¿Quién puso el interruptor de la muerte en el ransomware WannaCry? [cerrado]

Los chicos malos ponen al killswitch en su propio malware. No podría ser nadie más, ya que la vulnerabilidad de ese malware estaba en el código del malware.

Es una práctica común que los programas maliciosos comprueben si estás en un entorno de espacio aislado para evitar la ingeniería inversa (por ejemplo, a través de MITM) y para facilitar el desarrollo.

No pudieron implementar una verificación correcta, ya que el registro de un dominio hizo que el malware no pudiera cifrar nada.

Supongo que fue la NSA.

Por una de dos razones.

Como actor estatal responsable, como mínimo, hubieran querido tener una forma de apagar el malware si algo saliera mal. Así que ponen en esta URL.

Es posible que no hayan tenido la intención de que sea un interruptor letal. En realidad, puede ser una intención para un Comand y un Centro de Control, pero si es así, no responderá correctamente, lo que podría significar que el comportamiento del interruptor letal es accidental.

Y luego, cuando los malos volvieron a empaquetar el exploit de NSA (el código que aprovecha la vulnerabilidad del código de Microsoft) en su propio malware, no se dieron cuenta de que contenía este comportamiento o lo habrían eliminado o reemplazado Nombre de dominio codificado con una dirección IP. (Los nombres de dominio se entregan rápidamente a las autoridades en casos como este).

Tiene sentido que la NSA haya hecho esto. Tener una autodestrucción es una práctica común en los cohetes.

No tiene sentido que los malos hayan hecho esto. Aunque podría haber ocurrido por accidente, según la respuesta de Benoit.

Y no veo cómo alguien más podría haberlo hecho.