Ciberataque global con Petya parece más un sabotaje que una extorsión

La ola de ciberataques a escala global, que se inició el martes y tuvo como epicentro a Ucrania, puede ser más un intento de sabotaje que un ataque con fines extorsivos, de acuerdo con expertos de Kaspersky Lab y Comae Technologies. En un inicio, la amenaza se reportó como una nueva versión del ransomware Petya, que encripta la información y pide un rescate para "liberarla", pero los analistas apuntan más a una infección en la que la víctima no puede recuperar sus datos, conocida como wiper. Esto hace imposible recuperar los datos aunque se pague el rescate.

Durante un encuentro con la prensa este miércoles durante el Cisco Live en Las Vegas, Craig Williams, investigador de Talos, el grupo de ciberseguridad de Cisco, descartó que la motivación haya sido financiera sino política y ofreció unas pistas: el ataque fue activado la tarde anterior al Día de la Constitución de Ucrania (el país más afectado), además de que los atacantes sólo ofrecen a las víctimas una billetera para el pago del rescate en Bitcoins y una dirección de correo electrónico de contacto.

El ransomware fue un señuelo para los medios de comunicación, esta versión de Petya en realidad borra los primeros sectores del disco como hemos visto con malwares como Shamoon. El objetivo de un wiper es destruir y dañar. El objetivo de un ransomware es ganar dinero. Diferentes intenciones. Motivos diferentes. Diferente narrativa , escribió Matt Suiche, experto en ciberseguridad y fundador de Comae Technologies.

NOTICIA: El WannaCry y las 48 horas que el mundo miró a Telefónica

El ciberataque del martes, también bautizado como NotPetya, ExPetr o Nyetya, afectó a Europa principalmente, y tuvo repercusiones en Estados Unidos y algunos países de América Latina, incluido México. Juan Pablo Castro, director de Innovación de la firma de ciberseguridad Trend Micro, informó a El Economista que el impacto en México se dio sólo en algunas empresas multinacionales con operaciones en Europa y que fueron comprometidas desde aquella región a través de las redes internas, pero descartó un impacto de escala significativa.

Castro coincide en la lectura sobre los verdaderos motivos del ciberataque: Parece que viene disfrazado de ransomware pero realmente lo que han recaudado en dinero es muy poco comparado con otros. Ésta es una alta sospecha de que el móvil es sólo el ransomware, sino que puede ser para distraer y hacer otro tipo de ataques , dijo.

La infección se realiza mediante las redes internas de las organizaciones con equipos contaminados. Los vectores de propagación del ciberataque son la vulnerabilidad EternalBlue, la misma que aprovecha WannaCry (el ciberataque registrado en mayo) y que utilizaba la NSA para sus programas de espionaje, así como Psexec (una herramienta de administración de Windows) y WMI (Windows Management Instrumentation). Trend Micro investiga un cuarto vector, un correo electrónico con un archivo malicioso que podría implicar una infección externa, aunque aún no se ha confirmado.

NOTICIA: No existe industria inmune a un ataque digital

Matt Suiche, de Comae, sugirió que se trata de un ataque de un Estado en contra de Ucrania. En su blog, escribió que el hecho de pretender ser un ransomware mientras que es en realidad un ataque de Estado especialmente porque WannaCry probó que el ransomware extensamente extendido no es financieramente rentable . Es en nuestra opinión una manera muy sutil del atacante para controlar la narrativa del ataque .

Castro y Williams, cada uno por su parte, pidieron esperar las conclusiones de la investigación para confirmar los motivos del ciberataque. La realidad es que puedes argumentar que hay un Estado detrás pero creo que la realidad es que quien sea que está detrás del ataque quiere manipular mercados. Esto pudo ser de inversionistas que nunca hemos escuchado y que simplemente querían tumbar los mercados para su beneficio pero no hay forma de estar seguros , dijo Williams, de Talos.

NOTICIA: Urge una colaboración más estrecha para combatir el cibercrimen: IBM

julio.sanchez@eleconomista.mx

mfh