Hace menos de 24 horas, los hackers responsables de WannaCry, el mayor ransoware de la historia hasta la fecha, vaciaron las tres direcciones de las carteras digitales en las que se encontraban los fondos obtenidos de sus vรญctimas.
La noticia se dio a conocer a travรฉs Quartz, quienes habรญan colocado un Bot de Twitter para monitorear el movimiento de las carteras asociadas a los depรณsitos solicitados por los hackers detrรกs del WannaCry.
Alrededor de 140.000 dรณlares en bitcoins, de unos 383 pagos repartidos entre las tres carteras, habรญan permanecido intactos desde el ataque acontecido en mayo. Desde la infecciรณn masiva, el medio optรณ por vigilar los movimientos de las direcciones de las 3 carteras donde las vรญctimas debรญan enviar los bitcoins para rescatar sus archivos.
Muy pocos esperaban que el dinero se moviese del mundo digital, y menos en grandes cantidades, debido a que las transacciones en la blockchain seguramente estarรญan vigiladas por las agencias de aplicaciรณn de la ley y seguridad cibernรฉtica en todo el mundo. Sin embargo, la noche del miรฉrcoles el dinero comenzรณ a moverse. Segรบn el bot de Quartz, el primer retiro fue un monto de 7.34128314 BTC (20.055,52 dรณlares aproximadamente) fue hecho a ย las 11pm del 2 de agosto.
? 7.34128314 BTC ($20,055.52 USD) has just been withdrawn from a bitcoin wallet tied to #wcry ransomware. https://t.co/wX2k9pJLNQ
โ actual ransom (@actual_ransom) 3 de agosto de 2017
A ese le siguieron mรกs retiros por la cantidad de 8.73261636 BTC (23.856 dรณlares) y 9.67641378 BTC (26.434 dรณlares) cada uno. Entre estos primeros retiros suman casi la mitad de los 140.000 dรณlares del monto total. Unos minutos despuรฉs se hicieron otros tres retiros de 7.06939288 BTC (19.318,06 dรณlares), 10.06868926 BTC (27.514,04 dรณlares) y 9.03851401 BTC (24.698,95 dรณlares) en ese orden. Finalmente, casi a las 11:30pm (ET) del mismo dรญa fue hecho el รบltimo retiro por el monto de 9.67641378 BTC, equivalente a unos 26.500 dรณlares.
El dinero extraรญdo de dichas carteras viene de la extorsiรณn tipo ransomware aย miles de vรญctimas en unos 180 paรญses, pues originalmente la nota de rescate del WannaCry o WannaCrypt ย pedรญa 300 a 600 dรณlares por cada dispositivo infectado, para proveer las claves necesarias y desencriptar los archivos de modo que la vรญctima pudiese tener el control de ellos de nuevo. Por ello las sumas que se esperaban eran grandes, aunque al final alcanzaron sรณlo los $0.1 millones.
Ahora bien, el siguiente paso de los hackers detrรกs del mencionado ransomware, probablemente serรก pasar los bitcoins a otras criptomonedas o โlavarloโ a travรฉs de mixers o alguna compaรฑรญa dedicada a ello, para evitar que estos BTC sean rastreados;ย ya que segรบn una reseรฑa de Kaspersky โel hecho de que ahora el dinero se estรก moviendo hacia fuera debe aumentar el interรฉs policial en WannaCry una vez mรกsโ. En relaciรณn a esto, un miembro del equipo de Investigaciรณn y Anรกlisis Global de Kaspersky Lab, Brian Bartholomew, explicรณ el proceso de los mixers:
Las monedas que vienen de mรบltiples clientes se combinan y pequeรฑas porciones se transfieren alrededor de varias carteras, terminando en la cachรฉ limpia. Si el cliente que solicita el servicio utiliza una cartera nueva ยซdesconocidaยป, la transacciรณn es virtualmente imposible de rastrear (aparte de la participaciรณn directa de la policรญa). Una vez que la nueva cartera recibe las monedas limpias, pueden ser retiradas a travรฉs de cualquier nรบmero de intercambios.
Brian Bartholomew
Investigador
Durante el apogeo de propagaciรณn de este virus, que incluso afectรณ a compaรฑรญas como Disney o el Servicio Nacional de Salud (NHS) de Reino Unido, el hacker britรกnico Marcus Hutchins, conocido como MalwareTech, logrรณย detenerlo momentรกneamente, pues detectรณ una falla en el cรณdigo y la dio a conocer. Curiosamente este โhรฉroeโ fue arrestado hoy mismo en Las Vegas, por presuntamente crear y distribuir el malware troyano โKronosโ dirigido a entidades bancarias, que roba las credenciales y otros datos de los clientes del banco infectado.
