Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Los autores del ransomware WannaCry podrían ser de Corea del Norte


¿Quién o quiénes son los autores del ransomware Wanna Cry? Hasta el momento sólo hay una pista fiable. Una gran similitud en parte del código de la primera versión de Wanna Cry de febrero de 2017 (sin propagación vía SMB) con un backdoor llamado Contopee del grupo Lazarus, financiado por Corea del Norte.



El ransomware conocido como WannaCry que se extendió rápidamente a 300.000 máquinas en 150 países en los últimos días comparte código con malware escrito por un grupo de hackers nortecoreanos conocidos como el Grupo Lazarus.  Aunque el código compartido es importante, los expertos advirtieron que está lejos de ser una prueba de quién creó y lanzó los ataques de ransomware.



Las empresas de seguridad informática Symantec y Kaspersky han informado de que están investigando ciertas pistas que relacionan el ataque informático con el virus gusano WannaCry con el grupo de piratas informáticos Grupo Lazarus, presuntamente perteneciente con Corea del Norte.



"Creemos firmemente que la muestra de febrero de 2017 fue compilada por la misma gente", escribe Kaspersky, "o por personas con acceso al mismo código fuente que WannaCry de mayo de 2017 utilizado en la onda de ataques del 11 de mayo".

Symantec encontró conexiones similares, según un informe en Cyberscoop, aunque la compañía dijo que era difícil soslayar el significado del código compartido. "Aunque estas conexiones existen, hasta ahora sólo representan conexiones débiles", dijo la compañía en un comunicado. "Continuamos investigando las conexiones más fuertes".

Neel Mehta, un investigador de seguridad en Google, señaló por primera vez el código compartido el lunes en Twitter. El vínculo se hizo eco rápidamente por numerosos otros expertos. Además, las empresas de seguridad cibernética Symantec y Kaspersky han encontrado independientemente distintas instancias de superposición de código entre WannaCry y Lazarus Group.


Una gran similitud en parte del código de la primera versión de Wanna Cry de febrero de 2017 con un backdoor del grupo Lazarus. Descubierta por un investigador de seguridad de Google, llamado Neel Mehta, que Costin Raiu de Kaspersky Labs ha comentado:



 Haz click en la imagen para agrandar:




Contopee es un troyano de puerta trasera usado para apoderarse de la computadora de un objetivo. Ha sido utilizado por los hackers vinculados a Corea del Norte para atacar la industria financiera en el sudeste asiático. La campaña es una de las facetas de las operaciones de piratería bancaria más importantes de Corea del Norte que incluyeron un robo de 81 millones de dólares desde Bangladesh el año pasado. Se sabe que el Grupo Lazarus utiliza y dirige a Bitcoin en sus operaciones de hacking.

El código compartido no es lo mismo que la atribución. El código puede ser escrito y borrado por cualquier persona, y el código compartido a menudo se reutiliza. Las fugas recientes de la CIA muestran el reuso de código de diferentes grupos porque es un ahorro de tiempo obvio. La misma técnica podría usarse para enmarcar a otro grupo como responsable de un hack pero, a pesar de mucha especulación reciente, no hay ninguna prueba definitiva.

Librería unzip

Al extraer miles de piezas de código ("genes") de las muestras de WannaCry e identificarlas. Se han encontrado varias piezas de código de una versión rara de una biblioteca muy conocida. La librería es:


unzip 0.15 Copyright 1998 Gilles Vollan
Además otra pista, aparece que esta muestra contiene una capacidad de fuerza bruta SMB  hardcodeada
la contraseña, que es muy similar al comportamiento del gusano de Brambul.

hardcoded password strings


Según Intezer, se hna visto conexiones de código claras entre las familias de programas maliciosos no relacionados anteriormente: WannaCry con Lazarus, Joanap y Brambul.

Esta evidencia sugiere fuertemente que estas herramientas de hacking fueron escritas o modificadas por el mismo autor. En numerosas publicaciones, algunas de las familias ya están atribuidas a Corea del Norte.

Análisis lingüístico del Ransomware Wanna Cry apunta a un origen chino

Un análisis lingüístico de las notas de rescate WannaCry parece ser la obra de un autor de habla china, de acuerdo con Jon Condra y John Costello, investigadores de Flashpoint.


Después de analizar cada una de las notas de rescate localizados de WannaCry, disponible en 28 idiomas diferentes, los dos investigadores estan bastante seguros de que la nota de rescate fue escrito por personas con fluidez en chino, sino también en Inglés.

Descubiertas dos plantillas de la nota de rescate inglés y chino

Los investigadores dicen que parece que hay dos notas de rescate en la base de todas las demás notas WannaCry. Hay un escrito en chino, y otro en Inglés, que fue utilizado como molde para las otras notas de rescate. Ademas dicen que si alguien copia el texto de la nota de rescate WannaCry Inglés y lo pasa a través de Google Translate, conseguiría traducciones que son en promedio un 95% idéntica a las notas de rescate que se encuentran en el paquete WannaCry real.

Esto ha llevado a los investigadores a creer que el autor WannaCry - o autores - han utilizado la nota Inglés como un texto modelo para los otros idiomas, excepto chino.

Esto se debe a que Google Translate mejora las traducciones de Inglés a otros idiomas. Por otro lado, la traducción entre otros idiomas da muchos errores y traducciones inexactas.

La nota de rescate de WannaCry en chino son diferentes del resto

Fuentes:
https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware 

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.