Tras la pista del malware WannaCry: algunos puntos a considerar

Distribution by countries

Seguimos trabajando en el caso.

Tras la preparación de un informe preliminar el viernes y otro superficial (sin análisis) este pasado lunes, esta semana previsiblemente tocará hacer uno global bastante más elaborado.

Esta imagen que acompaña el texto pertenece a uno de los que entregamos al cliente estos días, y quizás sirva para darse cuenta que aunque a nivel reputacional WannaCry ha sido sin lugar a dudas un éxito, el impacto real del bicho apenas ha tenido eco en la mayoría de países.

El idioma y los controles gubernamentales, eso sí, tergiversan los datos mostrados. En este caso, y por exigencias del guión, solo hemos monitorizado menciones de fuentes abiertas escritas en idiomas con alfabeto occidental. Y países como Rusia o China, sujetos a una fuerte censura gubernamental, suelen arrojar datos muy inferiores a los reales.

Ayer los chicos de merca2.es se volvieron a poner en contacto con un servidor para ahondar más en el asunto (por aquí una pieza sobre la supuesta atribución norcoreana (ES), y por aquí otro sobre el rendimiento económico del ataque (ES)), a varios días vista, y centrarnos en el posible origen del ataque, a raíz de la publicación en Wired (EN) de la investigación de Kaspersky que señala como posible fuente Corea del Norte.

Mi respuesta, a falta de que los analistas serios (que quien escribe esto solo se dedica al OSINT y las señales superficiales) tengan el tiempo necesario para tirar del hilo, va más por los derroteros ya contrastados.

Dejo por aquí la conversación al completo:

1. Dado que tú estuviste elaborando aquel informe preliminar, ¿qué impresión te dio en su momento y a qué conclusiones has llegado ahora? ¿Te parece precipitada la info de Wired o la valoración de Kaspersky?

En las primeras horas del ataque lo cierto es que la mayoría pensábamos que se trataba de un ataque dirigido hacia Telefónica, por ser esta una de las compañías estratégicas para poner en jaque buena parte de las organizaciones del país.

A lo largo del medio día, conforme la jornada laboral del resto de países empezaba, nos dimos cuenta de que en efecto estábamos ante una pieza que no hacía discriminación alguna, y que había sido liberada (de forma accidental o premeditada) masivamente para causar el máximo daño.

El problema, no obstante, a la hora de señalar la autoría de un ataque digital, es que la fuente del ataque puede no tener relación alguna con la autoría del mismo. Me explico.

Cuando un país o un grupo terrorista lanza una ofensiva “física” contra alguien, debe hacerlo él mismo, delatándose en el ataque. En la ciberguerra (y en definitiva, en cualquier ataque informático, tenga o no tintes políticos o puramente económicos), un país o unos cibercriminales podrían comprometer la seguridad de los dispositivos de una zona en el otro lado del mundo, crear una botnet o utilizarlos de puente para realizar el ataque desde ellos. El ataque vendría de aquellos ordenadores, pero los verdaderos culpables no son sus dueños (que, de hecho, son una víctima colateral), sino quienes estén por detrás.

Dicho esto, también hay que tener en consideración que todo acto digital deja un rastro. Rastro que puede ser seguido por los investigadores hasta dar con la fuente real del ataque. Y un rastro que puede ser más o menos complejo dependiendo de las medidas que hayan tomado los atacantes para ofuscar sus fechorías.

Si Kaspersky está señalando a Corea del Norte como potencial origen del mismo será porque en efecto tienen pruebas que apuntan en esa dirección. También es verdad que Corea del Norte, por su propia idiosincrasia (ese país hermético del “eje del mal” que además de ser bastante activo a nivel de ataques informáticos, cuenta con varios equipos de élite entrenados precisamente para esto), es rápidamente señalado como potencial culpable en la mayoría de ciberataques.

2. Se ha especulado mucho acerca de por qué la primera versión de WannaCry tenía un kill switch según algunas voces no demasiado escondido, ¿qué hay de cierto en esto? ¿Qué indicaría de ser así sobre el móvil de los atacantes?

En efecto, y quizás este sea uno de los principales hechos que nos lleven a pensar que WannaCry ha acabado atacando masivamente por un descuido de sus creadores.

Es muy raro que un malware de este tipo tuviera una puerta trasera tan aparentemente clara que bloquea el funcionamiento del mismo. Básicamente, algunas de las primeras cepas de WannaCry contaban con un condicional que intentaba conectarse a un dominio X. Si ese dominio respondía (es decir, en ese dominio de internet había una página o un servicio digital), el ransomware no cifraba el contenido. Si no conseguía comunicarse con el mismo, empezaba a cifrar documentos.

El chico que está detrás de la cuenta @MalwareTechBlog encontró esta comprobación, compró el dominio, y puso algo apuntando hacia él, consiguiendo de una manera tan simple bloquear el impacto de todas las cepas de WannaCry con ese kill-switch (ES).

¿Por qué los cibercriminales iban a dejar algo así en su bicho, a sabiendas que más temprano que tarde alguien lo encontraría? Es más probable que se deba a uno de los controles de seguridad implementados para probar el ransomware en sus dispositivos.

Y este hecho es el que quizás los chicos de Kaspersky han aprovechado para asegurar que la autoría del ataque quizás provenga de Corea del Norte. Porque bastaría con tirar de las peticiones que han hecho los equipos infectados a ese dominio hacia atrás hasta encontrar las primeras, que deberían corresponder a los ciberatacantes, o como mucho, a los primeros ordenadores que utilizaron como víctimas iniciales.

3. Tú que estás a pie de código, digamos, en primera línea, ¿puedes confirmar si como también se estaba diciendo ayer lunes los atacantes no han tocado ni un centavo del dinero que se ha ido depositando en las carteras de bitcoin habilitadas para recaudar el dinero de los rescates? Si fuera así, ¿a qué crees que puede deberse?

Primero de todo decirte que mi trabajo no es tocar el código. Para eso están los analistas técnicos, que me dan mil vueltas en eso de meterse en las tripas del malware. Yo me quedo con la parte más superficial, que es analizar los datos OSINT y hacer informes aglutinando lo que sacan los chicos con lo que sabemos por diferentes fuentes.

Dicho esto, el cómo han estructurado el modelo de pago es otra de las piezas que nos hacen pensar que no estamos ante un ataque muy sofisticado, y que quizás su éxito ha sido más bien fortuito.

Hay reconocidas unas pocas carteras de bitcoin a las que apuntan la amplia mayoría de cepas del ransomware. Cuando estuve en ello (viernes noche) creo que encontramos como tres o cuatro únicamente. Ahora mismo seguro que habrá ya más.

Y digo que esto es extraño porque desde el punto de vista puramente estratégico, el que hayan unificado los pagos en muy pocas carteras les hace más susceptibles de ser rastreados.

Pero Pablo, ¿cómo es posible si blockchain, la tecnología detrás del bitcoin, es completamente anónima? Porque es anónima… siempre y cuando no tengas los recursos necesarios para controlar un porcentaje de nodos suficientes. Cosa que ni tú ni yo podemos hacer, pero que quizás Kaspersky en colaboración con la Interpol o la NSA, sí puedan.

Toda transacción realizada en bitcoin deja un rastro. Un rastro anónimo, pero un rastro a fin de cuentas. De esta manera, un investigador con los suficientes recursos podría ir tirando del hilo hasta llegar a la cuenta original de los cibercriminales, y con ella, alertar a las autoridades para que “hagan magia” y transformen esa cadena de bloques anónima en una dirección de email identificativa. Lo demás es historia (ES).

Así que por un lado tenemos un malware que fue liberado con una debilidad no oculta en su código y fácilmente manipulable por alguien con conocimientos. Y por otro, un ataque cuyo modelo de negocio se basa en la extorsión de la víctima, instada a pagar unos 300 dólares en bitcoins a un muy limitado número de carteras bitcoin, a sabiendas de que eso hace más sencillo su rastreo.

¿Que fue algo premeditado? ¿Que hay alguien interesado en señalar a Corea del Norte como atacante? A veces la respuesta más sencilla es la correcta: Quizás estemos ante una prueba de concepto de un ataque futuro que ha acabado fuera del control de sus creadores antes de tiempo.

Pero vaya, que esto son solo cavilaciones de un humilde servidor. La verdad, si es que algún día llegamos a conocerla, irá despejándose en futuros capítulos :).