Ataque global de ransomware ‘vinculado a Corea del Norte’

El Centro Nacional de Seguridad Cibernética (NCSC) de Gran Bretaña atribuyó el ransomware WannaCry, que afectó al NHS ya otras organizaciones en todo el mundo en mayo, al equipo de hackers afiliado a Corea del Norte, Lazarus Group.

El NCSC, que es la cara pública de la defensa británica contra los ciberataques y trabaja en estrecha colaboración con la agencia de vigilancia GCHQ del Reino Unido, dijo que no confirmaría ni negaría los informes. Pero una fuente independiente confirmó que el NCSC había liderado la investigación internacional sobre el error WannaCry y completado su evaluación en las últimas semanas.

- Publicidad-

La contraparte estadounidense de GCHQ, la Agencia de Seguridad Nacional, también ha vinculado el error de WannaCry a Corea del Norte. La investigación del NCSC llegó a la misma conclusión basada en su propia investigación, dijo la fuente, agregando que no había evidencia de que nadie más estuviera involucrado.

Las compañías privadas han invertido la ingeniería del código, pero la evaluación británica se basó aparentemente en información más amplia.

El análisis del código detrás de la aplicación a principios de junio, como el realizado por la empresa de seguridad cibernética SecureWorks, sugirió enlaces a Corea del Norte.

- Publicidad -

Según la firma, una versión anterior de WannaCry, llamada “Wanna Decryptor v1.0”, estaba siendo distribuida de una manera que compartía código con una pieza anterior de malware llamada Brambul. “Brambul está asociado de forma única con el grupo de amenazas de Corea del Norte, Nickel Academy (grupo AKA Lazarus)”, afirma SecureWorks. El mismo código se solapó también en otra pieza de malware utilizada para atacar al regulador bancario polaco KNF, otra operación atribuida por SecureWorks al grupo Lazarus.

El núcleo de WannaCry fue descubierto por primera vez por la NSA, antes de ser robado y publicado en línea por una entidad anónima llamada The Shadow Brokers. Esa pieza de información, llamado EternalBlue, permitió a un atacante saltar entre ordenadores Windows, evitando las restricciones de seguridad en el camino; Es la razón principal por la que el ransomware fue capaz de propagarse hasta ahora y rápido, y tomar organizaciones enteras en un espacio de tiempo muy corto. Dado que WannaCry operaba como un “gusano”, que se extendía de una computadora a otra automáticamente, es poco probable que sus creadores tuvieran un objetivo específico en mente.

- Publicidad -

Con información de The Guardian