lazarus group

El grupo de cibercriminales 'norcoreanos' sospechoso de haber paralizado el mundo

Evidencias surgidas en las últimas horas apuntan al colectivo como el posible responsable del ataque masivo perpetrado el pasado fin de semana

Foto: Foto: EFE.
Foto: EFE.

Con medio planeta todavía recuperándose de WannaCry, el mayor ataque 'ransomware' perpetrado en la historia, comienza la búsqueda de los responsables del ataque. Con varios nombres sobre la mesa, en las últimas horas ha cobrado fuerza el de Lazarus Group, un grupo de 'hackers' norcoreanos que en su 'currículo' cuentan con golpes como el que dieron a Sony en noviembre de 2014 o el ataque al banco de Bangladesh, desvelado en marzo de 2016.

Mercè MolistMercè Molist

En las últimas horas, algunos investigadores han señalado las similitudes entre códigos atribuidos a Lazarus y el mismo que se podía encontrar en WannaCry, lo que sitúa el dedo acusador señalando en una dirección: Corea del Norte. "Existen evidencias, aunque no son definitivas", advierte Vicente Díaz, analista de seguridad de Kaspersky. Entre los motivos por los que Díaz no se atreve a mojarse se cuentan la ausencia de reclamaciones o de mensajes vinculantes.

¿Cuáles son esas pruebas que parecen concluyentes? Un código de 2015 atribuido a Lazarus es muy similar a uno que se encuentra en una versión temprana de WannaCry de febrero de 2017. Por el momento, los investigadores hacen una llamada a la calma antes de atribuir el ataque, aunque avisan: la autoría del ataque al banco de Bangladesh se atribuyó al equipo norcoreano después de un proceso similar al descubierto en este momento.

El Banco Central de Bangladesh sufrió un ataque de Lazarus Group en 2016. (Reuters)
El Banco Central de Bangladesh sufrió un ataque de Lazarus Group en 2016. (Reuters)

"El 'malware' reaprovechaba parte del código que se había utilizado en el ataque contra Sony", explica Díaz. En aquel caso, se trataba de un registro responsable de borrar las pistas que se dejaban en un equipo. En el caso actual, se trata de unas líneas "encargadas de la generación de números aleatorios o archivos que comprimían el código malicioso".

Ladrones de guante blanco

A Lazarus se atribuyen dos de los golpes más espectaculares dentro de la breve historia del cibercrimen: el 'hackeo' de Sony y el asalto al banco de Bangladesh. El primero, ocurrido en noviembre de 2014, estuvo relacionado con el estreno de 'The Interview', la película que satirizaba la imagen de Kim Jong-un, y que provocó la filtración de miles de correos electrónicos así como pérdidas a la empresa valoradas en 200 millones de dólares.

En el caso de Bangladesh, Lazarus fue capaz de sustraer 81 millones de dólares de las arcas de la institución y la sangría de dinero se atajó debido a un error ortográfico que alertó a las autoridades locales. "Donde han tenido mayor relevancia en el último año ha sido atacando bancos con fines económicos", declara Díaz.

El estreno de 'The Interview' fue, supuestamente, el detonante que causó el 'hackeo' de Sony.
El estreno de 'The Interview' fue, supuestamente, el detonante que causó el 'hackeo' de Sony.

El analista de Kaspersky ha enumerado tres motivos detrás de los ataques de Lazarus: "Corporativos, económicos o políticos". En este último caso se encuentran todos los que se han llevado a cabo en los últimos meses contra objetivos en Corea del Sur. Y fue en abril de este año cuando un analista ejecutó una serie de pruebas que enlazaron las prácticas de Lazarus con un rango de IPs que apuntaba a un solo país: Corea del Norte.

Un ataque ¿poco? efectivo

En comparación con sus logros pasados, Díaz opina que el ataque de este pasado fin de semana ha sido poco efectivo si se evalúa desde un punto de vista económico o mediático. "Ha llamado demasiado la atención y los pagos han sido escasos. Cualquier 'ransomware' puede recaudar decenas de millones al año, y aquí hablamos de 59.000 dólares. Teniendo en cuenta el alcance de la infección, el retorno de la inversión es mínimo. Y al no haber un mensaje detrás del ataque, el objetivo propagandístico es mínimo. Sería raro esperar una semana para lanzar un mensaje", razona.

Si el objetivo del ataque era económico, ha sido un fracaso: "Ha recaudado 59.000 dólares cuando otros se hacen con decenas de millones al año"

Existe un tercer caso en que el ataque sí que habría sido un éxito: que se hubiera tratado de una maniobra de bandera falsa para cargar la responsabilidad sobre el grupo norcoreano, una maniobra que, de ser así, se habría ejecutado de manera "excelente".

Como ya se ha publicado en los últimos días, las últimas informaciones apuntan a un virus que se escapó de las manos de sus creadores en pleno periodo de pruebas, lo que explicaría que se tratara de un gusano, hecho poco habitual en ataques 'ransomware', o que tuviera dentro del código la solución para desactivar el ataque. Es poco probable que Lazarus se atribuya la autoría del ataque, por lo que serán los forenses informáticos los que determinen, en las próximas semanas y meses, qué o quiénes son los sospechosos con más papeletas de haber causado el ataque.

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
5 comentarios
Por FechaMejor Valorados
Mostrar más comentarios