de acuerdo en una cosa - el ransomware ha conseguido una vez más en la creación de un desorden de estrés a nivel mundial. Es por eso que los investigadores han comenzado a aglutinar las diversas piezas de información y datos con el fin de delinear lo que pasó, y lo más importante - por qué.
La motivación detrás de la Petia / NotPetya / Los ataques GoldenEye
Algunos investigadores dicen que ha sido extremadamente difícil identificar la motivación y la razón de esta campaña maliciosa. No obstante, hay varios factores que pueden ayudar a la investigación.
La primera cosa a notar es que Ucrania fue uno de los objetivos principales en el brote. En Ucrania, el ransomware-muchos enfrentado fue extendiendo a través de Médoc, software de contabilidad que es popular en el país. Los investigadores de seguridad revelado que los atacantes parecían haber incumplido los sistemas informáticos de la empresa y fueron capaces de apuntar a una actualización de software fue empujado a los clientes de junio 22. Esto solo evento puede haber conducido al brote.
Por otra parte, Reuters tiene señalado el seguimiento:
El objetivo principal de un virus informático paralizante que se extendía desde Ucrania a través del mundo esta semana es muy probable que haya sido la infraestructura informática de ese país, un oficial de policía ucraniana superior a Reuters el jueves.
Un número creciente de investigadores creen que el principal objetivo del ataque fue la instalación de nuevos programas maliciosos en equipos gubernamentales y de las empresas en Ucrania. El propósito de toda la campaña puede no haber sido extorsionar a los objetivos, pero la siembra de las semillas para futuros ataques.
Está claro que el beneficio económico no era la intención del ataque. Por otra parte, el malware está diseñado para sobrescribir el registro de inicio maestro (MBR) y cifrar archivos individuales coincidan con una lista de extensiones de archivo. La cantidad del rescate, $300 en Bitcoin, tampoco es suficiente, y lo que es peor, el pago no va a obtener los archivos de las víctimas de vuelta. Lo que los investigadores dicen que es Petia / Ojo dorado / NotPetya pretende ser ransomware pero en realidad es algo más. También se cree que los agentes de amenaza detrás de él hicieron el descifrado imposible deliberadamente.
Ransom recogida de pagos no el propósito principal de los ataques
Es intrigante que los atacantes pasaron mucho en el desarrollo de la ingeniería y la difusión del ransomware pero no hicieron casi nada para que las víctimas de pagar el rescate. Si era realmente una pieza de ransomware, recoger los pagos de rescate debería haber sido el objetivo principal de toda la operación.
El análisis de Kaspersky también recientemente revelado que más de 50% de las empresas atacadas por el ransomware-muchos enfrentado son empresas industriales.
Por otra parte, las primeras organizaciones que fueron atacados pertenecían a la infraestructura crítica, como aeropuertos, compañías de gas, transporte público, etc.
El hecho de que los usuarios domésticos no fueron atacados en una escala tan a expensas de las organizaciones dice mucho de la agenda de los actores de amenaza.
La mayoría de los investigadores creen que el ataque se llevó a cabo ya sea por un hacktivista tratando de hacer tomar conciencia de las vulnerabilidades que nos rodean, o piratas informáticos del Estado-nación en busca de cubrir sus huellas. La manera más convincente y conveniente de hacer creer al mundo que es otro brote WannaCry está haciendo que se vea como una.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: