Especialistas lo definen como “ciberarma”

Ciberataque de la semana pasada dejó un tendal de computadoras inservibles

Redacción de El Litoral

[email protected]

Télam

Medios de prensa internacionales mostraron hoy testimonios de directivos de algunas de las 1.500 empresas ucranianas que, seis días después del ataque, aún no pueden comenzar a operar porque las computadoras de trabajo que tenían conectadas a una red interna quedaron fuera de servicio.

Ese país europeo fue el principal afectado por NotPetya, como se denominó al ransomware -un tipo de malware que encripta equipos o archivos y exige un pago para liberarlos- que golpeó en particular a empresas, además de algunos organismos.

“Además de cifrar la información, (el NotPetya) corrompe parte del sistema operativo, por lo que las computadoras infectadas no se pueden recuperar”, afirmó en diálogo con Télam el jefe del Laboratorio de Investigación de ESET Latinoamérica, Camilo Gutierrez Amaya.

Si bien la propagación de este malware fue más limitada que la de WannaCry, que a comienzos de mayo afectó a cientos de miles de equipos en más de 150 países, el ataque de NotPetya “fue un poco más complicado”, por lo que “aun no se ha encontrado una manera para recuperar las computadoras”, agregó.

En la misma línea, el especialista en ciberseguridad de la firma checa Avast, Alfredo Adrián Ortega, afirmó en diálogo con esta agencia que que tras el ataque “no había manera de recuperar los archivos” encriptados, incuso si se pagaba el rescate, porque NotPetya “destruye el disco rígido”.

Para este investigador, el ataque de la semana pasada “no afectó tanto como el Wanacry porque habían muchas máquinas parchadas” tras aquel episodio de mayo.

“Casi lo único que afectó fueron máquinas con Windows 7 sin emparchar, y se dice que fueron versiones sin licencia, piratas”, explicó, y detalló que en el caso de muchas organizaciones que sí tienen la licencia, lo que sucede es que “muchas veces las empresas grandes desactivan las actualizaciones automáticas, para hacerlas ellos mismos”.

Según Ortega, el NotPetya “no es un ransomware, sino un destructor, hecho para destruir computadoras. Un método que se usa mucho con las operaciones de la llamada ciberguerra”.

“Aparentemente lo compró el ejército ruso, lo disfrazó para que pareciera un ransomware y lo largó en Ucrania. Lo que es seguro es que no fue un ransomware, sino una cíberarma diseñada para reventar un país”, analizó el especialista.

A finales de la semana pasada varios informes habían notado que si bien el NotPetya demandaba un pago en bitcoins equivalente a 300 dólares para liberar los equipos infectados, la dirección de mail que brindaba para recibir la confirmación del depósito estaba suspendida, lo que daba cuenta de que los archivos encriptados no serían recuperados por más de que se efectuara el pago.

A ello se le agrega el destrozo del disco rígido y de parte del sistema operativo, lo que hace que el equipo no se pueda volver a usar.

Para Gutiérrez Amaya, en cambio, el NotPetya sí es un ransomware, pero a diferencia de los conocidos tiene características de gusano -lo que hace que una vez que infecta un equipo, se propague al resto de la red- “lo que lo hace más nocivo”.

Como fuera, un informe de la firma de seguridad informática Kaspersky llamó la atención sobre el crecimiento de un modelo que denominó “ransomware como un servicio”, con el cual los ciberdelincuentes “ofrecen su producto malicioso ‘por demanda’, esparciéndolo por múltiples distribuidores y con un recorte de sus beneficios”.

“Si bien el ransomware como servicio no es una nueva tendencia, este modelo de propagación continúa desarrollándose, con más y más creadores de ransomware ofreciendo su producto malicioso. Este enfoque ha demostrado ser inmensamente atractivo para los criminales que carecen de las habilidades, los recursos o la inclinación a desarrollar su propio malware”, advirtió la investigación.