NOTPEYTA, ¿UN ACTO DE CIBERGUERRA?

Kevin Magee, Global Security Strategist de Gigamon

El ataque NotPetya ¿fue malware? Ransomware? ¿destructor de información? Algo devastó los sistemas informáticos en toda Ucrania y luego se extendió a otros países, infectando y cerrando firmas de abogados, supermercados, agencias de publicidad, cajeros automáticos y hospitales.

Días después del ataque, investigadores en seguridad informática todavía están tratando de averiguar qué es exactamente NotPetya. Sin embargo, independientemente del análisis técnico final, la gran pregunta sigue siendo: ¿Fue NotPetya un acto de ciberguerra?

Ransomware? ¿destructor? ¿Qué fue realmente?

En este punto, está claro que NotPetya es malware, ¿pero es ransomware o un destructor de información? Aquí es donde las cosas empiezan a complicarse.

NotPetya no es exactamente un destructor de discos duros, pero ciertamente no es ransomware tampoco. El problema es que NotPetya no elimina datos con una intención clara como un limpiador, digamos, como Shamoon y KillDisk. NotPetya tampoco cifra archivos con la intención de exigir un rescate por las claves de descifrado como lo haría el ransomware normal.

NotPetya encierra los archivos y se deshace de la llave, asegurando que las víctimas nunca puedan recuperar sus sistemas. De esta manera, los archivos cifrados son sometidos básicamente a un método de borrado. Por lo tanto, se podría decir que una infección ransomware que no deja posibilidad alguna de recuperación y el descifrado de archivos es equivalente a un limpiador.

Por ahora, la mayoría de los investigadores de seguridad insisten que esto fue un trabajo de borrado. Matt Suiche fundador de Comae Technologies publicó un análisis titulado: "Petya.2017, un trabajo de borrado y no de Ransomware"; por otro lado, Kaspersky Labs publicó otro similar denominado: "ExPetr / Petya / NotPetya es un limpiador, no Ransomware"

Sin embargo, considero que NotPetya se describe mejor como un ataque híbrido o tal vez uno de tipo ransom-wiper-ware

¿Ataque cibernético dirigido contra Ucrania?

Habiendo establecido que no sabemos cómo clasificar el ataque, vamos a sumergirnos en aguas aún más turbias. ¿Fue NotPetya un ataque cibernético dirigido contra Ucrania? En los últimos meses, vimos el objetivo de CrashOverride y derribar la red eléctrica de Ucrania, seguido de cuatro ataques maliciosos sucesivos y altamente enfocados en Ucrania que estaban vestidos para parecer un ransomware. Estos incluyen XData, PSCrypt, NotPetya y un ataque aún sin nombre descubierto por el investigador de seguridad Malware Hunter, que fue diseñado para parecerse a WannaCry, pero de hecho es algo completamente nuevo.

Este cuarto ataque también parece haber utilizado un método de entrega similar a XData y NotPetya: los servidores de actualización de M.E.Doc, un popular paquete de software de contabilidad ampliamente utilizado en Ucrania. Aunque M.E.Doc lo niega vehementemente, Microsoft y Talos, entre otros, han señalado a la compañía como la fuente de la distribución inicial de NotPetya.

NotPetya ha sido el ataque informático más devastador hasta el momento, con el vector de entrega altamente dirigido a infectar a las empresas y víctimas corporativas en Ucrania. El problema con un malware como este es que una vez que se libera en la naturaleza, puede propagarse a otros sistemas, redes y países por sí solo. Entonces, ¿estaba dirigido o no? La respuesta es inconclusa "probablemente" en este punto.

Sin una atribución positiva, el creciente consenso es que la responsabilidad recae en un actor estatal o suplente. Un número de investigadores de seguridad líderes han sugerido esto, incluyendo el NATO Cooperative Cyber Defence Centre of Excellence que emitió una declaración el 30 de junio confirmando:

"NotPetya probablemente fue lanzado por un actor estatal o un actor no estatal con apoyo o aprobación de un estado. Otras opciones son poco probables. La operación no fue demasiado compleja, pero aun así compleja y costosa de haber sido preparada y ejecutada por hackers no afiliados por el bien de la práctica. Los delincuentes cibernéticos tampoco están detrás de esto, ya que el método para recaudar el rescate estaba tan mal diseñado que el rescate probablemente ni siquiera cubría el costo de la operación ".

Esto nos lleva de nuevo a la pregunta inicial. Si probablemente fue lanzado por un actor estatal o un sustituto y que probablemente estaba dirigido a Ucrania, y probablemente estaba destinado a causar daños económicos generalizados e indiscriminados, ¿NotPetya fue un acto de ciberguerra?

La razón es muy importante para determinar si fue o no un acto de guerra y de ser así, que pasos tomará la OTAN para proteger la seguridad a la que siempre se ha comprometido. La defensa colectiva, tal como se define en el artículo 5 del tratado, se reduce a: Un ataque contra un aliado es considerado como un ataque contra todos los aliados. Por lo tanto, un sólido sí con abundante evidencia tendría graves consecuencias políticas y militares.

¿Un acto de ciberguerra?

Aunque muchos indicadores muestran que NotPetya era un limpiador disfrazado de ransomware, así como un ataque cibernético dirigido a causar destrucción generalizada en Ucrania por un actor estatal o suplente, sin una definición técnica clara y sólo pruebas circunstanciales y sin atribución clara, ¿puede eealmente ser considerado un acto de ciberguerra?

La OTAN dice, "probablemente no":

"Si la operación pudiera vincularse a un conflicto armado internacional en curso, entonces se aplicaría la ley de los conflictos armados, al menos en la medida en que las lesiones o daños físicos fueran causados por ella y con respecto a la posible participación directa en hostilidades por parte de hackers civiles, Pero hasta ahora no hay informes de ninguno.

Hay una falta de un elemento coercitivo claro con respecto a cualquier gobierno en la campaña, así que la intervención prohibida no entra en juego. A medida que se van dirigiendo los sistemas gubernamentales importantes, en caso de que la operación se atribuya a un estado, esto podría considerarse una violación de la soberanía ". - Tomáš Minárik, investigador de la CCD de la OTAN

Seamos sinceros. La OTAN no va a hacer una llamada clara sobre quién está exactamente detrás de esto en el corto plazo. La cantidad actual de pruebas circunstanciales probablemente no sería suficiente para conseguir ser lo suficientemente concluyente como para llamar a un estado-nación específico por haber cometido un crimen internacional. Para acercarnos a declarar que esto es un acto de ciberguerra, hay muchos detalles que necesitan ser investigados a fondo y probados y, hasta ahora, no estamos muy cerca de lograrlo.

Si no es un acto de ciberguerra, ¿qué es NotPeyta?

La OTAN saldrá perpleja y dirá que "[NotPetya] podría ser un hecho internacionalmente ilícito, que podría dar a los estados objetivo varias opciones para responder con contramedidas".

Si esto es cierto y la comunidad internacional llega a la conclusión de que NotPetya es un "hecho internacionalmente ilícito" con arreglo al derecho internacional, podría dar lugar a una respuesta conjunta de la UE en forma de sanciones. El Consejo Europeo emitió un comunicado de prensa al respecto, señalando, además:

La respuesta diplomática de la UE a actividades cibernéticas maliciosas hará pleno uso de las medidas de la Política Exterior y de Seguridad Común, incluidas, en su caso, medidas restrictivas. Una respuesta conjunta de la UE a actividades cibernéticas maliciosas sería proporcional al alcance, la escala, la duración, la intensidad, la complejidad, la sofisticación y el impacto de la actividad cibernética.

La UE reafirma su compromiso con la solución pacífica de controversias internacionales en el ciberespacio. En este contexto, todos los esfuerzos diplomáticos de la UE deben tener como objetivo prioritario promover la seguridad y la estabilidad en el ciberespacio mediante una mayor cooperación internacional y reducir el riesgo de malentendidos, escalada y conflictos que pueden derivarse de incidentes relacionados con las TIC.

En el caso de que no fuera ni un acto de guerra cibernética ni un "hecho internacionalmente ilícito", ¿cómo podríamos llamarlo ahora? Lauri Lindström, investigadora de la Sección de Estrategia del COE de la CCD de la OTAN, llegará tan lejos como para decir que se trataba de una "declaración de poder" y que el ataque era simplemente una "demostración de la capacidad disruptiva adquirida y disposición a utilizarla".

¿Declaración de poder? ¿Qué significa eso? La parte de tecnología era fácil, pero cualquier cosa sobre la capa 7 también está por encima de mi nivel de pago y comprensión. Lo que sí creo que significa es que nadie sabe realmente qué hacer cuando se trata de cibercriminales como los que perpetraron este ataque.

Desafortunadamente, mientras todo esto sucede, los consumidores, los ciudadanos, las empresas y los gobiernos seguirán estando en peligro y deberán considerar invertir en una postura de seguridad basada en la visibilidad para que puedan detectar mejor y responder rápidamente a todo lo anterior: Ciberataques, actos internacionalmente ilícitos y declaraciones de poder.