PetrWrap: ciberdelicuentes roban código ransomware-as-a-service a otro grupo cibercriminal

kas-logoLos analistas de Kaspersky Lab han descubierto PetrWrap, una nueva familia de malware que explota el módulo de ransomware original de Petya, distribuido a través de una plataforma Ransomware-as-a-Service, para realizar ataques dirigidos contra organizaciones concretas.

Los creadores de PetrWrap crearon un módulo especial que modifica el ransomware de Petya original “sobre la marcha”, dejando a sus autores indefensos contra el uso no autorizado de su malware. Este hecho es indicativo de la creciente competitividad que existe en el mercado negro del ransomware.

En mayo de 2016, Kaspersky Lab descubrió el ransomware Petya que no sólo cifra los datos almacenados en un ordenador, sino que también sobrescribe el registro de arranque maestro (MBR) de la unidad de disco duro, imposibilitando a los ordenadores infectados arrancar el sistema operativo.

Este malware es un ejemplo destacado del modelo Ransomware-as-a-Service, ya que los creadores ofrecen su producto malicioso ‘on demand’ a través de múltiples distribuidores y cobran una cantidad por ello.

Para asegurar su parte de los beneficios, los autores de Petya introdujeron ciertos “mecanismos de protección” en su malware que impedía el uso no autorizado de muestras de Petya. Los autores del troyano PetrWrap lograron superar estos mecanismos y han encontrado una forma de usar Petya sin pagar a sus autores un céntimo.

Todavía no está claro cómo se está distribuyendo PetrWrap. Después de la infección, PetrWrap lanza Petya para cifrar los datos de su víctima y luego exige un rescate. Los autores de PetrWrap utilizan sus propias claves de cifrado privadas y públicas en lugar de aquellas que vienen con versiones “stock” de Petya.

Esto significa que pueden operar sin necesidad de una clave privada de los operadores de Petya para el descifrado del equipo de la víctima, en caso de que se pague el rescate.




Acerca del autor
Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.