(CNNMoney) – No está claro quién es responsable del ciberataque global que afectó a alrededor de 300.000 máquinas en 150 países. Las empresas todavía están recuperándose de las consecuencias, y las agencias gubernamentales de todo el mundo están investigando.
Los investigadores de seguridad han documentado similitudes entre el código WannaCry y el malware creado por el grupo Lazarus, una operación de hackers que ha estado vinculada a Corea del Norte. Las similitudes de código fueron descubiertas por el investigador de Google, Neel Mehta, este lunes. Google se negó a comentar.
La empresa de seguridad Symantec también encontró vínculos entre Lazarus y WannaCry. Descubrió las primeras versiones de WannaCry en sistemas que habían sido comprometidos por las herramientas del grupo Lazarus. Estas versiones eran diferentes a las del ransomware que se extendió este viernes. No está claro si el grupo de Lazarus puso el ransomware en esos sistemas, o alguien más lo hizo.
“Aún no hemos podido confirmar las herramientas de Lazarus implementadas WannaCry en estos sistemas”, dijo un portavoz de Symantec en un comunicado a CNNTech. “Si bien estas conexiones existen, hasta ahora sólo representan conexiones débiles. Continuamos investigando para conexiones más fuertes”.
Kaspersky Lab, una empresa de seguridad, también ha publicado las similitudes. El grupo de Lazarus estuvo vinculado al hackeo de 2014 de Sony Pictures y ataques a bancos de todo el mundo.
Lee: ¿Por qué son más vulnerables las empresas a un ciberataque masivo de ransomware?
Las más recientes observaciones aún están muy lejos de determinar si los hackers de Corea del Norte estaban detrás del reciente ciberataque global, pero demuestran cómo los investigadores van a encontrar quién es el culpable. Una forma es investigar el código y compararlo con muestras que los hackers conocidos han utilizado en el pasado.
Según Amanda Rousseau, investigadora de malware de la firma de seguridad Endgame, es difícil atrapar a los cibercriminales. Además, será difícil encontrar al paciente cero, o la primera víctima que inició la propagación del virus.
El ransomware de WannaCry tomó a los ordenadores como rehenes cifrando sus archivos y requiriendo pagos para desbloquearlos. Se aprovechó de una vulnerabilidad de Windows que se filtró en una serie de herramientas de hacking que se cree que pertenecen a la NSA. El ransomware afecta principalmente a empresas y organizaciones grandes que usan una herramienta de Windows que permite compartir archivos.
Microsoft lanzó un parche para esa vulnerabilidad en marzo.
Rousseau dice que el código de malware indica que hay al menos dos partes diferentes responsables de ello, porque hay dos piezas del ataque que se codifican de manera diferente. No fue difícil hacerle ingeniería reversa al ransomware en sí, dijo Rosseau, e indica que una persona con menos experiencia lo escribió.
Varias agencias gubernamentales están comprometidas a rastrear a los perpetradores.