Así es Lazarus Group, la banda que estaría detrás del ciberataque mundial

(Agencia N+1 / Hans Huerto). El grupo de hackers conocido como Lazarus Group estaría detrás del ciberataque que ha infectado desde la semana pasada a unas 300.000 computadoras en 120 países con el malware WannaCry, en lo que supone uno de los delitos en la modalidad de ransomware de mayor escala hasta hoy conocidos.

Los primeros indicios de que Lazarus Group estaría asociado al ataque están escondidos en el código del malware empleado. Este se presta elementos de otros programas maliciosos anteriormente asociados al colectivo criminal, al que se ha asociado en más de una acción delictiva con el gobierno norcoreano. Según Reuters, Simon Choi, investigador de Hauri Labs de Corea del Sur, asegura que un código en una versión anterior de WannaCry apareció en los programas utilizados por Lazarus. Choi es investigador senior con Hauri y ha estudiado las capacidades de hackeo de Corea del Norte.

Modalidad repetida. Sin embargo, Symantec y Kaspersky, firmas de seguridad cuyos hallazgo coinciden con los de Choi, han señalado que es demasiado pronto para sindicar al régimen de Kim Jong Un como el responsable del ataque. La primera alarma al respecto fue publicada en Twitter por el investigador de seguridad de Google, Neel Mehta, quien divulgó las líneas de código que coincidían entre una versión precursora de WannaCry, aparecida en febrero último, y un malware de puerta trasera, o backdoor, que data de 2014 y que fue relacionado a Corea del Norte.

Aquel caso fue el del hackeo a servidores de Sony Pictures, ocurrido en noviembre de ese año, supuso la difusión de fechas de estrenos previstas, data personal de empleados y algunas copias de filmes aún no estrenados. El ataque se dio luego de que un grupo de hackers, Guardians of Peace, exigió anónimamente a Sony no estrenar el filme cómico “La entrevista”, sobre un plan ficticio para asesinar al líder norcoreano Kim Jong Un. El FBI investigó el malware empleado y halló relaciones con la nación asiática.

La ruta de los 'hackers'. Según una investigación de Kaspersky Lab del año pasado, Lazarus Group “estuvo involucrado en campañas de espionaje militar y saboteó operaciones de instituciones financieras, estaciones de medios y empresas manufactureras. Hasta donde sabemos, la mayoría de las víctimas residen en Corea del Sur, India, China, Brasil, Rusia y Turquía”. También se reveló que las primeras muestras de malware producidas por el grupo datan de 2009 y que desde 2010, crecieron dinámicamente.

Más aun: el ataque a Sony, a través del malware Destover, tuvo similitudes en su código con otros similares, bautizados como DarkSeoul y Shamoon, relacionados a Corea del Norte. Hasta el momento, ni Lazarus Group ni el gobierno norcoreano han admitido alguna relación con los recientes ataques, aunque ante anteriores imputaciones similares, el régimen de Kim Jong Un ha salido al frente a desmentir dichas versiones.