Специалисты компании Symantec и «Лаборатории Касперского» рассказали о первых выводах, сделанных после изучения вымогателя Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt. Эксперты пришли к выводу, что SMB-червь, который приковал внимание всего мира к проблемам информационной безопасности и уже принес своим авторам 70 000 долларов, связан с северокорейскими хакерами из группы Lazarus.
Напомню, что именно этой группировке эксперты приписывают ответственность за разрушительную атаку на кинокомпанию Sony Pictures Entertainment в 2014 году. Lazarus подозревают в атаках на банки Сеула, СМИ и вооруженные силы Южной Кореи. Также в 2016 году хакеры едва не совершили «киберограбление века»: злоумышленники успешно похитили 81 млн долларов у Центробанка Бангладеш и только чудом не сумели украсть почти миллиард.
Эксперты заподозрили Северную Корею после того, как сотрудник компании Google Нил Мехта (Neel Mehta) опубликовал в Twitter странное сообщение.
9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598
— Neel Mehta (@neelmehta) May 15, 2017
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution
Это загадочное послание указывало на сходства в коде Wana Decrypt0r и кастомной малвари, которую в 2015 году использовала известная хакерская группа Lazarus. Заинтересовавшись посланием, специалисты «Лаборатории Касперского» проверили теорию Мехты и вскоре подтвердили, что в коде вредоносов действительно есть сходство.
Shared code between an early, Feb 2017 Wannacry cryptor and a Lazarus group backdoor from 2015 found by @neelmehta from Google. pic.twitter.com/hmRhCSusbR
— Costin Raiu (@craiu) May 15, 2017
«Мы полагаем, что здесь может содержаться ключ к разрешению загадки, которая окружает эти атаки. Одно ясно точно – Нил Мехта обнаружил важнейшую на данный момент улику относительно происхождения WannaCry», — пишет специалист «Лаборатории Касперского» Мэтью Сюиш (Matthieu Suich).
Аналитики компании Symantec, в свою очередь, тоже обнаружили нечто интересное. Они сообщают, что ранние версии WannaCry были замечены еще в апреле и начале мая 2017 года, но тогда шифровальщик не был широко распространен, в основном его находили в системах, уже скомпрометированных инструментами Lazarus. Также специалисты заметили, что SSL процессы в коде WannaCry очень похожи на имплементации, реализованные в инструментарии Lazarus. Впрочем, прямых подтверждений того, что именно хакеры Lazarus распространяли WannaCry, у специалистов все же нет.
Тем временем, спецслужбы не скрывают того факта, что на авторов шифровальщика началась настоящая охота. Так, представители британского Национального агентства по борьбе с преступностью сообщают, что они изучают огромное количество данных, связанных с атаками, и сотрудничают по вопросам Wana Decrypt0r с Европолом, Интерполом и ФБР.
Министерство национальной безопасности США также сообщило, что охотно предоставит своих специалистов и свою экспертизу для защиты критической инфраструктуры, а также активно делится данными об инциденте с партнерами, как на территории США, так и за рубежом.
