El ransomware WannaCry (y también conocido como Wanna Decrypt0r o WCry entre otros) sigue siendo tema central de la actualidad tecnológica. Investigadores de seguridad de diversas empresas han estudiado el código y creen que este ciberataque masivo podría proceder de Corea del Norte.
Esa teoría se basa en el hecho de que WannaCry comparte código con el malware desarrollado por un grupo de crackers norcoreanos llamado Lazarus Group. Aunque eso haya ocurrido, esa no es una prueba definitiva de que el ataque haya procedido de allí, y de hecho cualquier cracker podría haber hecho lo mismo desde cualquier parte del mundo.
Reutilizando código de 2015
WannaCry se ha extendido a 300.000 máquinas en más de 150 países, afirman los expertos, y en el estudio de su funcionamiento se ha descubierto que el código hay partes que ya se utilizaron en el código de un backdoor llamado Contopee desarrollado por Lazarus Group en 2015.
Shared code between an early, Feb 2017 Wannacry cryptor and a Lazarus group backdoor from 2015 found by @neelmehta from Google. pic.twitter.com/hmRhCSusbR
— Costin Raiu (@craiu) 15 de mayo de 2017
Similitude between #WannaCry and Contopee from Lazarus Group ! thx @neelmehta - Is DPRK behind #WannaCry ? pic.twitter.com/uJ7TVeATC5
— Matthieu Suiche (@msuiche) 15 de mayo de 2017
Expertos en seguridad como Matt Suiche, fundador de Comaeio, explicaba en dos artículos en el blog de su empresa cómo el descubrimiento inicial de Neel Mehta, investigador en Google, estaba justificado. Al decompilar el código de WannaCry y de Contopee se podía ver cómo el funcionamiento del código era idéntico en parte de ambos malwares.
Esa conexión con Lazarus Group justificaría que el ataque procediese de Corea del Norte, algo a lo que se suma el hecho de que como indicaba Suiche, "su narrativa en el pasado ha estado dominada por la infiltración en instituciones financieras con el objetivo de robar dinero". El Symantec Security Response precisamente hablaba de ese malware hace un año.
Los argumentos son notables, pero no definitivos
Para este investigador el ciberataque masivo tiene un claro componente político, y según su opinión "esto indicaría que una nación extranjera hostil podría haber aprovechado las capacidades ofensivas que perdió el Equation Group para crear el caos global".
Since registering the 2nd killswitch yesterday, we stopped ~10K machines from spreading further - mainly from Russia. #WannaCry #OKLM pic.twitter.com/eQziRoq8UN
— Matthieu Suiche (@msuiche) 15 de mayo de 2017
El ataque sigue tratando de actuar y de propagarse, pero un segundo killswitch (un "interruptor de desactivación" consistente de nuevo en un dominio muy particular) ha logrado frenar su avance.
Corea del Norte en el punto de mira, pero podría ser cualquier otro país
Mientras tanto siguen los procesos que tratan de descubrir esa autoría y que por supuesto tratan de frenar definitivamente a un ransomware que ciertamente podría provenir de Corea del Norte. Habrá que esperar para saber si Lazarus Group dice algo al respecto, pero por el momento conviene ser cautos: ese código compartido existe, pero esa evidencia no es aún concluyente.
De hecho como indicanban en Cyberscoop "el código compartido no es lo mismo que la atribución. El código puede ser escrito y borrado por cualquiera, y el código compartido se reutiliza a menudo". Esa práctica es tan común entre desarrolladores y desarrollos convencionales como entre aquellos dedicados al mundo de la seguridad informática, tanto para bien como (y aquí tenemos un buen ejemplo) para mal.
El propio Suiche afirmaba que "la atribución se puede falsificar siempre, porque solo es cuestión de mover algunos bytes de un lado a otro". Los investigadores de Kaspersky Labs que también estudiaron esas similitudes en el código indicaban que "se necesita investigar más sobre el código de las primeras versiones de WannaCry".
En Symantec coinciden en esas valoraciones sobre lo poco definitivo que es ese descubrimiento: "aunque la conexión existe, por el momento solo representa una conexión débil. Seguiremos investigando para [encontrar] conexiones más sólidas".
En Xataka | Ni Linux ni macOS te salvarán del ransomware: la condena de Windows es su popularidad
Ver 40 comentarios