Petya

Petya
Tipus	troià informàtic, cuc i ransomware
Basat en	Eternalblue
Versió inicial	març 2016
Característiques tècniques
Sistema operatiu	Microsoft Windows

Petya és un programari maliciós de tipus ransomware reportat per l'empresa Heise Security. Petya s'escampa com troià usant el popular sistema d'arxius en el núvol Dropbox.^[1] Mentre la majoria dels programaris maliciosos de segrest de computadores selecciona els arxius a encriptar, Petya augmenta el dany potencial en impedir l'arrencada de la computadora.

Funcionament modifica

Aquest programari maliciós utilitza enginyeria social per convèncer a usuaris (o a administradors de xarxes) de descarregar un arxiu que en obrir-lo s'auto-extreu i executa el troià. En executar-se apareix una alerta de Windows. Si l'usuari prossegueix, Petya s'allotja el Registre d'arrencada principal de la computadora de la víctima, desactiva la manera d'inici segur de windows i l'equip es reinicia. En reiniciar, apareixen finestres d'alerta indicant que l'equip ha estat segrestat i com accedir al lloc dels segrestadors per pagar el rescat abans del venciment d'un termini de temps. En vèncer-se el termini de temps, la suma del rescat es duplica.

Els primers atacs observats van ocórrer a Alemanya, amb una campanya de missatges dirigits a empreses de recursos humans, on un candidat inclou un enllaç per descarregar el seu currículum des de Dropbox.^[2] Des del seu descobriment, els antivirus han començat a actualitzar-se i l'empresa Dropbox va eliminar dels seus servidors els arxius afectats allí allotjats.^[3]

Accions mitigants modifica

El primer que ha de fer una víctima de segrest de computadora és apagar l'equip, atès que mentre estigui actiu el programari maliciós podria encriptar més arxius. S'ha reportat que és possible reiniciar des d'un altre disc diferent de l'infectat i recuperar els arxius del disc compromès. En els sistemes revisats per Heise Security no es va observar xifratge d'arxius, només del registre d'arrencada principal.^[2]

NotPetya modifica

El 27 de juny de 2017, un mes i mig després dels atacs del ransomware WannaCry, una variant del programari maliciós anomenat NotPetya ,va afectar sistemes i xarxes de tot el món. El 80% dels ordinadors infectats es trobaven situats a Ucraina, on les seves xarxes energètiques ja havien sigut objectiu de diferents atacs previs des del conflicte amb la Federació Russa. Tot i això, moltes empreses europees i americanes de pes també es van veure greument afectades, com la Societat Nacional de Ferrocarrils Francesos (SNCF).^[4]

En un primer moment, Costin Raiu, expert de l'empresa russa de ciberseguretat Kaspersky, va afirmar que NotPetya era la versió modificada del virus anterior Petya. Aquest es va donar a conèixer en 2016. A més de xifrar les dades personals de l'usuari, bloquejava també el disc dur completament.^[5]

Poc després, l'empresa va precisar en un comunicat que el programa no era una variant de Petya, sinó un virus completament nou (d'aquí el nom NotPetya, "no Petya"). A les 19 hores, aproximadament 2000 ordinadors estaven ja fets malbé. En aquell moment Kaspersky no era conscient si el xifrat utilitzat per bloquejar les dades, s'hi podia o no penetrar. No obstant això, els mètodes foren bastant semblants als de Petya: el programa donava a entendre que s'estava realitzant una verificació del disc dur per, seguidament, bloquejar-ho tot. A continuació, un missatge d'error indicava les instruccions per pagar el rescat. A les 19:30 hores, ja s'havien dipositat 4500 dòlars com a rescat, a través de la moneda digital bitcoin, malgrat que tots els experts adverteixen a les persones piratejades que mai han de pagar als atacants. D'altra banda, la safata d'entrada a la qual es demana enviar la confirmació de pagament va ser tancada ràpidament. Va deixar clar que les dades no podien desbloquejar-se a canvi d'un rescat.

Aquest últim element va fer pensar a Kevin Beaumont, especialista en seguretat informàtica, que l'objectiu principal de NotPetya no era realment beneficiar-se econòmicament. Segons ell, els pirates haurien triat un altre allotjament web per la seva direcció si haguessin volgut seguir acumulant més diners en més temps. Més endavant, els experts van arribar a la conclusió que simplement buscava fer malbé els sistemes i destrossar la informació.^[6]

Rescat gratuït modifica

Gràcies a un esforç col·lectiu, després de la publicació dels detalls del programari maliciós, van ser publicades dues eines claus per rescatar els equips segrestats sense pagar el rescat. La primera és un analitzador que pren com entrada extractes d'arxius que van ser encriptats per Petya i genera una clau similar a la que reben les víctimes després d'haver pagat rescat. La segona és un extractor de segments que permet generar l'entrada per a l'analitzador. La feblesa del mecanisme de xifratge emprat per aquest programari maliciós permet rescatar els equips segrestats. És previsible que noves generacions d'aquest programari maliciós utilitzin un mètode de xifratge més sofisticat.^[7]

Referències modifica

↑ Ronald Eikesberg. «Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab», 24-03-2016. [Consulta: 31 març 2016].
↑ ^2,0 ^2,1 Sean Gallagher. «New ransomware installs in boot record, encrypts hard disk [Updated Petya performs fake CHKDSK, and instead encrypts the master file table on disk.]», 30-03-2016. [Consulta: 31 març 2016].
↑ Jasen Sumalapao. «PETYA Crypto-ransomware Overwrites MBR to Lock Users Out of Their Computers», 25-03-2016. [Consulta: 31 març 2016].
↑ à 12h00, Par Le Parisien avec AFPLe 28 juin 2017; À 13h10, Modifié Le 28 Juin 2017. «Cyberattaque : le logiciel de rançon NotPetya a touché des milliers d'ordinateurs» (en francès), 28-06-2017. [Consulta: 7 desembre 2019].
↑ «Petya ransomware encrypts files, locks users our of computers» (en anglès americà), 29-03-2016. [Consulta: 7 desembre 2019].
↑ «El objetivo del ciberataque con NotPetya no era ganar dinero, sino destruir información» (en castellà), 30-06-2017. [Consulta: 7 desembre 2019].
↑ Dan Goodin. «Experts crack nasty ransomware that took crypto-extortion to new heights - Freely available tool derives password used to corrupt master boot record.», 11-04-2016. [Consulta: 11 abril 2016].

Vegeu també modifica

Enllaços externs modifica

Malicious Software a Curlie
Further Reading: Research Papers and Documents about Malware on IDMARCH (Int. Digital Media Archive)
Advanced Malware Cleaning – a Microsoft video

[Heise-1] Ronald Eikesberg. «Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab», 24-03-2016. [Consulta: 31 març 2016].

[ars-2] 2,0 ^2,1 Sean Gallagher. «New ransomware installs in boot record, encrypts hard disk [Updated Petya performs fake CHKDSK, and instead encrypts the master file table on disk.]», 30-03-2016. [Consulta: 31 març 2016].

[Trend_Micro-3] Jasen Sumalapao. «PETYA Crypto-ransomware Overwrites MBR to Lock Users Out of Their Computers», 25-03-2016. [Consulta: 31 març 2016].

[4] à 12h00, Par Le Parisien avec AFPLe 28 juin 2017; À 13h10, Modifié Le 28 Juin 2017. «Cyberattaque : le logiciel de rançon NotPetya a touché des milliers d'ordinateurs» (en francès), 28-06-2017. [Consulta: 7 desembre 2019].

[5] «Petya ransomware encrypts files, locks users our of computers» (en anglès americà), 29-03-2016. [Consulta: 7 desembre 2019].

[6] «El objetivo del ciberataque con NotPetya no era ganar dinero, sino destruir información» (en castellà), 30-06-2017. [Consulta: 7 desembre 2019].

[crack-7] Dan Goodin. «Experts crack nasty ransomware that took crypto-extortion to new heights - Freely available tool derives password used to corrupt master boot record.», 11-04-2016. [Consulta: 11 abril 2016].

[1]

[2]

[3]

[4]

[5]

[6]

[7]