Menu

¿Y si WannaCry, el terrible software de rescate, fue sólo un accidente de laboratorio?


Symantec acaba de revelar una serie de nuevas pistas técnicas que atribuyen el software de rescate WannaCry con «alta probabilidad» al grupo de piratas Lazarus. Sin embargo, ésta estaría directamente relacionada con el régimen de Pyongyang. El gobierno estadounidense había declarado esto sin pestañear en el momento del ataque a Sony Pictures en 2014. Hay que decir que las campañas llevadas a cabo en el pasado por Lázaro se corresponden bien con los intereses políticos y económicos de este país: sabotaje y espionaje en Corea del Sur, saqueo de bancos por valor de decenas de millones de dólares, etc.

El problema es que el ataque de WannaCry no sigue esta línea. «A pesar de los vínculos con Lazarus, los ataques de WannaCry no llevan las marcas de una campaña del gobierno, sino que son más bien típicos de una campaña contra el cibercrimen», explica Symantec. ¿Por qué, de hecho, un grupo de hackers del gobierno se rebajaría a pedir rescates de 300 dólares por máquina bloqueada? Hasta la fecha, los beneficios obtenidos son del orden de 100.000 dólares, muy por debajo del nivel de piratería bancaria del pasado. Todo esto no es muy coherente.

Una aceleración mal gestionada

El investigador de seguridad The Grugq cree que el brote de WannaCry es probablemente un accidente de laboratorio. En una entrada de blog, piensa que Lázaro sí se metió en el software de rescate, pero no necesariamente por orden del gobierno norcoreano. Como muestra el análisis de Symantec, los hackers lanzaron primero versiones de bajo nivel de virus de WannaCry en objetivos específicos, infectando algunas decenas o cientos de ordenadores a mano con un caballo de Troya y robo de contraseñas. Luego los hackers reemplazaron estas técnicas clásicas de propagación por EternalBlue, la hazaña ultravirulenta de la NSA. «Y entonces algo salió mal. El malware explotó y se propagó fuera de control, más allá de lo que podían manejar. Y lo peor es que esta cosa ha alcanzado objetivos delicados en los países occidentales (hospitales), generando una cobertura masiva en los medios de comunicación», dice The Grugq.

Según el investigador, varios elementos apoyan esta tesis. En primer lugar, el hecho de que el envío de la clave de desencriptación se realiza manualmente. Cuando decidimos infectar un gran número de máquinas, instalamos un sistema automatizado. Además, el malware sólo funcionaba en Windows 7 y 2008 R2, no en otras versiones de Windows. Esto sería una señal de un «bajo nivel de desarrollo». Según él, la integración de EternalBlue se hizo incluso de una manera rudimentaria, una manera de «copiar y pegar». Finalmente, está este extraño interruptor de apagado. Su presencia tiene sentido en el contexto de una fase experimental en la que no queremos correr ningún riesgo, pero no para una verdadera campaña ciberdelictiva. En definitiva, «se trata de un software que todavía estaba en desarrollo y se escapó».

Se esperan más ataques

Pero la historia no termina ahí. Según The Grugq, Lazarus sigue estando plenamente protegido por el régimen norcoreano y, por lo tanto, no tiene por qué preocuparse por cuestiones legales. Además, en ningún momento los autores de WannaCry intentaron pisar el pedal. Por el contrario, siguieron multiplicando las variantes. «Un grupo normal de hackers pondría el perfil, pero estos tipos no tienen ese problema. Por eso predigo que aprenderán mucho de esta debacle. Añadirán otras hazañas de la NSA transmitidas por los rusos (*). Aumentarán el precio del rescate, porque $300 es realmente demasiado bajo», dice. El futuro lo dirá, pero es de esperar que se equivoque.

(*) El Grugq cree, al igual que otros expertos, que el grupo Shadow Brokers es una emanación de las agencias gubernamentales rusas. Una nariz falsa con la intención de burlarse de la NSA.

Leave a reply


Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *