Motherboard publicó que logró contactar con gente supuestamente vinculada a NotPetya/ExPetr, el wiper que afectó a varios países el pasado 27 de junio.
Quienes según esta publicación parecía ser los atacantes movieron 10.000 dólares de la cartera habilitada para cobrar los rescates.
Siempre según Motherboard, unos doce minutos aproximadamente quienes decían estar detrás de NotPetya publicaron un mensaje donde exigían 100 bitcoins, que al cambio eran más o menos 256.000 dólares la semana pasada.
Exigían cien ‘bitcoins’ a cambio de obtener una clave privada con la que desencriptar «cualquier archivo»
Esta cantidad a cambio de obtener la clave privada con la que desencriptar supuestamente “cualquier archivo” que NotPetya hubiera cifrado.
No obstante, quienes presuntamente estuvieran vinculados al malware, curiosamente, no dieron una dirección de bitcoin a la que poder enviar el pago, pero sí publicaron un enlace a una sala de chat de la llamada dark net mediante el cual uno se podía comunicar con él.
Motherboard consiguió contactar por este canal. Insistieron en que su supuesta clave podía desencriptar “todos los ordenadores” y que por eso pedían tanto dinero. Incluso se ofrecieron a descifrar cualquier archivo gratis a modo de prueba.
¿Se puede descifrar un archivo de NotPetya/ExPetr?
Desde Motherboard les proporcionaron un archivo encriptado y el archivo readme.txt correspondiente creado con NotPetya.
Un periodista de la publicación afirmó que los supuestos autores de este malware no remitieron el archivo descifrado “inmediatamente”.
Tuvieron que esperar unas dos horas. Expertos consultados por Motherboard confirmaron que ese contacto tenía acceso a NotPetya si había conseguido desencriptarlo.
Ahora bien, el hallazgo no supone una esperanza para las víctimas de este ciberataque, porque según esos mismos expertos que alguien con alguna conexión al wiper sea capaz de desencriptar un archivo no significa que pueda hacerlo con todos los archivos “en masa”.
Que hayan conseguido descifrar un archivo infectado con este ‘malware’ no supone en realidad una esperanza para las víctimas
Pareció por un momento que se volvía al punto del mismo día 27 de junio, cuando la empresa antivirus Kaspersky concluyó que el malware que había atacado a escala global ese día no era de la familia Petya, aunque compartiera con los ransomware de este tipo varias cadenas de caracteres.
En ese momento la empresa rusa solo habló de un ramsomware “nunca visto hasta entonces” cuya funcionalidad era “completamente diferente”. Dejó de llamarlo Petya para pasar a denominarlo NotPetya y luego ExPetr.
Al día siguiente se supo que no era un ransomware sino un wiper y que como tal su finalidad no era financiera sino simplemente destructiva.
Comprobaron que el atacante no podía descifrar el disco duro de los dispositivos afectados incluso después de que la víctima hubiera realizado el pago, ya que la clave que recibía el usuario para descifrar los archivos después de abonar el rescate era falsa y se había generado de forma aleatoria.
La clave que la víctima recibía para descifrar los archivos después de abonar el rescate era falsa
Comae incluso fue más allá y aventuró que la finalidad de disfrazar el wiper NotPetya/ExPetr de ransomware no tenía otro objetivo que “controlar el relato en los medios de comunicación”.
Kaspersky aclaró a merca2 que aún hoy consideran que “la funcionalidad ransomware de NotPetya/ExPetr es una cortina de humo” e insisten en que, según sus análisis NotPetya/ExPetr «se ha diseñado para destruir”.
Aclaran, eso sí, que algunas “partes” de este malware “siguen operando como sus módulos originales”, es decir, que “pueden confundirse con un ransomware” lo que no excluye que su “verdadero propósito” siga siendo la destrucción y no el beneficio económico.
Para el experto en criptografía y perito informático forense, Fernando Acero, la situación actual se explica de la siguiente manera.
Que NotPetya/ExPetr no estuviera diseñado para recuperar los datos no impidió que algunas personas decidieran pagar “a pesar de los consejos de los CERT”, recuerda a merca2.
Finalmente, un proveedor de servicio de Internet (ISP, en sus siglas en inglés) “eliminó esta posibilidad” al suprimir “los canales por los que se podía justificar el pago del rescate”.
Que NotPetya/ExPetr no estuviera en principio diseñado para recuperar datos no impidió que algunas personas decidieran pagar
La segunda parte, el porqué de mover el dinero si no existía tal finalidad económica, pudo deberse a que sencillamente quien estuviera detrás vio una oportunidad y no quiso desaprovecharla.
“No hay causa-efecto”, explica Acero, “si alguien pagó”, independientemente de “la intención de los atacantes que es destruir datos, veo normal que ya fuera mucho o poco recuperasen ese dinero ya que estaba a su disposición”.
Respecto a las conclusiones de Comae de disfrazar el wiper como ransomware para desviar la atención de los medios de comunicación, el autor del post que expuso esta conclusión, Matt Suiche, confirmó a merca2 lo que previamente había expuesto a Motherboard.
Esto es, que los supuestos atacantes que estaban detrás de NotPetya/ExPetr y que se pusieron en contacto con Motherboard solo estaban “troleando a periodistas”.
Respecto a estos últimos movimientos cree que no son más que otro intento evidente de quienes están detrás de este ataque de “confundir todavía más” a la opinión pública intentando “cambiando la versión del wiper por la del ransomware otra vez”.
Un experto sigue sosteniendo que la intención de los atacantes es distraer la atención de la opinión publica y por eso vuelven a recuperar la versión del ‘ransomware’
Esto lo siguió sosteniendo Suiche en Motherboard incluso después de haberse obrado el supuesto descifrado de un archivo afectado por NotPetya.
Considera que “si el MFT se encuentra encriptado, la víctima no podrá proporcionar a los hackers” esa especie de “huella dactilar única que el ransomware crea para cada víctima”.
Acero ha podido contarnos su experiencia de campo. Aseguró que le llegó un disco duro del portátil de una empresa afectado por NotPetya para «hacer prácticas» con él. Lo intentaron recuperar.
El resultado fue claro. «La versión de NotPetya efectivamente ha destruido la información del disco«. Manifiesta que «ninguna de las herramientas forenses que hemos utilizado ni ninguna otra de data carving nos ha permitido recuperar ningún archivo, cifrado o no cifrado».
Negó que si le hubieran enviado un archivo encriptado con NotPetya hubiera podido hacer algo debido a que «NotPetya ha destruido bloques del disco de forma irremediable«.
Un especialista afirma que en su propia experiencia de campo comprobó cómo se destruyó la información del disco duro en un equipo afectado por NotPetya
No obstante, también consideró necesario aportar algunos matices. Puede que «algunas versiones de NotPetya no tengan ese comportamiento destructivo». También podría darse el caso de que el archivo supuestamente descifrado «correspondiera a una versión errónea que antes estaba bien».
Esta concesión a la duda se debe a que según él «ha pasado poco tiempo para que se pueda considerar que NotPetya ha sido completamente analizado y que se han identificado todas las variantes del mismo».
Respecto al hallazgo de la redacción de Motherboard expresó que con arreglo a su propia experiencia de campo «falta información para hacer una aseveración concluyente al respecto». Además, estimó, «hay muchas variables que el artículo no explica» y que pueden alterar «sensiblemente» las cosas.
Buenas noticias para los afectados por Petya
El pasado cinco de julio, cuando la prensa tecnológica anglosajona estaba a vueltas con el extraño giro que parecía tomar NotPetya, el misterioso Janus Cybercrime Solutions tuiteó un enlace a un archivo cifrado y protegido con contraseña en Mega.nz, un servicio de alojamiento en la Nube.
Tras craquear la contraseña, se pudo encontrar una clave para descifrar versiones anteriores del ransomware Petya. Hay que tener en cuenta que Petya ha sufrido varias modificaciones desde que se detectó su actuación allá por la primavera del año pasado.
Aunque Petya ha sufrido varias modificaciones, lo que se liberó es una clave maestra que descifra todo lo encriptado por Petya, según los especialistas
Según Bleeping Computer, los investigadores confirmaron que se trata de una clave maestra que descifra todo lo encriptado por estas versiones de Petya. El problema es que los afectados por el wiper NotPetya/ExPetr tendrán que esperar, porque esta clave hallada no vale para ellos.
No obstante, el hecho de que los tres sucesos -retirada del dinero, el contacto de supuestos elementos vinculados a NotPetya/ExPetr con el periodista y la liberación de la clave para los afectados por Petya- ocurrieran casi el mismo día, podrían invitar a las elucubraciones.
“Es complicado de relacionar”, asegura Acero, “no hay nada que indique que hay una relación directa entre los autores de un malware y otro” concluye.