Qué es Lazarus, los hackers de Corea del Norte sospechosos de crear WannaCry
Especialistas señalan a la organización norcoreana como la responsable del reciente ciberataque global
Cada vez son más los países que señalan a un grupo como responsable de WannaCry, el mayor ciberataque global de los últimos tiempos que secuestró equipos informáticos de 150 países hace apenas un mes.
- El ciberataque de escala mundial y “dimensión nunca antes vista” que afectó a instituciones y empresas de unos 150 países
- “Entré en pánico”: el experto en seguridad Marcus Hutchins cuenta cómo rastreo y frenó WannaCry
Se trata de una organización de hackers que se hace llamar Lazarus (o DarkSeoul) y que nació en Corea del Norte en el año 2009.
El Cuartel General de Comunicaciones del Gobierno (NCSC, por sus siglas en inglés), una de las agencias de inteligencia de Reino Unido, acaba de emitir un informe con el que coloca a los hackers norcoreanos en el punto de mira.
Pero no es el primero en señalarlos.
El Equipo de Respuesta ante Emergencias Informáticas de Estados Unidos (CERT, por sus siglas en inglés), también advierte sobre Lazarus en una investigación publicada este martes y en la que colaboró el FBI.
Y así lo hacen también la Agencia de Seguridad de EE.UU. (NSA) y las firmas de ciberseguridad rusas Kapersky Lab y Group-IB.
Esta última asegura en su informe Lazarus Arisen (El surgimiento de Lazarus, en español) que el grupo norcoreano “ espió a los enemigos ideológicos del régimen [de Kim Jong-un] durante años” .
WannaCry: ¿un robo fallido?
Según los especialistas británicos en seguridad, WannaCry (“quieres llorar”) no tenía Reino Unido como objetivo específico -pese a que fue uno de los países más afectados, especialmente su sistema sanitario- y es muy probable que se tratara de un robo que se desbordó.
Y lo más llamativo es que todo apunta a que los hackers todavía no han cobrado ni un céntimo del dinero que en un principio se pensó que habrían recibido en bitcoins, la moneda virtual en la que suelen pedirse los rescates en ciberataques (más difícil de rastrear que otras).
Los investigadores de Elliptic, una empresa británica que monitorea pagos en bitcoin, dicen que no vieron retiros de dinero en las carteras en las que se recibieron los pagos, pese a que muchas víctimas ingresaron la cantidad que pedían.
“Probablemente quienes están detrás del ataque no esperaban que [el virus] se propagara tan rápido como lo hizo“, dice Gordon Corera, corresponsal de seguridad de la BBC.
“Una vez que se dieron cuenta de que habían obtenido atención global, los riesgos de mover el dinero pudieron haber sido demasiado altos dada la relativamente pequeña cantidad involucrada”.
“La revelación de la implicación de Corea del Norte planteará complicadas preguntas sobre qué puede hacerse para detener este tipo de acciones en el futuro” .
Aunque se cree que Lazarus tiene la sede en Corea del Norte, todavía no está muy claro si Pyongyang jugó o no un papel en el ataque.
Investigadores del sector privado en todo el mundo están analizando el código para intentar comprender cómo se desarrolló el mismo.
Adrian Nish, un especialista en ciberseguridad que dirige el equipo de prevención de amenazas cibernéticas en BAE Systems, le dijo a la BBC que observó coincidencias en WannaCry con otros códigos desarrollados previamente por el grupo Lazarus.
“Parece que hubo la misma base de código y fueron los mismos autores”, dice Nish. Y lo mismo establecen los especialistas del NCSC.
- ¿De cuánto dinero se hicieron los hackers con el virus WannaCry?
- Cómo una fisura en Windows fue el origen del ciberataque de alcance mundial
Presiones económicas y espionaje
“Ahora Lazarus lanza ataques a bancos e instituciones financieras en todo el mundo”, asegura Group-IB en su documento, publicado a finales de mayo.
Los expertos rusos dicen que el grupo está especializado en ataques DDos (que inundan sistemas con correo basura) y corporativos contra gobiernos, instituciones militares y espaciales en todo el mundo.
“Pero debido a que se ha incrementado la presión económica global contra Corea del Norte, Lazarus ha trasladado su enfoque a organizaciones financieras internacionales para robar y espiar”.
La misteriosa organización también está vinculada al ataque cibernético de 2014 contra la productora Sony Pictures, que frenó el taquillazo de la película The Interview (La entrevista).
- ¿Quién está detrás del hackeo que llevó a Sony a autocensurarse?
- Corea del Norte niega hackeo a Sony Pictures
Además, tanto Reino Unido como Estados Unidos y Rusia creen que este grupo robó dinero a instituciones financieras en más de 30 países, incluidos Ecuador, Rusia, Ucrania o Filipinas.
“Fracaso estratégico”
Uno de los más destacados vinculado a los norcoreanos es el robo de US$81 millones al banco central de Bangladesh en 2016.
Este sofisticado ataque implicó la realización de transferencias a través del sistema de pago electrónico Swift, uno de los métodos de pago internacionales más grandes del mundo.
Se cree que los hackers blanquearon el dinero a través de casinos en Filipinas.
“Fue uno de los mayores atracos de todos los tiempos llevado a cabo físicamente o en el ciberespacio” , dice Nish, quien dice que ha habido casos similares posteriores en Polonia y México.
El grupo también ha sido relacionado con el ataque con ransomware contra una cadena de supermercados surcoreana.
Pero el mayor golpe hasta ahora por parte de Lazarus -de una repercusión que probablemente ni ellos mismos esperaban- habría sido WannaCry, aunque se reflejó más en su reputación internacional que en su cuenta bancaria.
Fue un ataque, según los británicos, indiscriminado, que tuvo gran impacto a corto plazo pero también supuso un fracaso estratégico, dice Corera.