Ciberdelicuentes roban código "Ransomware as a service" a otro grupo cibercriminal

Los analistas de Kaspersky Lab han descubierto PetrWrap, una nueva familia de malware que explota el módulo de ransomware original de Petya, distribuido a través de una plataforma Ransomware as a Service, para realizar ataques dirigidos contra organizaciones concretas. Los creadores de PetrWrap crearon un módulo especial que modifica el ransomware de Petya original "sobre la marcha", dejando a sus autores indefensos contra el uso no autorizado de su malware. Este hecho es indicativo de la creciente competitividad que existe en el mercado negro del ransomware.

En mayo de 2016 Kaspersky Lab descubrió el ransomware Petya, que no solo cifra los datos almacenados en un ordenador, sino que también sobrescribe el registro de arranque maestro (MBR) de la unidad de disco duro, imposibilitando a los ordenadores infectados arrancar el sistema operativo. Este malware es un ejemplo destacado del modelo Ransomware as a Service, ya que los creadores ofrecen su producto malicioso on demand a través de múltiples distribuidores y cobran una cantidad por ello.

Para asegurar su parte de los beneficios, los autores de Petya introdujeron ciertos "mecanismos de protección" en su malware que impedía el uso no autorizado de muestras de Petya. Los autores del troyano PetrWrap lograron superar estos mecanismos y han encontrado una forma de usar Petya sin pagar a sus autores un céntimo.

Todavía no está claro cómo se está distribuyendo PetrWrap. Después de la infección, PetrWrap lanza Petya para cifrar los datos de su víctima y luego exige un rescate. Los autores de PetrWrap utilizan sus propias claves de cifrado privadas y públicas en lugar de aquellas que vienen con versiones "stock" de Petya. Esto significa que pueden operar sin necesidad de una clave privada de los operadores de Petya para el descifrado del equipo de la víctima, en caso de que se pague el rescate.

Aparentemente no es una coincidencia que los desarrolladores de PetrWrap hayan elegido Petya para sus actividades maliciosas: esta familia de ransomware ahora tiene un algoritmo criptográfico bastante perfecto que es difícil de romper. En el pasado se han observado varios casos en los que los errores en la criptografía han permitido a los analistas de seguridad encontrar una manera de descifrar archivos y arruinar todos los esfuerzos que los cibercriminales han puesto en sus campañas maliciosas.

Esto también ha sucedido con versiones anteriores de Petya y desde entonces sus autores han subsanado casi todos los errores. Por ello, el equipo de la víctima se cifra de manera fiable cuando se ataca con las últimas versiones de Petya, por eso los cibercriminales de PetrWrap decidieron utilizarlo en sus actividades. Además, la pantalla de bloqueo mostrada a las víctimas de PetrWrap no refleja ninguna mención de Petya, haciendo más difícil para los expertos de seguridad evaluar la situación e identificar rápidamente qué familia de ransomware se ha utilizado.

Con el fin de proteger a las organizaciones contra estos ataques, los expertos en seguridad de Kaspersky Lab aconsejan lo siguiente:

• Realizar una copia de seguridad adecuada y oportuna de los datos para que puedan restaurarse los archivos originales.
• Utilizar una solución de seguridad con tecnologías de detección basadas en el comportamiento. Estas tecnologías pueden capturar malware, incluyendo ransomware, viendo cómo funciona en el sistema atacado y haciendo posible detectar muestras nuevas y desconocidas de software malicioso.
• Realizar una evaluación de seguridad de la red (una auditoría de seguridad, pruebas de penetración, análisis de brechas, etc.) para identificar y eliminar las lagunas de seguridad. Revisa las políticas de seguridad de proveedores externos y de terceros en caso de que tengan acceso directo a la red de control.
• Solicitar inteligencia externa: la inteligencia de proveedores acreditados ayuda a las organizaciones a predecir futuros ataques a la compañía.
• Formar a los empleados, prestando especial atención al personal de operaciones y de ingeniería y a su conciencia de las recientes amenazas y ataques.
• Proteger dentro y fuera del perímetro. Una estrategia de seguridad adecuada tiene que dedicar recursos significativos a la detección de ataques y a la respuesta con el fin de bloquear un ataque antes de llegar a objetos de importancia crítica.