Corea del Norte podría estar detrás del ransomware WannaCry, pero no hay pruebas definitivas

      Comentarios desactivados en Corea del Norte podría estar detrás del ransomware WannaCry, pero no hay pruebas definitivas

Las empresas ya están enseñando sus productos orientados al mundo de los videojuegos en la Gamescom de este año Tras conocer lo que Microsoft tenía preparado para enseñarnos en esta… Leer más »

Mantener nuestro sistema operativo limpio y libre de aplicaciones y archivos que puedan ralentizar su uso, es importante. Eso es precisamente de lo que se encarga Win10Clean, un optimizador para poner… Leer más »

Microsoft presentó Windows 10 Pro for Workstation, la última variante de su sistema operativo, algo que amplía una familia que teóricamente iba a tener menos miembros que las antiguas ediciones de… Leer más »

Celulares

iPhone X Desde un principio nuestro objetivo fue crear un iPhone que fuera todo pantalla. Un dispositivo tan envolvente que prácticamente desapareciera al usarlo. Tan inteligente que respondiera a un… Leer más »

La marca de manzana mordida, lanzará dos versiones de un mismo smartphone a precios diferentes a $900 y $1,000 Según los analistas de UBS, la medida responde a la capacidad… Leer más »

Google aprovechó el eclipse total solar de 2017 para revelar el nombre oficial de la próxima versión de su sistema operativo, Android 8.0, conocido anteriormente como Android O. Con el… Leer más »

El ransomware WannaCry (y también conocido como Wanna Decrypt0r o WCry entre otros) sigue siendo tema central de la actualidad tecnológica. Investigadores de seguridad de diversas empresas han estudiado el código y creen que este ciberataque masivo podría proceder de Corea del Norte.

Esa teoría se basa en el hecho de que WannaCry comparte código con el malware desarrollado por un grupo de crackers norcoreanos llamado Lazarus Group. Aunque eso haya ocurrido, esa no es una prueba definitiva de que el ataque haya procedido de allí, y de hecho cualquier cracker podría haber hecho lo mismo desde cualquier parte del mundo.

Reutilizando código de 2015

WannaCry se ha extendido a 300.000 máquinas en más de 150 países, afirman los expertos, y en el estudio de su funcionamiento se ha descubierto que el código hay partes que ya se utilizaron en el código de un backdoor llamado Contopee desarrollado por Lazarus Group en 2015.

Expertos en seguridad como Matt Suiche, fundador de Comaeio, explicaba en dos artículos en el blog de su empresa cómo el descubrimiento inicial de Neel Mehta, investigador en Google, estaba justificado. Al decompilar el código de WannaCry y de Contopee se podía ver cómo el funcionamiento del código era idéntico en parte de ambos malwares.

Esa conexión con Lazarus Group justificaría que el ataque procediese de Corea del Norte, algo a lo que se suma el hecho de que como indicaba Suiche, “su narrativa en el pasado ha estado dominada por la infiltración en instituciones financieras con el objetivo de robar dinero”. El Symantec Security Response precisamente hablaba de ese malware hace un año.

Los argumentos son notables, pero no definitivos

Para este investigador el ciberataque masivo tiene un claro componente político, y según su opinión “esto indicaría que una nación extranjera hostil podría haber aprovechado las capacidades ofensivas que perdió el Equation Group para crear el caos global“.

El ataque sigue tratando de actuar y de propagarse, pero un segundo killswitch (un “interruptor de desactivación” consistente de nuevo en un dominio muy particular) ha logrado frenar su avance.

Corea del Norte en el punto de mira, pero podría ser cualquier otro país

Mientras tanto siguen los procesos que tratan de descubrir esa autoría y que por supuesto tratan de frenar definitivamente a un ransomware que ciertamente podría provenir de Corea del Norte. Habrá que esperar para saber si Lazarus Group dice algo al respecto, pero por el momento conviene ser cautos: ese código compartido existe, pero esa evidencia no es aún concluyente.

Wannacry1

De hecho como indicanban en Cyberscoopel código compartido no es lo mismo que la atribución. El código puede ser escrito y borrado por cualquiera, y el código compartido se reutiliza a menudo”. Esa práctica es tan común entre desarrolladores y desarrollos convencionales como entre aquellos dedicados al mundo de la seguridad informática, tanto para bien como (y aquí tenemos un buen ejemplo) para mal.

El propio Suiche afirmaba que “la atribución se puede falsificar siempre, porque solo es cuestión de mover algunos bytes de un lado a otro”. Los investigadores de Kaspersky Labs que también estudiaron esas similitudes en el código indicaban que “se necesita investigar más sobre el código de las primeras versiones de WannaCry”.

En Symantec coinciden en esas valoraciones sobre lo poco definitivo que es ese descubrimiento: “aunque la conexión existe, por el momento solo representa una conexión débil. Seguiremos investigando para [encontrar] conexiones más sólidas”.

Corea del Norte podría estar detrás del ransomware WannaCry, pero no hay pruebas definitivas
Califica este post