Специалисты компании Symantec и «Лаборатории Касперского» рассказали о первых выводах, сделанных после изучения вымогателя Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt. Эксперты пришли к выводу, что SMB-червь, который приковал внимание всего мира к проблемам информационной безопасности и уже принес своим авторам 70 000 долларов, связан с северокорейскими хакерами из группы Lazarus.

Напомню, что именно этой группировке эксперты приписывают ответственность за разрушительную атаку на кинокомпанию Sony Pictures Entertainment в 2014 году. Lazarus подозревают в атаках на банки Сеула, СМИ и вооруженные силы Южной Кореи. Также в 2016 году хакеры едва не совершили «киберограбление века»: злоумышленники успешно похитили 81 млн долларов у Центробанка Бангладеш и только чудом не сумели украсть почти миллиард.

Эксперты заподозрили Северную Корею после того, как сотрудник компании Google Нил Мехта (Neel Mehta) опубликовал в Twitter странное сообщение.

Это загадочное послание указывало на сходства в коде Wana Decrypt0r и кастомной малвари, которую в 2015 году использовала известная хакерская группа Lazarus. Заинтересовавшись посланием, специалисты «Лаборатории Касперского» проверили теорию Мехты и вскоре подтвердили, что в коде вредоносов действительно есть сходство.

«Мы полагаем, что здесь может содержаться ключ к разрешению загадки, которая окружает эти атаки. Одно ясно точно – Нил Мехта обнаружил важнейшую на данный момент улику относительно происхождения WannaCry», — пишет специалист «Лаборатории Касперского» Мэтью Сюиш (Matthieu Suich).

Аналитики компании Symantec, в свою очередь, тоже обнаружили нечто интересное. Они сообщают, что ранние версии WannaCry  были замечены еще в апреле и начале мая 2017 года, но тогда  шифровальщик не был широко распространен, в основном его находили в системах, уже скомпрометированных инструментами Lazarus. Также специалисты заметили, что SSL процессы в коде WannaCry очень похожи на имплементации, реализованные в инструментарии Lazarus.  Впрочем, прямых подтверждений того, что именно хакеры Lazarus распространяли WannaCry, у специалистов все же нет.

Тем временем, спецслужбы не скрывают того факта, что на авторов шифровальщика началась настоящая охота. Так, представители британского Национального агентства по борьбе с преступностью сообщают, что они изучают огромное количество данных, связанных с атаками, и сотрудничают по вопросам Wana Decrypt0r с Европолом, Интерполом и ФБР.

Министерство национальной безопасности США также сообщило, что охотно предоставит своих специалистов и свою экспертизу для защиты критической инфраструктуры, а также активно делится данными об инциденте с партнерами, как на территории США, так и за рубежом.

1 комментарий

  1. Il

    21.05.2017 at 16:02

    Если это северная Корея то что будет то? Их никто не выдаст.

Оставить мнение