Aumenta la competencia entre grupos de cibercriminales en torno al ransomware

Publicado el 28 marzo 2017 por Barracuda Comespam @comespam

Una serie de ciberdelicuentes roban el código del ransomware-as-a-service Petya a otro colectivo similar, y crean un troyano parecido sin pagar a sus autores un céntimo.

En mayo de 2016, Kaspersky Lab descubrió el ransomware Petya, que no sólo cifra los datos almacenados en un ordenador, sino que también sobrescribe el registro de arranque maestro de la unidad de disco duro, imposibilitando a los ordenadores infectados arrancar el sistema operativo. Este malware es un ejemplo destacado del modelo ransomware-as-a-service, ya que los creadores ofrecen su producto malicioso bajo demanda a través de múltiples distribuidores y cobran una cantidad por ello.

Para asegurar su parte de los beneficios, los autores de Petya introdujeron ciertos “mecanismos de protección” en su malware que impedía el uso no autorizado de muestras de Petya. Ahora, los creadores del troyano PetrWrap han logrado superar estos mecanismos y han encontrado una forma de usar Petya sin pagar a sus autores un céntimo. Así lo han descubierto los analistas de Kaspersky Lab, quienes indican que este hecho es indicativo de la creciente competitividad que existe en el mercado negro del ransomware.

Ahora bien, todavía no está claro cómo se está distribuyendo PetrWrap. Después de la infección, PetrWrap lanza Petya para cifrar los datos de su víctima y luego exige un rescate. Los autores de PetrWrap utilizan sus propias claves de cifrado privadas y públicas en lugar de aquellas que vienen con versiones “stock” de Petya. Esto significa que pueden operar sin necesidad de una clave privada de los operadores de Petya para el descifrado del equipo de la víctima, en caso de que se pague el rescate.

Aparentemente no es una coincidencia que los desarrolladores de PetrWrap hayan elegido Petya para sus actividades maliciosas, pues esta familia de ransomware ahora tiene un algoritmo criptográfico bastante perfecto que es difícil de romper. Además, la pantalla de bloqueo mostrada a las víctimas de PetrWrap no refleja ninguna mención de Petya, haciendo más difícil para los expertos de seguridad evaluar la situación e identificar rápidamente qué familia de ransomware se ha utilizado.

“Estamos viendo que los actores de amenaza están empezando a atacarse unos a otros. Desde nuestra perspectiva, indica la creciente competencia entre los grupos de ransomware. Teóricamente, esto es bueno, porque cuanto más tiempo pasen los cibercriminales para luchar y engañarse mutuamente, menos organizados serán y menos efectivas serán sus campañas maliciosas”, opina Anton Ivanov, analista de seguridad Anti-Ransom de Kaspersky Lab. Eso sí, añade, “lo preocupante aquí es el hecho de que PetrWrap se utiliza en ataques dirigidos. Éste no es el primer caso de ataques de ransomware objetivo y, por desgracia, es más probable que no sea el último. Instamos a las organizaciones a prestar la mayor atención posible a la protección de sus redes frente a este tipo de amenazas, porque las consecuencias pueden ser realmente desastrosas”, concluye el directivo.

Fuente: ITuser