Los creadores de NotPetya han empezado a moverse, una semana después de soltar su ransomware en Internet.

Aunque el impacto de NotPetya no ha sido tan grande como el de Wannacry, también ha hecho perder mucho dinero a varias empresas y ha puesto en peligro a usuarios de todo el mundo.

La verdad es que pilló a todo el mundo por sorpresa porque resultó ser más diferente de Wannacry de lo que esperábamos. De hecho, el consenso actual entre los investigadores es que NotPetya no es ransomware, es decir, que no secuestra nuestros archivos; en vez de eso, se disfraza de ransomware cuando en realidad lo que hace es dañar los datos de nuestro almacenamiento para impedir su recuperación.

Mucha gente, ya sea por desconocimiento o por esperanza, ignoró estos avisos y ha pagado cuantiosas sumas en bitcoin a los creadores de NotPetya; en total, más de 10 600 dólares han acabado en la cartera de bitcoin mostrada en el mensaje que aparece cuando somos infectados con NotPetya.

Coge el dinero y corre, la táctica de los creadores de NotPetya

Hoy, y después de varios días desaparecidos, los creadores anónimos de NotPetya han dado señales de vida. Lo primero que han hecho ha sido guardar el dinero que han conseguido; parece que, después de una semana de avisos de los medios, finalmente el ritmo al que llegaban los pagos se ha reducido.

Así que ahora toca coger el dinero y correr; o al menos correr de manera virtual. La manera en la que los culpables han repartido el dinero es curiosa; primero han realizado dos pagos, de entre 285 y 300 dólares, a las cuentas de PasteBin y DeepPaste.

notpetya creadores 2

Estos son dos servicios que nos permiten escribir y compartir notas de texto de manera anónima; son las preferidas en los “bajos fondos” de Internet para compartir información y mandar comunicados de manera anónima.

Lo interesante es qué han hecho con los 10 000 dólares restantes. Aunque bitcoin es anónimo, como las transferencias son públicas hay una posibilidad de ser rastreado. Por eso lo primero que han hecho es transferir ese dinero a otra cuenta; a partir de ahí, pasarán los bitcoin por un “tumbler”, un servicio que se encarga de mezclar bitcoin para eliminar el rastro.

blanqueo bitcoin 1

Este tipo de servicios son el equivalente a blanquear dinero negro, ya que hace más difícil el rastreo; los bitcoin de distintas carteras se mezclan y se envían, en pequeñas cantidades, a diferentes cuentas en forma de miles de microtransacciones. Los culpables entonces pueden usar ese dinero como les plazca.

Un nuevo mensaje promete la clave para descifrar todos los archivos

Sin embargo, parece que los creadores de NotPetya aún tienen ganas de ganar un poco más; en la Deep Web ha aparecido un mensaje y un canal de chat que promete la clave para descifrar los archivos cifrados por NotPetya. BleepingComputer ha podido contactar con los administradores de ese chat, supuestamente representantes del grupo detrás de NotPetya.

notpetya creadores 1

Supuestamente la clave permite descifrar cualquier almacenamiento cifrado por NotPetya; sin embargo, hay que recordar que NotPetya también afecta a la tabla de particiones del disco duro o SSD, y que incluso borra partes del almacenamiento escribiendo encima de ellas.

Por lo tanto, incluso aunque tengas la clave para descifrar los archivos, sería difícil recuperarlos. El grupo pide 100 bitcoins (223 170 €) por la clave; por lo que sólo las mayores compañías o gobiernos podrían pagarlo. Ni que decir tiene que no deberías pagar ni una millonésima parte de esa cantidad; de hecho no deberías pagar en absoluto. Los creadores de NotPetya ya han demostrado que no tienen problemas en coger el dinero y huir.