Fueron retirados los bitcoins en las carteras asociadas al ransomware WannaCry

Hace menos de 24 horas, los hackers responsables de WannaCry, el mayor ransoware de la historia hasta la fecha, vaciaron las tres direcciones de las carteras digitales en las que se encontraban los fondos obtenidos de sus víctimas.

La noticia se dio a conocer a través Quartz, quienes habían colocado un Bot de Twitter para monitorear el movimiento de las carteras asociadas a los depósitos solicitados por los hackers detrás del WannaCry.

Alrededor de 140.000 dólares en bitcoins, de unos 383 pagos repartidos entre las tres carteras, habían permanecido intactos desde el ataque acontecido en mayo. Desde la infección masiva, el medio optó por vigilar los movimientos de las direcciones de las 3 carteras donde las víctimas debían enviar los bitcoins para rescatar sus archivos.

Muy pocos esperaban que el dinero se moviese del mundo digital, y menos en grandes cantidades, debido a que las transacciones en la blockchain seguramente estarían vigiladas por las agencias de aplicación de la ley y seguridad cibernética en todo el mundo. Sin embargo, la noche del miércoles el dinero comenzó a moverse. Según el bot de Quartz, el primer retiro fue un monto de 7.34128314 BTC (20.055,52 dólares aproximadamente) fue hecho a  las 11pm del 2 de agosto.

? 7.34128314 BTC ($20,055.52 USD) has just been withdrawn from a bitcoin wallet tied to #wcry ransomware. https://t.co/wX2k9pJLNQ

— actual ransom (@actual_ransom) 3 de agosto de 2017

A ese le siguieron más retiros por la cantidad de 8.73261636 BTC (23.856 dólares) y 9.67641378 BTC (26.434 dólares) cada uno. Entre estos primeros retiros suman casi la mitad de los 140.000 dólares del monto total. Unos minutos después se hicieron otros tres retiros de 7.06939288 BTC (19.318,06 dólares), 10.06868926 BTC (27.514,04 dólares) y 9.03851401 BTC (24.698,95 dólares) en ese orden. Finalmente, casi a las 11:30pm (ET) del mismo día fue hecho el último retiro por el monto de 9.67641378 BTC, equivalente a unos 26.500 dólares.

El dinero extraído de dichas carteras viene de la extorsión tipo ransomware a miles de víctimas en unos 180 países, pues originalmente la nota de rescate del WannaCry o WannaCrypt  pedía 300 a 600 dólares por cada dispositivo infectado, para proveer las claves necesarias y desencriptar los archivos de modo que la víctima pudiese tener el control de ellos de nuevo. Por ello las sumas que se esperaban eran grandes, aunque al final alcanzaron sólo los $0.1 millones.

Ahora bien, el siguiente paso de los hackers detrás del mencionado ransomware, probablemente será pasar los bitcoins a otras criptomonedas o “lavarlo” a través de mixers o alguna compañía dedicada a ello, para evitar que estos BTC sean rastreados;  ya que según una reseña de Kaspersky “el hecho de que ahora el dinero se está moviendo hacia fuera debe aumentar el interés policial en WannaCry una vez más”. En relación a esto, un miembro del equipo de Investigación y Análisis Global de Kaspersky Lab, Brian Bartholomew, explicó el proceso de los mixers:

Las monedas que vienen de múltiples clientes se combinan y pequeñas porciones se transfieren alrededor de varias carteras, terminando en la caché limpia. Si el cliente que solicita el servicio utiliza una cartera nueva “desconocida”, la transacción es virtualmente imposible de rastrear (aparte de la participación directa de la policía). Una vez que la nueva cartera recibe las monedas limpias, pueden ser retiradas a través de cualquier número de intercambios.

Brian Bartholomew
Investigador

Durante el apogeo de propagación de este virus, que incluso afectó a compañías como Disney o el Servicio Nacional de Salud (NHS) de Reino Unido, el hacker británico Marcus Hutchins, conocido como MalwareTech, logró detenerlo momentáneamente, pues detectó una falla en el código y la dio a conocer. Curiosamente este “héroe” fue arrestado hoy mismo en Las Vegas, por presuntamente crear y distribuir el malware troyano “Kronos” dirigido a entidades bancarias, que roba las credenciales y otros datos de los clientes del banco infectado.