Za ransomwarem WannaCry zřejmě stojí skupina Lazarus

Zaměstnanec Googlu včera na Twitteru uveřejnil část kódu, která poukazuje na možnou spojitost mezi ransomwarovými útoky WannaCry, jejichž obětí se za poslední dny staly tisíce organizací a soukromých uživatelů po celém světě, a nechvalně známou skupinou Lazarus.

Za ransomwarem WannaCry zřejmě stojí skupina Lazarus


Ta je zodpovědná za sérii velkých útoků na vládní organizace, média a finanční instituce. Mezi její největší operace patřily útoky proti Sony Pictures v roce 2014 a kybernetická loupež v centrální bance Bangladéše v roce 2016 a také únorový atak na finanční instituce v Polsku.

I když není úplně jasné, kdo za skupinou stojí, někteří analytici zmiňují severní Koreu kvůli neobvyklé komunikaci s tamějšími IP adresami, důkazy o propojení této země s útoky nicméně neexistují.

Odborník z Googlu poukázal na část malwaru WannaCry, který útočil v únoru 2017, tedy dva měsíce před současnou vlnou útoků. Experti týmu GReAT z Kaspersky Lab tyto informace analyzovali a následně potvrdili jasné podobnosti mezi kódem, na který poukázal zástupce Googlu, a částí malwaru, využitého skupinou Lazarus v útocích z roku 2015.

Kaspersky Lab ale připomíná, že se v případě této podobnosti může jednat o záměrnou falešnou stopu (false flag). Porovnali ale část kódu, která se objevila v únoru 2017 s částí malwaru WannaCry, který byl využit k současným útokům.

Zjistili přitom, že část kódu poukazující na skupinu Lazarus byla odstraněna z aktuálně použitého malwaru WannaCry. Tento krok tak může být pokusem o zahlazení stop vedoucích ke strůjcům kampaně WannaCry.

Tato podobnost sama o sobě neposkytuje dostatečně přesvědčivý důkaz o napojení ransomwaru WannaCry na skupinu Lazarus. Může ale vést k dalším zjištěním, která přinesou více informací o původu WannaCry, který je doposud záhadou, dodává David Emm, hlavní bezpečnostní analytik týmu GReAT společnosti Kaspersky Lab.

Úvodní foto: Fotolia © ibreakstock










Komentáře