La Corte del Distrito Central de California, en Estados Unidos, ha publicado una investigaciรณn que acusa a un grupo de hackers norcoreanos, liderados por Park Jin Hyok, de haber realizado actividades de Pishing y ransomware en la Internet. Los investigadores utilizaron como evidencias las transacciones realizadas entre la blockchain de Bitcoin y Monero.
El informe titulado ยซQueja a Park Jin Hyokยป se encuentra habilitado para el pรบblico en Scribd.ย Se trata de una queja judicial en donde se acusa a Park Jin Hyok โfamoso programador y hacker norcoreanoโ de haber participado en la distribuciรณn del ransomware WannaCry el pasado 2017, ataque que afectรณ a unos 150 paรญses a travรฉs del secuestro de archivos y la solicitud de rescates en bitcoins.
Entre las pruebas presentadas por la corte, destacรณ que los investigadores utilizaron transacciones de blockchain como evidencia para sustentar su investigaciรณn criminal, con el fin de identificar aย los posibles perpetradores del WannaCry, asรญ como de otras actividades ilรญcitas de pishing y estafas.
En este sentido, las autoridades seรฑalaron que los hackers habrรญan realizado transacciones desde una cartera de rescate de Bitcoin a una casa de cambio para intercambiarlos por XMR, activos de la blockchain de Monero, y asรญ despistar su paradero. En medio de estas prรกcticas, los investigadores descubrieron que 5 direcciones IP que realizaron dichas transacciones provenรญan de un nodo de Tor con un mismo Agente de Usuario del navegador, evidencias que junto a las investigaciones realizadas a la constituciรณn del WannaCry sustentaron la posibilidad de que el ransomware fuese generado por una misma persona residente de norcorea.
Al igual que con el lavado de los rescates asociados con la Versiรณn 1 [del virus], despuรฉs de que los rescates de la Versiรณn 2 [del virus] se enviaran a los intercambios de divisas, los fondos se convirtieron en Monero. Al menos algunas de esas transferencias usaron direcciones IP que se identificaron como nodos de salida para la red TOR, y usaron la misma cadena de navegador User-Agent, ยซMozilla / 5.0 (Windows NT 6.1; rv: 52.0) Gecko / 20100101 Firefox / 52.0.
Esta no es la primera vez que una corte judicial utiliza registros de una blockchain como evidencia en un caso de delito cibernรฉtico. Este tipo de acciones le da relevancia a la tecnologรญa en el seno judicial y reconocimiento legal. Por ejemplo, recientemente en China las autoridades aprobaron que cualquier transacciรณn en una blockchain puede ser mostrada como evidencia fehaciente. Igualmente, un caso de asesinato fue resuelto por un hacker en los Estados Unidos, gracias a las transacciones en la red de Bitcoin.
Aunque esta investigaciรณn de la corte no se trate de un reporte forense de transacciones en una o varias blockchains, sus conclusiones tambiรฉn podrรญa abrir nuevamente discusiones en el seno gubernamental y el ecosistema de las criptomonedas respecto al posible uso de estas herramientas financieras para la realizaciรณn de actividades ilegales, como ha ocurrido en el pasado. Un tema altamente controvertido entre las esferas del poder y que ha sido contraproducente para el desarrollo del mercado de las criptomonedas amparado por la ley.
Otras pruebas del caso
Ademรกs de lo anteriormente dicho, las autoridades tambiรฉn comprobaron que las tres versiones del mismo virus posiblemente sean de un solo creador, ya que sus componentes y constituciรณn son muy parecidos unos a otros.
Las distintas versiones de WannaCry tratan de mejoras al ransomware, afirman las autoridades, ya que al malware se le han agregado nuevas caracterรญsticas sin modificar su cรณdigo fuenteย โpor lo cual, suponen que la persona que realiza dichas modificaciones debe tener acceso al cรณdigo fuente de la primera versiรณnโ.
Asimismo, destacaron que por medio de un estudio de anteriores malwares creados por el grupo de hacker norcoreanos, Lazarus, WannaCry tiene una estructura muy similar a sus predecesores. En consonancias con estas pruebas, las contraseรฑas usadas para acceder a los cรณdigos de estos malwares son muy parecidas las unas a las otras, elementos que indican que posiblemente el malware fue constituido por una misma persona.
Las acusaciones de que grupos de hackers norcoreanos se encontraban tras el virus WannaCry han sido realizadas con anterioridad porย la Casa Blanca. Sin embargo, es por medio de este reciente reporte que las autoridades estadounidenses han decidido poner nombre a los involucrados, sancionando directamente al programador Park Jin Hyok.
En el pasado 2017, alrededor de 150 paรญses sufrieron uno de los ataques de ransomware mรกs comprometedores โsegรบn cifras de la Europolโ, que logrรณ incluso afectar autoridades gubernamentales y grandes corporativas a nivel internacional. Por ejemplo, el Servicio Nacional de Salud de Reino Unido (NHS) perdiรณ la totalidad de los registros de sus pacientes y se registraron perdidas monetarias multimillonarias.
WanaCry trabajaba contaminando los computadores conectados a una red local infectada con un malware o vรญa Internet, alojรกndose en el disco duro de la PC. De esta manera, el ransomware lograba encriptar todos los archivos del computador y pedir un rescate por la liberaciรณn de los mismos, el cual era cobrado en formato de bitcoins.
La peligrosidad de este ransomware radicaba en dos elementos: tenรญa la capacidad de autopropagaciรณn y no se certificaba que luego del pago del rescate los archivos fuesen liberados. Asimismo, el ransomware no estaba dirigido a una vรญctima en particular, situaciรณn que lo hizo aรบn mรกs poderoso.
En caso de que WannaCry estuviese bajo el mando el grupo Lazarus,ย Park Jin Hyokย โย programador informรกtico de la compaรฑรญa Chosun Expo Joint Ventureโ se anotarรญa otra ilegalidad conspiratoria, ademรกs del hackeo aย Sony Pictures Entertainment el pasado 2014 y el famoso ingreso a lasย terminales informรกticas del Bangladesh Bank en el 2016.
Por si fuera poco, el reporte tambiรฉn destacรณ que el grupo Lazarus ha utilizado y difundido correos pishing y otros tipos de ransomware para acceder a las cuentas de sus victimas, actividades que se encuentran relacionadas entre sรญ debido a la estructura de los ataques y la coincidencia de losย IP entre varios de los focos de propagaciรณn del virus.
Imagen destacada por zephyr_p / stock.adobe.com