Ransomware WannaCry ‘vinculado a Corea del Norte’

El Centro Nacional de Seguridad Cibernética del Reino Unido ha vinculado los ataques al equipo de hackers afiliado a Corea del Norte, Lazarus Group, según informes.

El Centro Nacional de Seguridad Cibernética (NCSC) de Gran Bretaña atribuyó el malware WannaCry, que afectó al NHS y otras organizaciones en todo el mundo en mayo, al grupo de hackers afiliado a Corea del Norte, Lazarus Group.

El NCSC, que es la cara pública de la defensa británica contra ataques cibernéticos y trabaja en estrecha colaboración con la agencia de vigilancia GCHQ del Reino Unido, dijo que no confirmaría ni negaría los informes. Pero una fuente separada confirmó que el NCSC había liderado la investigación internacional sobre WannaCry y completado su evaluación en las últimas semanas.

La contraparte estadounidense de GCHQ, la Agencia de Seguridad Nacional, también ha vinculado el error de WannaCry a Corea del Norte. La investigación del NCSC llegó a la misma conclusión basada en su propia investigación, dijo la fuente, agregando que no había evidencia de que alguien más estuviera involucrado.

Las compañías privadas han realizado ingeniería inversa del código, pero la evaluación británica se basó aparentemente en información más amplia.

Análisis del código detrás de la aplicación a principios de junio, como el realizado por la empresa de seguridad cibernética SecureWorks, sugirió enlaces a Corea del Norte.

Según la firma, una versión anterior de WannaCry, llamada “Wanna Decryptor v1.0”, estaba siendo distribuida de una manera que comparte código con una pieza anterior de malware llamada Brambul. “Brambul está asociado de manera única con el grupo de amenazas de Corea del Norte, Nickel Academy (AKA Lazarus)”, afirma SecureWorks. El mismo código también se vio reusado en otra pieza de malware utilizada para atacar al regulador bancario polaco KNF, otra operación atribuida por SecureWorks al grupo Lazarus.

La base de WannaCry fue un exploit descubierto por primera vez por la NSA, antes de ser robado y publicado en línea por una entidad anónima llamada The Shadow Brokers. Ese exploit, llamado EternalBlue, permite a un atacante saltar entre computadoras Windows, evitando las restricciones de seguridad en el camino; Es la razón principal por la que el malware fue capaz de propagarse hasta ahora y rápido, y afectar organizaciones enteras en un espacio de tiempo muy corto. Dado que WannaCry operaba como un “gusano”, que se extendía de una computadora a otra automáticamente, es poco probable que sus creadores tuvieran un objetivo específico en mente.

De acuerdo con Recorded Future, el perfil encaja con el grupo ya que ademas de llevar a cabo tareas para el estado, también esta relacionada con muchos delitos ciberneticos para auto-mantenerse.

Leave a Reply