¿Conoces la historia de los Shadow Brokers, el grupo que supuestamente hackeó a la NSA? Está relacionado con el ransomware WannaCry y, en este artículo, te contamos en qué consistió dicho ataque y cuál fue la supuesta implicación del grupo Shadow Brokers.
WannaCry
El 12 de mayo de 2017, tuvo lugar uno de los ciberataques globales más infames de la historia. Un ransomware llamado WannaCry se apoderó de cientos de miles de ordenadores en más de 150 países. Este programa cifraba todos los archivos del sistema y cobraba una suma de dinero en bitcoins, equivalente a 300 USD, como rescate para restaurar todos los ficheros de la víctima. Aunque los atacantes recolectaron tan solo alrededor de 190.000 USD en total, causaron pérdidas por cientos millones de dólares en numerosos países del mundo.
El ransomware WannaCry afectó mayormente a compañías e instituciones que utilizaban sistemas operativos de Microsoft tipo Windows 7 y anteriores. Muchos ordenadores aún funcionaban (y todavía lo hacen) con estos sistemas antiguos, debido principalmente a la utilización de softwares descontinuados. En el caso del Servicio Nacional de Salud del Reino unido, se reportaron pérdidas por más de 92 millones de libras esterlinas, a causa de este ataque con ransomware.
El ataque con WannaCry no hubiese sido posible sin usar un exploit llamado EternalBlue. Un exploit es un programa que permite usar un fallo de seguridad para infiltrarse en una máquina. EternalBlue explota una serie de vulnerabilidades del servicio de Microsoft Server Message Block 1.0, por lo que permite ejecutar código de manera remota en una máquina. Este software, supuestamente, fue desarrollado por la NSA y robado por el grupo de hackers que protagoniza este artículo. Ahora, hablaremos sobre la historia de los Shadow Brokers.
Historia de los Shadow Brokers
Veremos la historia de los Shadow Brokers y cómo están relacionados con el ataque de WannaCry, ¿acaso fueron ellos quienes lo propagaron?
En el verano del año 2016, apareció por primera vez un grupo de hackers llamado Shadow Brokers. Por medio de mensajes en inglés mal redactados, aseguraron haber hackeado exitosamente a la Agencia de Seguridad Nacional de los Estados Unidos y haber robado varias de sus herramientas privadas de ciberseguridad.
El anuncio se dio a conocer por medio de una página de Tumblr, cuyo dominio ya no existe, y el grupo puso en marcha una subasta para vender los programas que, supuestamente, habían adquirido con el hackeo. Además, habilitaron un foro de preguntas y respuestas, que tampoco existe ya, con el fin de resolver dudas y brindar pruebas sobre la existencia de los softwares que ofrecían.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaNo obstante, la subasta de los Shadow Brokers no fue exitosa. El valor de las ofertas alcanzó un máximo de apenas unos cuantos cientos de dólares. Por eso, los Shadow Brokers optaron por la siguiente opción: vender los exploits en el mercado negro. Dicho y hecho; comenzaron a vender estos programas por unidad, por medio de una red descentralizada llamada ZeroNet.
Debido al éxito o fracaso de su estrategia comercial con ZeroNet, los Shadow Brokers continuaron vendiendo los supuestos exploits de la NSA de otros modos. Por ejemplo, crearon un portal en la dark web, llamado Windows Warez, en el que se podía adquirir el paquete completo de exploits por un coste de 750 BTC. Sin embargo, dicho método no pareció funcionar tampoco, ya que el grupo de hackers decidió filtrar todas las herramientas de manera gratuita el 14 de abril de 2017.
Menos de un mes después, ocurriría el ciberataque con WannaCry.
EternalBlue
Aún se desconoce en qué terminó la historia de los Shadow Brokers tras el despliegue del ransomware WannaCry. Los hackers desmintieron, de forma oficial, su participación en este ciberataque. Sin embargo, el EternalBlue, que fue filtrado por ellos, se utilizó para que el WannaCry se pudiese propagar entre todos los ordenadores con Windows 7, Windows Vista y Windows XP descactualizados.
Una de las enseñanzas que deja este episodio es acerca de la importancia de mantener los sistemas actualizados, ya que el parche de seguridad para el exploit EternalBlue (MS17-010) había sido publicado por Microsoft tan solo dos meses antes del día del ataque con WannaCry. Solo aquellos que tenían el parche instalado pudieron evadir los efectos del ransomware.
¿Cómo aprender más?
Ahora ya conoces la historia de los Shadow Brokers y cómo se relaciona con el exploit EternalBlue y el ciberataque con el ransomware WannaCry. Si quieres aprender más sobre técnicas y teoría de hacking ético, en KeepCoding tenemos el Ciberseguridad Full Stack Bootcamp, una formación intensiva con la que lograrás especializarte en este ámbito del sector tecnológico en pocos meses para abrirte paso en el mercado laboral. ¡Pide ahora más información!
