Subastas, rebajas y newsletters: así venden el 'malware' los hackers que distribuyeron WannaCry

La historia de The Shadow Brokers es breve pero intensa. Oímos hablar del grupo de hackers por primera vez en agosto del año pasado, cuando pusieron a la venta en la Deep web un paquete de herramientas sustraído -decían- a la mismísima NSA. Desde entonces, han sido varios los intentos que ha hecho el grupo para vender el pack. Primero una subasta, luego le pusieron precio fijo y más tarde lo rebajaron. Hasta que el martes abrieron una nueva línea de negocio que será algo así como una newsletter de descargas.

El servicio de suscripción empieza el uno de junio y costará 100 monedas ZCash al mes. Esta criptomoneda se parece al bitcoin porque también utiliza la blockchain y se caracteriza por ofrecer total privacidad tanto para el emisor del pago como para el receptor. Aparte de ser descentralizada y código abierto, también protege el importe de la transacción, que permanece en secreto.

The Shadow Brokers asegura que ni siquiera saben qué datos estarán incluidos en la primera entrega. El pago (al cambio, unos 21.000 dólares) habrá que hacerlo entre el 1 y el 30 de junio y una vez aceptado, el grupo de hackers se compromete a enviar unas credenciales para descargar el pack entre el 1 y el 17 de julio. En el pasado, el grupo ya subastó o vendió paquetes que contenían diversos exploits, virus, softwares de fuerza bruta, RATs y otro tipo de herramientas similares a WannaCry, el ransomware que protagonizó hace apenas tres semanas uno de los mayores ataques informáticos de la historia. Teóricamente, esto es lo que entraría en la newsletter de julio:

  • Herramientas y exploits para navegadores web y routers.
  • Determinados elementos de nuevos “Ops Disks”, incluyendo nuevos exploits para Windows 10.
  • Datos comprometidos de las redes de bancos centrales y proveedores SWIFT.
  • Datos comprometidos de las redes de los programas de misiles de Rusia, China, Irán y Corea del Norte.

Cuando en agosto del año pasado The Shadow Brokers subastó un primer pack de herramientas de la NSA, nadie les tomó muy en serio. Por eso la mejor oferta que recibieron fue de 2 bitcoin (ahora 4.101 euros. Por aquel entonces, 1.675 euros), una cantidad irrisoria en relación al contenido del paquete. Después pidieron 10.000 bitcoin y luego lo rebajaron hasta 1.000. Su reputación ha aumentado enormemente en los últimos meses, sobre todo, gracias a WannaCry.

“El paquete de exploits a 21.000 dólares no entiendo muy bien a qué responde. Al final, lo que está claro es que tampoco tienen ninguna motivación económica”, explica Vicente Díaz, analista senior de Kaspersky. “El dinero que piden es ridículo si tenemos en cuenta que el año pasado estaban pidiendo casi 8 millones”. Se refiere a octubre del año pasado, cuando The Shadow Brokers volvió a revender el pack por 10.000 bitcoin, que al cambio, por aquel entonces, eran 7,8 millones de dólares. Hoy, la misma cantidad de la criptomoneda equivale a 20 millones y medio de dólares.

Ganando credibilidad de poco en poco

En otras ocasiones, el grupo de hackers ha ido soltando herramientas por separado, poniéndolas precio entre 1 y 100 bitcoin. En diciembre del año pasado consiguieron credibilidad suficiente por parte de muchas firmas de ciberseguridad cuando demostraron vía ZeroNet (una plataforma de hosting basada en la blockchain) que tenían en su poder todos y cada uno de los exploits de la NSA que anunciaban.

En abril volvieron a poner un pack a la venta en el que estaba incluido Eternal Blue, el exploit donde se incluía WannaCry. Casi dos meses después lo vuelven a intentar, pero esta vez en forma de suscripción: “Ahora parece que quieren cambiar un poco la narrativa de la historia. Nosotros lo seguimos con interés, a ver cómo se desarrollan los acontecimientos, pero Kaspersky no va a pujar por comprar nada”, explica el analista de la firma rusa.

La empresa de ciberseguridad Check Point se muestra en la misma línea que Kaspersky: “Nosotros no es que estemos asustados, pero estamos atentos ante lo que puede suceder. Si alguien publica esas vulnerabilidades o paga, aparte de que esté dando alas a ese grupo, el problema es que se puedan utilizar para ataques similares a WannaCry o incluso más dañinos”, dice Eusebio Nieva, director técnico de la firma.

Un precio ridículo

Las dos empresas de ciberseguridad coinciden en que la intención del grupo de hackers no es monetaria, sino publicitaria. “Quieren participar en un escándalo y tienen unos intereses más propagandísticos que otra cosa a partir de la atribución de las herramientas”, explica Díaz. “Esto está siendo más espectacular que otra cosa. Un creador de malware de verdad, si tuviera en su poder todas esas vulnerabilidades, lo que estaría haciendo continuamente es lanzando campañas con variaciones del Crypto Locker, de WannaCry, etcétera. Y a medida que le parcheasen uno, sacaría otro para tener una ventaja competitiva sobre los fabricantes de seguridad”, continúa Nieva.

Y es que, según el analista de Kaspersky, “el precio es ridículo”. Díaz explica a eldiario.es que una vulnerabilidad de Windows remota “cuesta más de 21.000 dólares. Incluso se la puedes vender al fabricante”. Desde Kasperksy aseguran que exploits de este tipo, como WannaCry, [se venden] a partir de 90.000 dólares“.

Nieva, por su parte considera que el pack podría comprarlo cualquier empresa dedicada a la fabricación de malware. “Hay industrias completas que proporcionan las herramientas, los sitios para infectar, el software y tú lo único que tienes que hacer es encargarte de lanzar esa infección. De los que infectes y paguen, el 60% del dinero va para ti y el 40% para ellos. Es una industria”, asegura.