Petya es una variedad de ransomware que apareció por primera vez en 2016. NotPetya es una variedad de malware que tenía muchas similitudes con Petya, pero que se comportaba de manera diferente.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Petya es una variedad de ransomware que se identificó por primera vez en 2016. Al igual que otros tipos de ransomware, Petya encripta los archivos y datos en el ordenador de la víctima. Los operadores de Petya exigen un pago en Bitcoin antes de desencriptar los archivos y hacerl que se puedan usar de nuevo.
A diferencia de las variedades de ransomware más antiguas, que solo encriptan determinados archivos importantes para extorsionar a la víctima, Petya bloquea todo el disco duro de un ordenador. En concreto, encripta la Tabla de archivos maestros (MFT) de un ordenador, lo cual hace imposible el acceso a cualquier archivo del disco duro.
Se ha observado que Petya solo ataca a ordenadores con sistemas operativos Windows.
De forma similar a otros ataques de ransomware, Petya se propaga sobre todo a través de archivos adjuntos de correo electrónico. Los atacantes envían correos electrónicos a los departamentos de Recursos humanos con solicitudes de empleo falsas adjuntas. Los PDF adjuntos contienen un enlace de Dropbox infectado o son en realidad archivos ejecutables ocultos, en función del método de ataque utilizado.
En junio de 2017, un nuevo tipo de ransomware que era similar a Petya en muchos aspectos infectó a organizaciones de todo el mundo. Debido a sus similitudes con Petya, aunque tenía algunas diferencias importantes, el proveedor de seguridad Kaspersky lo denominó "NotPetya." NotPetya había afectado al menos a 2000 organizaciones hasta el 28 de junio de 2017. La gran mayoría de las organizaciones afectadas estaban en Ucrania.
Al igual que Petya, el ransomware NotPetya afectaba a todo el disco duro de la víctima. Sin embargo, NotPetya encriptaba todo el disco duro en lugar de la MFT. Se extendió de forma rápida y repentina, e infectó rápidamente redes enteras aprovechándose de vulnerabilidades y haciendo uso de métodos de robo de credenciales.
Concretamente, se observó que NotPetya utilizaba la misma vulnerabilidad EternalBlue (CVE-2017-0144) que el ataque WannaCry había utilizado en todo el mundo a principios de 2017. Esto le permitió propagarse rápidamente por las redes sin requerir intervención de los usuarios, a diferencia de Petya, que necesitaba que los usuarios abrieran un archivo adjunto de correo electrónico malicioso para dar inicio a la infección. Microsoft publicó un parche para la vulnerabilidad EternalBlue en marzo de 2017, pero muchas organizaciones no lo habían instalado todavía.
Son lo mismo. Varios miembros del sector de la seguridad tenían diferentes nombres para esta variedad de malware. Entre los nombres para NotPetya se incluían Petya 2.0, ExPetr y GoldenEye.
A diferencia de la mayoría de ransomware, que daña o restringe temporalmente el acceso a los archivos a cambio de un rescate, NotPetya parecía que tenía un objetivo puramente destructivo. No había forma de revertir el daño que causaba; básicamente, borraba los archivos por completo sin que hubiera opción alguna de recuperarlos.
Aunque seguía mostrando un mensaje de rescate, es posible que esta táctica solo se utilizara para ocultar las intenciones de los atacantes. Y aunque las víctimas de NotPetya hubieran querido pagar el rescate, el mensaje mostraba una dirección Bitcoin falsa, generada aleatoriamente. No había forma de que los atacantes cobraran el rescate, lo que sugiere además que el objetivo de NotPetya era generar destrucción, y no obtener beneficio económico.
El ransomware real no está diseñado para borrar completamente los archivos y datos al principio. Aunque algunos atacantes de ransomware pueden hacerlo con posterioridad si no se paga el rescate, si se borran los archivos y datos de inmediato las víctimas no pagarán, ya que pierden la esperanza de recuperar sus archivos. La motivación de la mayoría de los atacantes de ransomware es el dinero, y no un daño duradero a los sistemas de la víctima.
Y aunque que las personas responsables de los ataques de Petya en 2016 parecían ser los típicos ciberdelincuentes de ransomware, en 2018 varias países anunciaron que el gobierno ruso era directamente responsable de los ataques de NotPetya. Esto implica que los ataques de NotPetya podrían haber tenido motivaciones políticas.
Estos tres pasos pueden ayudar a reducir la probabilidad de un ataque de Petya o NotPetya:
Para más información, consulta Cómo prevenir el ransomware.
Las organizaciones también pueden usar Cloudflare One. Cloudflare One es una plataforma que ayuda a que los usuarios puedan conectarse de forma segura a los recursos que necesitan. Mediante el uso de un enfoque de seguridad Zero Trust, Cloudflare One ayuda a prevenir y contener las infecciones de ransomware.