Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

Los piratas informáticos de NotPetya Ransomware quieren 100 Bitcoins para claves de descifrado

La historia del brote de ransomware NotPetya de la semana pasada ha dado un giro inesperado. Los fondos rescatados han permanecido inactivos en una billetera de Bitcoin desde que las autoridades ucranianas mitigaron el ataque, pero ahora el dinero está en movimiento. Alguien que afirma estar detrás del ataque ha retirado los fondos y ha publicado una nueva demanda de rescate. Por el bajo precio de 100 Bitcoins, él o ella entregar las claves maestras de descifrado del malware NotPetya.

El ransomware NotPetya comenzó a afectar a las computadoras a fines de junio, solo unas semanas después de que ocurriera un ataque similar de WannaCry. De hecho, ambas piezas de malware utilizaron el exploit de Windows EternalBlue expuesto por documentos filtrados de la NSA. Como todo ransomware, NotPetya cifra los archivos cuando llega a una nueva máquina, luego aparece un aviso para enviar Bitcoins a una determinada dirección a cambio de la clave. NotPetya vino con la ventaja adicional de eliminar ciertos archivos a nivel del sistema, lo que hacía que las máquinas no pudieran arrancar. Parece que la intención nunca fue proporcionar las claves de cifrado.

Eso hace que el último movimiento sea aún más confuso. La cadena de bloques de Bitcoin es pública, por lo que los investigadores y las autoridades estaban observando la dirección de la billetera que recibió pagos por NotPetya. La billetera se envió alrededor de cuatro Bitcoins, lo que equivale a más de $ 10,000. A $ 300 por rescate, eso equivale a más de 30 víctimas que pagan $ 300 cada una. Y probablemente no recibieron nada a cambio.

Los fondos se retiraron repentinamente ayer de la billetera y se enviaron a otras tres billeteras. Una era una billetera previamente vacía creada por quien movió el dinero. Los otros dos son propiedad de PasteBin y DeepPaste, servicios que suelen utilizar los piratas informáticos para anunciar sus vulnerabilidades.

petya_statement

Poco después de la transferencia, DeepPaste solo para Tor publicó un mensaje supuestamente del autor de NotPetya exigiendo 100 Bitcoins a cambio de las claves maestras de descifrado. El mensaje dice que no se pueden recuperar los discos de arranque (debido a esos archivos eliminados), pero los archivos que se cifraron se pueden recuperar. Si alguien compra la clave, en teoría podría intentar extorsionar a los que ya están infectados con el malware. Sin embargo, tendrían que tener mucho éxito en eso para recuperar la inversión de $ 261,000.

Aún se desconoce quién estuvo detrás del ataque. Ucrania, que fue el objetivo de la mayoría de las infecciones de Petya, ha culpado a Rusia. Los expertos en ciberseguridad están sorprendidos de que se haya movido el dinero, ya que sería difícil retirarlo en cualquier lugar sin ser rastreado. Es posible que todo sea un engaño destinado a desviar a los investigadores, pero solo alguien involucrado con NotPetya podría haber accedido a la billetera de Bitcoin. Todavía están ahí fuera.