Lo que necesitas saber sobre Lazarus Group, banda que estaría detrás del hackeo de WannaCry

El grupo de hackers conocido como Lazarus Group estaría detrás del ataque cibernético que infectó desde la semana pasada a unas 300.000 computadoras en 120 países con el malware WannaCry, en lo que supone uno de los delitos en la modalidad de ransomware de mayor escala hasta hoy conocidos.

Los primeros indicios de que Lazarus Group estaría asociado a la escalada están escondidos en el código del malware empleado. Este se presta elementos de otros programas maliciosos anteriormente asociados al colectivo criminal, al que se ha asociado en más de una acción delictiva con el gobierno norcoreano.

De acuerdo con la agencia Reuters, Simon Choi, un investigador de Hauri Labs de Corea del Sur asegura que sus hallazgos coinciden con los de las firmas de seguridad cibernética Symantec y Kaspersky Lab: un código en una versión anterior del software WannaCry también había aparecido en los programas utilizados por Lazarus. Choi es investigador senior con Hauri y ha investigado las capacidades de hackeo de Corea del Norte, como asesor del gobierno surcoreano.

Symantec y Kaspersky han señalado que es demasiado pronto para sindicar al régimen de Kim Jong Un como el responsable del ataque.

La primera alarma al respecto fue publicada en Twitter por el investigador de seguridad de Google, Neel Mehta, quien divulgó las líneas de código que coincidían entre una versión precursora de WannaCry, aparecida en febrero último, y un malware de puerta trasera, o backdoor, que data de 2014 y que fue relacionado a Corea del Norte.

Aquel caso fue el del hackeo a servidores de Sony Pictures, ocurrido en noviembre de ese año, que supuso la difusión de fechas de estrenos previstas, data personal de empleados y algunas copias de filmes aún no estrenados. El ataque se dio luego de que un grupo de hackers, Guardians of Peace, exigió anónimamente a Sony no estrenar el filme cómico “La entrevista”, sobre un plan ficticio para asesinar al líder norcoreano Kim Jong Un. En ese entonces, el FBI investigó el malware empleado y halló relaciones con la nación asiática, en la medida en que reconocieron líneas de código que correspondían a malware desarrollado en ese país, así como el rastro de IPs de ese territorio.

De acuerdo con una investigación de Kaspersky Lab del año pasado, Lazarus Group “estuvo involucrado en campañas de espionaje militar y saboteó operaciones de instituciones financieras, estaciones de medios y empresas manufactureras. Hasta donde sabemos, la mayoría de las víctimas residen en Corea del Sur, India, China, Brasil, Rusia y Turquía”.

Asimismo, se reveló que las primeras muestras de malware producidas por el grupo datan de 2009 y que desde 2010, crecieron dinámicamente. En 2014-2015 la productividad del grupo estaba en su mayor volumen, y los criminales seguían activos el año pasado.

Más aun: el ataque a Sony, a través del malware Destover, tuvo similitudes en su código con otros similares, bautizados como DarkSeoul y Shamoon, relacionados a Corea del Norte.

Hasta el momento, ni Lazarus Group ni el gobierno norcoreano han admitido alguna relación con los recientes ataques, aunque ante anteriores imputaciones similares, el régimen de Kim Jong Un ha salido al frente a desmentir dichas versiones.

Hans Huerto

Si te gustó esta noticia, entérate de más a través de nuestros canales de Facebook y Twitter.