¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Cifrarlo todo

Закодировать всё

Otras ediciones de este tema (22)
  • añadir a favoritos
    Añadir a marcadores

WannaCry. ¿Quién es el autor?

Consultas: 971 Comentarios: 6 Ranking: 8

La autoría de WannaCry les interesa a todos, desde los cuerpos de seguridad y los expertos en seguridad informática hasta usuarios ordinarios. Más abajo Vd. puede consultar la información que no es la opinión oficial de la empresa Doctor Web, sino una reflexión sobre qué fácil es culpar a alguien de un ciberdelito en el mundo digital moderno.

Vamos a empezar por los hechos:

  1. El grupo The Shadow Brokers publica otro conjunto de herramientas de hackers robadas al grupo Equation Group, supuestamenterelacionado a la Agencia de Seguridad Nacional de EE.UU. Esta vez se publican los exploits para las vulnerabilidades en el SO Windows – de Windows 2000 y Server 2012 a Windows 7 y 8. El archivo publicado contiene 23 herramientas en total, entre ellas, EternalBlue, Oddjob, Easybee, EducatedScholar, EnglishmanDentist, EsikmoRoll, EclipsedWing, Emphasismine, EmeraldThread, EternalRomance, EternalSynergy, Ewokefrenzy, ExplodingCan, ErraticGopher, EsteemAudit, Doublepulsar, Mofconfig y Fuzzbunch.
  2. La empresa Microsoft (notificada sobre la futura publicación por un “bienqueriente desconocido”) analizó los exploits y declaró que las vulnerabilidades en el protocolo SMB v1-3, usadas por las herramientas EternalBlue, EmeraldThread, EternalChampion, EternalRomance, ErraticGopher, EducatedScholar y EternalSynergy, habían sido corregidas ya en los años anteriores, y algunas de ellas han sido corregidas este año (CVE-2017-0146 и CVE-2017-0147). El patch para la vulnerabilidad en los controladores del dominio que funcionan bajo la administración de Windows 2000, 2003, 2008 y 2008 R2, usada por la herramienta EsikmoRoll, fue editado ya hace tres años, en el año 2014. Se declaró que las herramientas EnglishmanDentist, EsteemAudit y ExplodingCan no funcionan en las versiones de Windows soportadas, por lo tanto, no se lanzarán patches para las mismas.

    En particular los patches que luego usó WannaCry, se corrigieron en la actualización de MS 17-010, lanzada en marzo de 2017.
  3. Un nuevo cifrador, usando las herramientas publicadas por el grupo The Shadow Brokers (en particular, EternalBlue y Doublepulsar), empezó a difundirse a eso de las 10 de la mañana el 12de mayo, y ya el mismo día, por la tarde, los medios de comunicación (no los productores de antivirus) empezaron a informar sobre infecciones múltiples.
  4. The Shadow Brokers el martes, 16 de mayo, informa sobre el lanzamiento del servicio de pago The Shadow Brokers Data Dump of the Month que ofrece todos los meses los nuevos exploits a sus suscriptores para las vulnerabilidades anteriormente desconocidas en navegadores, enrutadores, dispositivos móviles, Windows 10, así como los datos robados del sistema bancario SWIFT, y la información vinculada a los programas nucleares de Rusia, China, Irán y Corea del Norte.

Crear un exploit no quiere decir crear un troyano y realizar un ataque usando el mismo.

¿Y quién creó un troyano? ¿Quiénes el atacante? — es decir, ¿quién difunde el troyano?

Casi enseguida aparecieron mensajes sobre la vinculación de WannaCry al grupo Lazarus.

Se destaca que los fragmentos del código detectados en la versión anterior del virus WannaCry, se usaban por el grupo Lazarus Group, supuestamente vinculado a Pienjàn.

http://rusgosnews.com/2017/05/17/specialisti-laboratorii-kasperskogo-rasskazali-kto-stoit-za.html

Por lo tanto, recordamos lo que supuestamente realizó Lazarus Group:

  1. Un ataque realizado con éxito a la empresa Sony Pictures en el año 2014.
  2. Ataque al sistema entre bancos SWIFT. En particular, en febrero del año 2016 los hackers robaron $81 millones al Banco Central de Bangladesh.
  3. Ataque al Banco del Austro en Ecuador en enero de 2015. Como resultado, se robó $9 millones.

Un grupo serio que exoste ya hace unos diez años. Las operaciones realizadas con éxito – todas basadas en el hackeo y no en intentos de enviar el software nocivo.

Y ¿qué tal lo de WannaCry (la descripción de los expertos de Doctor Web puede consultarse aquí)?

  1. El troyano no está comprimido y no vuelve a ser comprimido. La mayoría de los troyanos se observa por los medios de detección durante unos 9 minutos – WannaCry atacó durante días con el mismo código sin intentar ocultarse de los antivirus. Solo la falta de preparación de los administradores le permitió causar daño.
  2. El troyano es un archivo con una clave de descompresión en su hardware, visible para cualquier investigador.

    #drweb

    (https://www.linkedin.com/feed/update/urn:li:activity:6269238070189654016)

  3. El troyano no intenta ocultarse en el sistema de ninguna forma – cualquier monitor antivirus de archivos detecta sus archivos.
  4. En el troyano se puede ver una dirección de correo:
    00:34 < nulldot> 0x1000ef48, 24, BAYEGANSRV\administrator
    00:34 < nulldot> 0x1000ef7a, 13, Smile465666SA
    00:34 < nulldot> 0x1000efc0, 19, wanna18@hotmail.com
    00:34 < nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
    00:34 < nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion
    00:34 < nulldot> 0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1
    00:34 < nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
    00:34 < nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
    00:34 < nulldot> 0x1000f1b4, 12, 00000000.eky
    00:34 < nulldot> 0x1000f270, 12, 00000000.pky 
    00:34 < nulldot> 0x1000f2a4, 12, 00000000.res

    https://habrahabr.ru/company/pentestit/blog/328606
    https://habrahabr.ru/post/328548

  5. El ataque se realizó desde el mismo lugar.
  6. Los hackers no ganaron casi nada por un error en el módulo de recepción de bitcoins — ¿y todo esto causó muchas víctimas que nunca podrán recuperar los datos porque simplemente no pueden pagar un rescate?

No parecen hackers Lazarus que ganan millones de dólares con éxito. Cabe destacar que entre las herramientas robadas de la Agencia de Seguridad Nacional hubo una utilidad especial que permite introducir las frases en lenguaje requerido en el texto del programa. Sin hablar de la introducción de un código necesario…

#cifrador #Trojan.Encoder #ciberdelincuencia #responsibilidad

Dr.Web recomienda

  • Como nuestros usuarios no han sido víctimas y tenemos poca información sobre infecciones reales, no afirmamos nada y no intentamos suponer nada sin estar seguros del todo. La opinión oficial de la empresa Doctor Web sobre el ataque puede ser consultada en el sitio web oficial.
  • Es muy fácil falsificar los rastros. Es muy difícil demostrar que alguien en realidad realizó un ataque.
  • Esperamos que algún día los autores de este troyano estén en un sitio que les corresponde. En una cárcel.

Reciba los puntos Dr.Web por valorar la edición (1 voto = 1 punto Dr.Web)

Inicie sesión y obtenga 10 puntos Dr.Web por publicar un enlace a la edición en una red social.

[Twitter]

Por causa de restricciones técnicas de Vkontakye y Facebook, lamentamos no poder ofrecerle los puntos Dr.Web. Pero Vd. puede compartir un enlace a esta edición sin obtener los puntos Dr.Web. Es decir, gratis.

Nos importa su opinión

10 puntos Dr.Web por un comentario el día de emisión de la edición, o 1 punto Dr.Web cualquier otro día. Los comentarios se publican automáticamente y se moderan posteriormente. Normas de comentar noticias Doctor Web.

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios