Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Los autores del ransomware WannaCry podrían ser de Corea del Norte




¿Quién o quiénes son los autores del ransomware Wanna Cry? Hasta el momento sólo hay una pista fiable. Una gran similitud en parte del código de la primera versión de Wanna Cry de febrero de 2017 (sin propagación vía SMB) con un backdoor llamado Contopee del grupo Lazarus, financiado por Corea del Norte.



El ransomware conocido como WannaCry que se extendió rápidamente a 300.000 máquinas en 150 países en los últimos días comparte código con malware escrito por un grupo de hackers nortecoreanos conocidos como el Grupo Lazarus.  Aunque el código compartido es importante, los expertos advirtieron que está lejos de ser una prueba de quién creó y lanzó los ataques de ransomware.



Las empresas de seguridad informática Symantec y Kaspersky han informado de que están investigando ciertas pistas que relacionan el ataque informático con el virus gusano WannaCry con el grupo de piratas informáticos Grupo Lazarus, presuntamente perteneciente con Corea del Norte.



"Creemos firmemente que la muestra de febrero de 2017 fue compilada por la misma gente", escribe Kaspersky, "o por personas con acceso al mismo código fuente que WannaCry de mayo de 2017 utilizado en la onda de ataques del 11 de mayo".

Symantec encontró conexiones similares, según un informe en Cyberscoop, aunque la compañía dijo que era difícil soslayar el significado del código compartido. "Aunque estas conexiones existen, hasta ahora sólo representan conexiones débiles", dijo la compañía en un comunicado. "Continuamos investigando las conexiones más fuertes".

Neel Mehta, un investigador de seguridad en Google, señaló por primera vez el código compartido el lunes en Twitter. El vínculo se hizo eco rápidamente por numerosos otros expertos. Además, las empresas de seguridad cibernética Symantec y Kaspersky han encontrado independientemente distintas instancias de superposición de código entre WannaCry y Lazarus Group.


Una gran similitud en parte del código de la primera versión de Wanna Cry de febrero de 2017 con un backdoor del grupo Lazarus. Descubierta por un investigador de seguridad de Google, llamado Neel Mehta, que Costin Raiu de Kaspersky Labs ha comentado:



 Haz click en la imagen para agrandar:




Contopee es un troyano de puerta trasera usado para apoderarse de la computadora de un objetivo. Ha sido utilizado por los hackers vinculados a Corea del Norte para atacar la industria financiera en el sudeste asiático. La campaña es una de las facetas de las operaciones de piratería bancaria más importantes de Corea del Norte que incluyeron un robo de 81 millones de dólares desde Bangladesh el año pasado. Se sabe que el Grupo Lazarus utiliza y dirige a Bitcoin en sus operaciones de hacking.

El código compartido no es lo mismo que la atribución. El código puede ser escrito y borrado por cualquier persona, y el código compartido a menudo se reutiliza. Las fugas recientes de la CIA muestran el reuso de código de diferentes grupos porque es un ahorro de tiempo obvio. La misma técnica podría usarse para enmarcar a otro grupo como responsable de un hack pero, a pesar de mucha especulación reciente, no hay ninguna prueba definitiva.

Librería unzip

Al extraer miles de piezas de código ("genes") de las muestras de WannaCry e identificarlas. Se han encontrado varias piezas de código de una versión rara de una biblioteca muy conocida. La librería es:


unzip 0.15 Copyright 1998 Gilles Vollan
Además otra pista, aparece que esta muestra contiene una capacidad de fuerza bruta SMB  hardcodeada
la contraseña, que es muy similar al comportamiento del gusano de Brambul.

hardcoded password strings


Según Intezer, se hna visto conexiones de código claras entre las familias de programas maliciosos no relacionados anteriormente: WannaCry con Lazarus, Joanap y Brambul.

Esta evidencia sugiere fuertemente que estas herramientas de hacking fueron escritas o modificadas por el mismo autor. En numerosas publicaciones, algunas de las familias ya están atribuidas a Corea del Norte.


Fuentes:
https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware 

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.