Kevin Magee, Global Security Strategist de Gigamon
El ataque NotPetya ¿fue malware? Ransomware? ¿destructor de
información? Algo devastó los sistemas informáticos en toda Ucrania y luego se
extendió a otros países, infectando y cerrando firmas de abogados,
supermercados, agencias de publicidad, cajeros automáticos y hospitales.
Días después del ataque, investigadores en seguridad
informática todavía están tratando de averiguar qué es exactamente NotPetya.
Sin embargo, independientemente del análisis técnico final, la gran pregunta
sigue siendo: ¿Fue NotPetya un acto de ciberguerra?
Ransomware?
¿destructor? ¿Qué fue realmente?
En este punto, está claro que NotPetya es malware, ¿pero es
ransomware o un destructor de información? Aquí es donde las cosas empiezan a
complicarse.
NotPetya no es exactamente un destructor de discos duros,
pero ciertamente no es ransomware tampoco. El problema es que NotPetya no
elimina datos con una intención clara como un limpiador, digamos, como Shamoon
y KillDisk. NotPetya tampoco cifra archivos con la intención de exigir un
rescate por las claves de descifrado como lo haría el ransomware normal.
NotPetya encierra los archivos y se deshace de la llave,
asegurando que las víctimas nunca puedan recuperar sus sistemas. De esta
manera, los archivos cifrados son sometidos básicamente a un método de borrado.
Por lo tanto, se podría decir que una infección ransomware que no deja
posibilidad alguna de recuperación y el descifrado de archivos es equivalente a
un limpiador.
Por ahora, la mayoría de los investigadores de seguridad
insisten que esto fue un trabajo de borrado. Matt Suiche fundador de Comae
Technologies publicó un análisis titulado: "Petya.2017, un trabajo de
borrado y no de Ransomware"; por otro lado, Kaspersky Labs publicó otro
similar denominado: "ExPetr / Petya / NotPetya es un limpiador, no
Ransomware"
Sin embargo, considero que NotPetya se describe mejor como
un ataque híbrido o tal vez uno de tipo ransom-wiper-ware
¿Ataque cibernético
dirigido contra Ucrania?
Habiendo establecido que no sabemos cómo clasificar el
ataque, vamos a sumergirnos en aguas aún más turbias. ¿Fue NotPetya un ataque
cibernético dirigido contra Ucrania? En los últimos meses, vimos el objetivo de
CrashOverride y derribar la red eléctrica de Ucrania, seguido de cuatro ataques
maliciosos sucesivos y altamente enfocados en Ucrania que estaban vestidos para
parecer un ransomware. Estos incluyen XData, PSCrypt, NotPetya y un ataque aún
sin nombre descubierto por el investigador de seguridad Malware Hunter, que fue
diseñado para parecerse a WannaCry, pero de hecho es algo completamente nuevo.
Este cuarto ataque también parece haber utilizado un método
de entrega similar a XData y NotPetya: los servidores de actualización de M.E.Doc,
un popular paquete de software de contabilidad ampliamente utilizado en
Ucrania. Aunque M.E.Doc lo niega vehementemente, Microsoft y Talos, entre
otros, han señalado a la compañía como la fuente de la distribución inicial de
NotPetya.
NotPetya ha sido el ataque informático más devastador hasta
el momento, con el vector de entrega altamente dirigido a infectar a las
empresas y víctimas corporativas en Ucrania. El problema con un malware como
este es que una vez que se libera en la naturaleza, puede propagarse a otros
sistemas, redes y países por sí solo. Entonces, ¿estaba dirigido o no? La
respuesta es inconclusa "probablemente" en este punto.
Sin una atribución positiva, el creciente consenso es que la
responsabilidad recae en un actor estatal o suplente. Un número de
investigadores de seguridad líderes han sugerido esto, incluyendo el NATO
Cooperative Cyber Defence Centre of Excellence que emitió una declaración el 30
de junio confirmando:
"NotPetya probablemente fue lanzado por un actor
estatal o un actor no estatal con apoyo o aprobación de un estado. Otras
opciones son poco probables. La operación no fue demasiado compleja, pero aun
así compleja y costosa de haber sido preparada y ejecutada por hackers no
afiliados por el bien de la práctica. Los delincuentes cibernéticos tampoco
están detrás de esto, ya que el método para recaudar el rescate estaba tan mal
diseñado que el rescate probablemente ni siquiera cubría el costo de la
operación ".
Esto nos lleva de nuevo a la pregunta inicial. Si
probablemente fue lanzado por un actor estatal o un sustituto y que
probablemente estaba dirigido a Ucrania, y probablemente estaba destinado a
causar daños económicos generalizados e indiscriminados, ¿NotPetya fue un acto
de ciberguerra?
La razón es muy importante para determinar si fue o no un
acto de guerra y de ser así, que pasos tomará la OTAN para proteger la
seguridad a la que siempre se ha comprometido. La defensa colectiva, tal como
se define en el artículo 5 del tratado, se reduce a: Un ataque contra un aliado
es considerado como un ataque contra todos los aliados. Por lo tanto, un sólido
sí con abundante evidencia tendría graves consecuencias políticas y militares.
¿Un acto de
ciberguerra?
Aunque muchos indicadores muestran que NotPetya era un
limpiador disfrazado de ransomware, así como un ataque cibernético dirigido a
causar destrucción generalizada en Ucrania por un actor estatal o suplente, sin
una definición técnica clara y sólo pruebas circunstanciales y sin atribución
clara, ¿puede eealmente ser considerado un acto de ciberguerra?
La OTAN dice,
"probablemente no":
"Si la operación pudiera vincularse a un conflicto
armado internacional en curso, entonces se aplicaría la ley de los conflictos
armados, al menos en la medida en que las lesiones o daños físicos fueran
causados por ella y con respecto a la posible participación directa en
hostilidades por parte de hackers civiles, Pero hasta ahora no hay informes de
ninguno.
Hay una falta de un elemento coercitivo claro con respecto a
cualquier gobierno en la campaña, así que la intervención prohibida no entra en
juego. A medida que se van dirigiendo los sistemas gubernamentales importantes,
en caso de que la operación se atribuya a un estado, esto podría considerarse
una violación de la soberanía ". - Tomáš Minárik, investigador de la CCD
de la OTAN
Seamos sinceros. La OTAN no va a hacer una llamada clara
sobre quién está exactamente detrás de esto en el corto plazo. La cantidad
actual de pruebas circunstanciales probablemente no sería suficiente para
conseguir ser lo suficientemente concluyente como para llamar a un
estado-nación específico por haber cometido un crimen internacional. Para
acercarnos a declarar que esto es un acto de ciberguerra, hay muchos detalles
que necesitan ser investigados a fondo y probados y, hasta ahora, no estamos
muy cerca de lograrlo.
Si no es un acto de
ciberguerra, ¿qué es NotPeyta?
La OTAN saldrá perpleja y dirá que "[NotPetya] podría
ser un hecho internacionalmente ilícito, que podría dar a los estados objetivo
varias opciones para responder con contramedidas".
Si esto es cierto y la comunidad internacional llega a la
conclusión de que NotPetya es un "hecho internacionalmente ilícito"
con arreglo al derecho internacional, podría dar lugar a una respuesta conjunta
de la UE en forma de sanciones. El Consejo Europeo emitió un comunicado de
prensa al respecto, señalando, además:
La respuesta diplomática de la UE a actividades cibernéticas
maliciosas hará pleno uso de las medidas de la Política Exterior y de Seguridad
Común, incluidas, en su caso, medidas restrictivas. Una respuesta conjunta de
la UE a actividades cibernéticas maliciosas sería proporcional al alcance, la
escala, la duración, la intensidad, la complejidad, la sofisticación y el
impacto de la actividad cibernética.
La UE reafirma su compromiso con la solución pacífica de
controversias internacionales en el ciberespacio. En este contexto, todos los
esfuerzos diplomáticos de la UE deben tener como objetivo prioritario promover
la seguridad y la estabilidad en el ciberespacio mediante una mayor cooperación
internacional y reducir el riesgo de malentendidos, escalada y conflictos que
pueden derivarse de incidentes relacionados con las TIC.
En el caso de que no fuera ni un acto de guerra cibernética
ni un "hecho internacionalmente ilícito", ¿cómo podríamos llamarlo
ahora? Lauri Lindström, investigadora de la Sección de Estrategia del COE de la
CCD de la OTAN, llegará tan lejos como para decir que se trataba de una
"declaración de poder" y que el ataque era simplemente una
"demostración de la capacidad disruptiva adquirida y disposición a
utilizarla".
¿Declaración de poder? ¿Qué significa eso? La parte de
tecnología era fácil, pero cualquier cosa sobre la capa 7 también está por
encima de mi nivel de pago y comprensión. Lo que sí creo que significa es que
nadie sabe realmente qué hacer cuando se trata de cibercriminales como los que
perpetraron este ataque.
Desafortunadamente, mientras todo esto sucede, los
consumidores, los ciudadanos, las empresas y los gobiernos seguirán estando en
peligro y deberán considerar invertir en una postura de seguridad basada en la
visibilidad para que puedan detectar mejor y responder rápidamente a todo lo
anterior: Ciberataques, actos internacionalmente ilícitos y declaraciones de
poder.
