el ransomware masivo podría haber tenido su origen en Corea del Norte

El ransomware WannaCry (y además conocido como Wanna Decrypt0r o WCry entre otros) sigue siendo tema central de la contemporaneidad tecnológica. Investigadores de seguridad de diversas empresas han estudiado el código y creen que este ciberataque masivo podría proceder de Corea del Norte.

Esa teoría se friso en el hecho de que WannaCry comparte código con el malware desarrollado por un corro de crackers norcoreanos llamado Lazarus Group. Aunque eso haya ocurrido, esa no es una prueba definitiva de que el ataque haya procedido de allí, y de hecho cualquier cracker podría acaecer hecho lo mismo desde cualquier parte del mundo.

Reutilizando código de 2015

WannaCry se ha extendido a 300.000 máquinas en más de 150 países, afirman los expertos, y en el estudio de su funcionamiento se ha descubierto que el código hay partes que ya se utilizaron en el código de un backdoor llamado Contopee desarrollado por Lazarus Group en 2015.


Expertos en seguridad como Matt Suiche, fundador de Comaeio, explicaba en dos artículos en el blog de su empresa cómo el descubrimiento inicial de Neel Mehta, investigador en Google, estaba justificado. Al decompilar el código de WannaCry y de Contopee se podía ver cómo el funcionamiento del código era idéntico en parte de los dos malwares.

Esa conexión con Lazarus Group justificaría que el ataque procediese de Corea del Norte, poco a lo que se suma el hecho de que como indicaba Suiche, “su novelística en el pasado ha estado dominada por la infiltración en instituciones financieras con el objetivo de robar cuartos”. El Symantec Security Response precisamente hablaba de ese malware hace un año.

Los argumentos son notables, pero no definitivos

Para este investigador el ciberataque masivo tiene un claro componente político, y según su opinión “esto indicaría que una nación extranjera hostil podría acaecer trabajador las capacidades ofensivas que perdió el Equation Group para crear el caos universal“.

El ataque sigue tratando de actuar y de propagarse, pero un segundo killswitch (un “interruptor de desactivación” consistente de nuevo en un dominio muy particular) ha rematado frenar su avance.

Corea del Norte en el punto de mira, pero podría ser cualquier otro país

Mientras tanto siguen los procesos que tratan de descubrir esa autoría y que por supuesto tratan de frenar definitivamente a un ransomware que ciertamente podría provenir de Corea del Norte. Habrá que esperar para retener si Lazarus Group dice poco al respecto, pero por el momento conviene ser cautos: ese código compartido existe, pero esa evidencia no es aún concluyente.

Wannacry1

De hecho como indicanban en Cyberscoopel código compartido no es lo mismo que la atribución. El código puede ser escrito y borrado por cualquiera, y el código compartido se reutiliza a menudo”. Esa experiencia es tan global entre desarrolladores y desarrollos convencionales como entre aquellos dedicados al mundo de la seguridad informática, tanto para perfectamente como (y aquí tenemos un buen ejemplo) para mal.

El propio Suiche afirmaba que “la atribución se puede falsificar siempre, porque solo es cuestión de mover algunos bytes de un costado a otro”. Los investigadores de Kaspersky Labs que además estudiaron esas similitudes en el código indicaban que “se necesita investigar más sobre el código de las primeras versiones de WannaCry”.

En Symantec coinciden en esas valoraciones sobre lo poco definitivo que es ese descubrimiento: “aunque la conexión existe, por el momento solo representa una conexión débil. Seguiremos investigando para [encontrar] conexiones más sólidas”.

En Xataka | Ni Linux ni macOS te salvarán del ransomware: la condena de Windows es su popularidad


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales