www.zonamovilidad.es
TeleBots detrás de la amenaza similar a Petya

TeleBots detrás de la amenaza similar a Petya

lunes 03 de julio de 2017, 13:39h

Escucha la noticia

ESET ha identificado varias posibilidades sobre el origen de la amenaza con características similares a Petya que asoló el mundo empresarial la semana pasada.

La forma de operar de TeleBots consistía en utilizar KillDisk para sobreescribir archivos con extensiones específicas en los discos de las víctimas

Gracias a las investigaciones realizadas por la compañía, se han encontrado similitudes entre múltiples campañas llevadas a cabo por el grupo cibercriminal ucraniano TeleBots y el conjunto de herramientas utilizados entre diciembre de 2016 y marzo de 2017 por este grupo y relacionadas con el ataque Diskcoder.C (también conocido como Petya), que tuvo lugar el pasado 27 de junio.

“Los paralelismos que hemos encontrado entre el ataque llevado a cabo en diciembre de 2016 contra instituciones financieras y los desarrollos de una versión del malware KillDisk para Linux utilizada por TeleBots son una pista fiable. Estos indicadores, junto a los ataques crecientes a los sistemas informáticos en Ucrania, son los que nos hicieron centrar nuestra atención en TeleBots”, afirma Anton Cherepanov, investigador senior para malware en ESET.

La forma de operar de TeleBots consistía en utilizar KillDisk para sobreescribir archivos con extensiones específicas en los discos de las víctimas. De esta manera, el rescate no era el objetivo primordial de los atacantes, ya que no se cifraban los archivos, sino que éstos se sobreescribían. De la misma manera, los ataques siguientes sí que incluyeron el cifrado de archivos y se incorporaron otros aspectos más típicos del ransomware, como información de contacto para pagar el rescate, aunque se solicitaban cifras astronómicas (222 bitcoines) que, de nuevo, hacían pensar que el objetivo real era causar daños a las empresas afectadas, más que obtener beneficios económicos.

El 27 de junio una nueva amenaza similar a Petya (Diskcoder.C) puso en evidencia los sistemas de tantas empresas y las infraestructuras críticas de Ucrania. Esta amenaza incluyó la posibilidad de reemplazar el MBR con su propio código malicioso, funcionalidad prestada del ransomware Win32/Diskcoder.Petya.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios