Los autores del ransomware WannaCry podrían ser de Corea del Norte
¿Quién o quiénes son los autores del ransomware Wanna Cry? Hasta el momento sólo hay una pista fiable. Una gran similitud en parte del código de la primera versión de Wanna Cry de febrero de 2017 (sin propagación vía SMB) con un backdoor llamado Contopee del grupo Lazarus, financiado por Corea del Norte.
El ransomware conocido como WannaCry que se extendió rápidamente a 300.000 máquinas en 150 países en los últimos días comparte código con malware escrito por un grupo de hackers nortecoreanos conocidos como el Grupo Lazarus. Aunque el código compartido es importante, los expertos advirtieron que está lejos de ser una prueba de quién creó y lanzó los ataques de ransomware.
Las empresas de seguridad informática Symantec y Kaspersky han informado de que están investigando ciertas pistas que relacionan el ataque informático con el virus gusano WannaCry con el grupo de piratas informáticos Grupo Lazarus, presuntamente perteneciente con Corea del Norte.
"Creemos firmemente que la muestra de febrero de 2017 fue compilada por la misma gente", escribe Kaspersky, "o por personas con acceso al mismo código fuente que WannaCry de mayo de 2017 utilizado en la onda de ataques del 11 de mayo".
Symantec encontró conexiones similares, según un informe en Cyberscoop, aunque la compañía dijo que era difícil soslayar el significado del código compartido. "Aunque estas conexiones existen, hasta ahora sólo representan conexiones débiles", dijo la compañía en un comunicado. "Continuamos investigando las conexiones más fuertes".
Neel Mehta, un investigador de seguridad en Google, señaló por primera vez el código compartido el lunes en Twitter. El vínculo se hizo eco rápidamente por numerosos otros expertos. Además, las empresas de seguridad cibernética Symantec y Kaspersky han encontrado independientemente distintas instancias de superposición de código entre WannaCry y Lazarus Group.
Una gran similitud en parte del código de la primera versión de Wanna Cry de febrero de 2017 con un backdoor del grupo Lazarus. Descubierta por un investigador de seguridad de Google, llamado Neel Mehta, que Costin Raiu de Kaspersky Labs ha comentado:
Haz click en la imagen para agrandar:
Contopee es un troyano de puerta trasera usado para apoderarse de la computadora de un objetivo. Ha sido utilizado por los hackers vinculados a Corea del Norte para atacar la industria financiera en el sudeste asiático. La campaña es una de las facetas de las operaciones de piratería bancaria más importantes de Corea del Norte que incluyeron un robo de 81 millones de dólares desde Bangladesh el año pasado. Se sabe que el Grupo Lazarus utiliza y dirige a Bitcoin en sus operaciones de hacking.
El código compartido no es lo mismo que la atribución. El código puede ser escrito y borrado por cualquier persona, y el código compartido a menudo se reutiliza. Las fugas recientes de la CIA muestran el reuso de código de diferentes grupos porque es un ahorro de tiempo obvio. La misma técnica podría usarse para enmarcar a otro grupo como responsable de un hack pero, a pesar de mucha especulación reciente, no hay ninguna prueba definitiva.
Fuentes:
https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware
El ransomware conocido como WannaCry que se extendió rápidamente a 300.000 máquinas en 150 países en los últimos días comparte código con malware escrito por un grupo de hackers nortecoreanos conocidos como el Grupo Lazarus. Aunque el código compartido es importante, los expertos advirtieron que está lejos de ser una prueba de quién creó y lanzó los ataques de ransomware.
Las empresas de seguridad informática Symantec y Kaspersky han informado de que están investigando ciertas pistas que relacionan el ataque informático con el virus gusano WannaCry con el grupo de piratas informáticos Grupo Lazarus, presuntamente perteneciente con Corea del Norte.
- Kaspersky: https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
- Symantec: https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware
- https://blog.comae.io/wannacry-links-to-lazarus-group-dcea72c99d2d
"Creemos firmemente que la muestra de febrero de 2017 fue compilada por la misma gente", escribe Kaspersky, "o por personas con acceso al mismo código fuente que WannaCry de mayo de 2017 utilizado en la onda de ataques del 11 de mayo".
Symantec encontró conexiones similares, según un informe en Cyberscoop, aunque la compañía dijo que era difícil soslayar el significado del código compartido. "Aunque estas conexiones existen, hasta ahora sólo representan conexiones débiles", dijo la compañía en un comunicado. "Continuamos investigando las conexiones más fuertes".
Neel Mehta, un investigador de seguridad en Google, señaló por primera vez el código compartido el lunes en Twitter. El vínculo se hizo eco rápidamente por numerosos otros expertos. Además, las empresas de seguridad cibernética Symantec y Kaspersky han encontrado independientemente distintas instancias de superposición de código entre WannaCry y Lazarus Group.
9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598— Neel Mehta (@neelmehta) May 15, 2017
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution
Una gran similitud en parte del código de la primera versión de Wanna Cry de febrero de 2017 con un backdoor del grupo Lazarus. Descubierta por un investigador de seguridad de Google, llamado Neel Mehta, que Costin Raiu de Kaspersky Labs ha comentado:
Shared code between an early, Feb 2017 Wannacry cryptor and a Lazarus group backdoor from 2015 found by @neelmehta from Google. pic.twitter.com/hmRhCSusbR— Costin Raiu (@craiu) May 15, 2017
Haz click en la imagen para agrandar:
Similitude between #WannaCry and Contopee from Lazarus Group ! thx @neelmehta - Is DPRK behind #WannaCry ? pic.twitter.com/uJ7TVeATC5— Matthieu Suiche (@msuiche) May 15, 2017
Contopee es un troyano de puerta trasera usado para apoderarse de la computadora de un objetivo. Ha sido utilizado por los hackers vinculados a Corea del Norte para atacar la industria financiera en el sudeste asiático. La campaña es una de las facetas de las operaciones de piratería bancaria más importantes de Corea del Norte que incluyeron un robo de 81 millones de dólares desde Bangladesh el año pasado. Se sabe que el Grupo Lazarus utiliza y dirige a Bitcoin en sus operaciones de hacking.
El código compartido no es lo mismo que la atribución. El código puede ser escrito y borrado por cualquier persona, y el código compartido a menudo se reutiliza. Las fugas recientes de la CIA muestran el reuso de código de diferentes grupos porque es un ahorro de tiempo obvio. La misma técnica podría usarse para enmarcar a otro grupo como responsable de un hack pero, a pesar de mucha especulación reciente, no hay ninguna prueba definitiva.
Fuentes:
https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware
Via: blog.elhacker.net
Los autores del ransomware WannaCry podrían ser de Corea del Norte
Reviewed by Zion3R
on
11:50
Rating:
Reviewed by Zion3R
on
11:50
Rating:
