Desde el 12 de mayo de 2017, todos fuimos testigos de “WannaCry” y su desarrollo como vector de ataque, los investigadores lucharon arduamente para demostrar la procedencia del ataque con la premura que reclama el marketing, en lugar de la cautela que requiere la seguridad cibernética responsable
Por Josep Verdura – Analista de Seguridad de Vintegris
Hasta la fecha, empresas como Symantec han vinculado “Wanna Cry” al sospechoso grupo “Lazarus” que opera desde una zona militarizada de Corea del Norte, tratando de probar similitudes en el código y la infraestructura.
Los analistas de la compañía de inteligencia en seguridad de los Estados Unidos Flashpoint realizaron análisis similares, pero también incluyeron una revisión lingüística y cultural de las 28 notas de rescate que se encuentran dentro del malware de WannaCry para determinar la lengua materna de los autores.
Análisis
Flashpoint analizó cada una de las notas individualmente para determinar el contenido, la precisión y el estilo, y luego comparó los resultados.
Los analistas también compararon las notas de rescate con mensajes de rescate anteriores asociados con otras muestras de ransomware para determinar si había reutilización.
Como era de esperar, hay muchas similitudes, pero no se encontró una coincidencia exacta.
Las muestras de WannaCry analizadas por Flashpoint contenían archivos de configuración de idioma con mensajes de rescate traducidos para los siguientes idiomas:
Búlgaro, Chino (simplificado), Chino (tradicional), Croata, Checo, Danés, Holandés, Inglés, Filipino, Finlandés, Francés, Alemán, Griego, Indonesio, Italiano, Japonés, Corea, Letón, Noruego, Polaco, Portugués, Rumano, Ruso, Eslovaco, Español, Sueco, Turco y Vietnamita.
Cosas chinas
Las dos notas de rescate escritas en chino difieren sustancialmente de otras notas en contenido, formato y tono.
Google Translate falla en la prueba chino-inglés e inglés-chino, producen resultados inexactos que sugieren que el texto en chino probablemente no fue generado a partir del texto en inglés.
Un número de características únicas en la nota indican que fue escrito por un redactor de chino fluido.
Un error tipográfico en la nota, “bang zu” en lugar de “bang zhu” que significa “ayuda”, indica claramente que la nota fue escrita usando un sistema de entrada en chino en lugar de ser traducida de una versión diferente.
Si miramos la nota, podemos ver que hace uso de la gramática apropiada, la puntuación, la sintaxis, y la elección del carácter, indicando que el escritor era probablemente nativo o por lo menos tenía un manejo fluido del lenguaje.
Hay, sin embargo, al menos un error gramatical menor que puede ser explicado por autocompletar, o un error de edición de copia.
El texto utiliza ciertos términos que limitan aún más la ubicación geográfica.
Un término para “semana” es más común en el sur de China, Hong Kong, Taiwán y Singapur; aunque ocasionalmente se utiliza en otras regiones del país.
Otro termino, para “anti-virus”, es más común en el continente chino.
Tal vez lo más convincente, la nota china tiene contenido sustancial no presente en ninguna otra versión de la nota, es más largo, y difiere ligeramente en formato.
Conclusiones
Los analistas evaluaron que los autores de las notas del ransomware WannaCry, tienen un dominio fluido del chino, y el lenguaje utilizado es consistente con el del sur de China, Hong Kong, Taiwán o Singapur, también dominan el inglés aunque no son nativos.
Si bien este análisis es contundente desde el punto de vista lingüístico, es preciso circunscribirnos al contexto.
Es necesario sumar más pruebas sin adelantar conclusiones, antes de que podamos elaborar un dictamen forense serio.
Por Josep Verdura – Analista de Seguridad de Vintegris
Fuente: http://itconnect.lat/portal/wannacry-0666/
