¿Es el ransomware la nueva arma de los gobiernos contra países rivales?

(Agencia N+1 / Hans Huerto) A la fecha, los hackers detrás del ataque cibernético del ransomware Petya, que el último martes arrasó con las computadoras de varias oficinas estatales y empresas en Europa, tan solo han recibido cerca de US$10.000 en bitcoins. Dado que el rescate exigido era de US$300 en bitcoins por ordenador afectado, fueron los dueños de poco más de 30 equipos infectados los que pagaron para acabar con el secuestro de su información. No obstante, ¿ha sido Petya la mascarada de un ataque más siniestro, con fines más bien destructivos antes que lucrativos?

Desde que explotó a mediados de mayo, WannaCry, el ransomware que afectó a cerca de 200.000 ordenadores en cerca de 150 países, ha visto su gradual desaparición. Ya en abril Microsoft había puesto a disposición de sus usuarios un parche de seguridad a fin de cerrarle la puerta a eventuales ataques similares que emplean una vulnerabilidad del sistema, apodada EternalBlue y que habría desarrollado la Agencia de Seguridad Nacional estadounidense para afectar los ordenadores de potenciales agresores. Además, un hacker inglés dio por casualidad con un ‘killswitch’ que neutralizaba el efecto del malware.

Aun así, el grupo de hackers detrás de WannaCry —presuntamente un colectivo chino, de acuerdo con firmas de seguridad informática que han investigado el tema— han logrado cobrar a la fecha poco más de US$130.000 en bitcoins, de acuerdo con la cuenta en Twitter @actual_ransom, que monitorea las tres billeteras virtuales para la criptomoneda, asociadas a los responsables. Algo de poco más de 440 computadoras fueron rescatadas con ello. ¿Sucederá igual con las afectadas por Petya? La respuesta parece ser no.

Diferencias y similitudes con 'WannaCry'. Pese a que Petya emplea ciertos recursos que habían sido ya explotados por WannaCry —con lo cual, una actualización de seguridad de Windows hubiera protegido a los equipos hoy secuestrados—, este nuevo ataque, que habría partido desde Ucrania, corrige errores en el código de WannaCry. Los daños que produce se tornan prácticamente irreversibles.

Petya no habría sido un caso de ransomware propiamente dicho (consistente en el secuestro de la información en un ordenador, mediante la instalación de un malware que encripta el acceso a los archivos del dispositivo), pues la naturaleza del código del malware no dejaría muchas chances para la recuperación de la información. Con ello, se trataría más bien de un agresivo ataque a fin de perjudicar permanentemente a los afectados, sin importar si pagan el rescate o no.

Investigadores de la firma de antivirus Kaspersky Lab, en un post publicado en su blog el miércoles, explicaron que para que los hackers liberen la computadora infectada necesitan un "ID personal de infección” que se muestra en la nota de rescate (la pantalla que aparece en los equipos infectados, un mensaje de los hackers incluyendo información sobre como efectuar los pagos). Una versión de 2016 de Petya contenía en el ID información crucial para la recuperación de claves; la de la reciente versión, solo incluye datos pseudoaleatorios que no estaban relacionados con la clave correspondiente.

Ataque destructivo. “Esto significa que el atacante no puede extraer ninguna información de descifrado de la cadena generada al azar mostrada en la víctima y, como resultado, las víctimas no podrán desencriptar ninguno de los discos cifrados usando el ID de instalación”, señala la nota. Con ello, surge una teoría acerca del real objetivo del ataque Petya: se trata de un ataque destructivo sin fines claros.

“Hemos analizado el código de alto nivel de la rutina de cifrado, y hemos descubierto que, después de la encriptación de disco, el hacker no podía descifrar los discos de las víctimas. Para descifrar el disco de una víctima, necesitan el ID de instalación. En versiones anteriores de ransomware ‘similares’ como Petya / Mischa / GoldenEye, este ID de instalación contenía la información necesaria para la recuperación de claves. ExPetr [otro nombre de Petya] no tiene eso, lo que significa que el actor amenaza no podría extraer la información necesaria para el descifrado. En resumen, las víctimas no podrían recuperar sus datos”.

De hecho, de acuerdo con otros especialistas la nota de rescate es meramente un maquillaje, empleado para presentarse en los medios de comunicación como un ataque parecido a WannaCry cuando en realidad es uno con otros fines.

¿Origen ruso? Al igual que en el caso de mayo, Ucrania fue una de las naciones más afectadas y en el caso de Petya se ha presumido que el brote habría provenido de un grupo de hackers rusos. Y al no tener una agenda impulsada por el lucro, se presume que el fin sería más bien político. Ocurrido en la víspera del Día de la Constitución en Ucrania, al buscar a un autor natural del ataque los ojos se vuelven hacia el principal rival de este país en la península de Crimea: Rusia.

"Lo primero que me levanta una bandera roja es que, en este momento, el antagonista principal de Ucrania es Rusia", dijo a Business Insider Alex McGeorge, jefe de inteligencia de amenazas de Immunity Inc., una firma de ciberseguridad especializada en amenazas cibernéticas. La metodología del ataque, añade, también "fortalece redes que le importarían a alguien interesado en atacar Ucrania".

“Lo que sabemos de los rusos es que este es parte de su modus operandi y que siembran el caos donde pueden", dijo McGeorge. "Tener este punto de apoyo en todas partes para todas estas importantes redes de Ucrania habla directamente a ese objetivo". Ello, pese a que la principal petrolera rusa, en la que el gobierno tiene la mayor parte del accionariado, también se vio afectada, aunque sin daños significativos. "El aspecto del rescate de esto podría proporcionar a Rusia un gran punto de distracción para controlar la narración al discutir el ataque”, señala.

Brian Lord, ex director adjunto de inteligencia y operaciones cibernéticas en el GCHQ de Gran Bretaña y ahora director gerente de la firma de seguridad privada PGI Cyber, opinó en el mismo sentido a Reuters: "Siento que esto comienza a parecerse a un estado que opera a través de un proxy... como una especie de experimento para ver qué pasa […]”.