¿Qué son Petya y NotPetya?

Petya es una variedad de ransomware que apareció por primera vez en 2016. NotPetya es una variedad de malware que tenía muchas similitudes con Petya, pero que se comportaba de manera diferente.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir el ransomware Petya
  • Describir las diferencias entre Petya y NotPetya
  • Más información sobre cómo prevenir las infecciones de Petya y NotPetya

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es el ransomware Petya?

Petya es una variedad de ransomware que se identificó por primera vez en 2016. Al igual que otros tipos de ransomware, Petya encripta los archivos y datos en el ordenador de la víctima. Los operadores de Petya exigen un pago en Bitcoin antes de desencriptar los archivos y hacerl que se puedan usar de nuevo.

A diferencia de las variedades de ransomware más antiguas, que solo encriptan determinados archivos importantes para extorsionar a la víctima, Petya bloquea todo el disco duro de un ordenador. En concreto, encripta la Tabla de archivos maestros (MFT) de un ordenador, lo cual hace imposible el acceso a cualquier archivo del disco duro.

Se ha observado que Petya solo ataca a ordenadores con sistemas operativos Windows.

¿Cómo se propaga el ransomware Petya?

De forma similar a otros ataques de ransomware, Petya se propaga sobre todo a través de archivos adjuntos de correo electrónico. Los atacantes envían correos electrónicos a los departamentos de Recursos humanos con solicitudes de empleo falsas adjuntas. Los PDF adjuntos contienen un enlace de Dropbox infectado o son en realidad archivos ejecutables ocultos, en función del método de ataque utilizado.

¿Qué es NotPetya?

En junio de 2017, un nuevo tipo de ransomware que era similar a Petya en muchos aspectos infectó a organizaciones de todo el mundo. Debido a sus similitudes con Petya, aunque tenía algunas diferencias importantes, el proveedor de seguridad Kaspersky lo denominó "NotPetya." NotPetya había afectado al menos a 2000 organizaciones hasta el 28 de junio de 2017. La gran mayoría de las organizaciones afectadas estaban en Ucrania.

Al igual que Petya, el ransomware NotPetya afectaba a todo el disco duro de la víctima. Sin embargo, NotPetya encriptaba todo el disco duro en lugar de la MFT. Se extendió de forma rápida y repentina, e infectó rápidamente redes enteras aprovechándose de vulnerabilidades y haciendo uso de métodos de robo de credenciales.

Concretamente, se observó que NotPetya utilizaba la misma vulnerabilidad EternalBlue (CVE-2017-0144) que el ataque WannaCry había utilizado en todo el mundo a principios de 2017. Esto le permitió propagarse rápidamente por las redes sin requerir intervención de los usuarios, a diferencia de Petya, que necesitaba que los usuarios abrieran un archivo adjunto de correo electrónico malicioso para dar inicio a la infección. Microsoft publicó un parche para la vulnerabilidad EternalBlue en marzo de 2017, pero muchas organizaciones no lo habían instalado todavía.

¿Es NotPetya diferente de Petya 2.0?

Son lo mismo. Varios miembros del sector de la seguridad tenían diferentes nombres para esta variedad de malware. Entre los nombres para NotPetya se incluían Petya 2.0, ExPetr y GoldenEye.

¿NotPetya era realmente un ransomware?

A diferencia de la mayoría de ransomware, que daña o restringe temporalmente el acceso a los archivos a cambio de un rescate, NotPetya parecía que tenía un objetivo puramente destructivo. No había forma de revertir el daño que causaba; básicamente, borraba los archivos por completo sin que hubiera opción alguna de recuperarlos.

Aunque seguía mostrando un mensaje de rescate, es posible que esta táctica solo se utilizara para ocultar las intenciones de los atacantes. Y aunque las víctimas de NotPetya hubieran querido pagar el rescate, el mensaje mostraba una dirección Bitcoin falsa, generada aleatoriamente. No había forma de que los atacantes cobraran el rescate, lo que sugiere además que el objetivo de NotPetya era generar destrucción, y no obtener beneficio económico.

El ransomware real no está diseñado para borrar completamente los archivos y datos al principio. Aunque algunos atacantes de ransomware pueden hacerlo con posterioridad si no se paga el rescate, si se borran los archivos y datos de inmediato las víctimas no pagarán, ya que pierden la esperanza de recuperar sus archivos. La motivación de la mayoría de los atacantes de ransomware es el dinero, y no un daño duradero a los sistemas de la víctima.

Y aunque que las personas responsables de los ataques de Petya en 2016 parecían ser los típicos ciberdelincuentes de ransomware, en 2018 varias países anunciaron que el gobierno ruso era directamente responsable de los ataques de NotPetya. Esto implica que los ataques de NotPetya podrían haber tenido motivaciones políticas.

Cómo prevenir las infecciones de Petya y NotPetya

Estos tres pasos pueden ayudar a reducir la probabilidad de un ataque de Petya o NotPetya:

  • Reforzar las prácticas de seguridad del correo electrónico: La mayoría de los ataques de Petya, y algunos de NotPetya, se iniciaron con un archivo adjunto de correo electrónico infectado. Para evitar esto, las organizaciones pueden escanear los correos electrónicos en busca de malware, bloquear los archivos adjuntos de fuentes externas y formar a los usuarios para que no abran archivos adjuntos no fiables.
  • Parchear con regularidad las vulnerabilidades: La vulnerabilidad EternalBlue utilizada por NotPetya contaba con un parche disponible meses antes de que se produjeran los ataques. Los ataques de ransomware en general suelen aprovecharse de las vulnerabilidades del software para entrar en una red o moverse lateralmente dentro de ella. Actualizar el software y parchear las vulnerabilidades puede ayudar a eliminar estos vectores de ataque.
  • Realizar copias de seguridad de archivos y datos: Mantener copias de seguridad de los archivos importantes no evita las infecciones de ransomware, pero ayuda a que una organización pueda recuperarse más rápidamente de un ataque. En el caso de un ataque que borre archivos como el de NotPetya, esta puede ser de hecho la única forma de recuperarlos.

Para más información, consulta Cómo prevenir el ransomware.

Las organizaciones también pueden usar Cloudflare One. Cloudflare One es una plataforma que ayuda a que los usuarios puedan conectarse de forma segura a los recursos que necesitan. Mediante el uso de un enfoque de seguridad Zero Trust, Cloudflare One ayuda a prevenir y contener las infecciones de ransomware.