Τη Δευτέρα 15 Μαΐου, ένας ερευνητής ασφάλειας της Google δημοσίευσε ένα artifact στο Twitter που ενδεχομένως δείχνει μια σύνδεση μεταξύ των επιθέσεων ransomware του WannaCry, που έπληξαν πρόσφατα χιλιάδες οργανισμούς και ιδιωτικούς χρήστες σε όλο τον κόσμο, και του κακόβουλου λογισμικού που αποδόθηκε στη διαβόητη ομάδα χάκερ Lazarus, υπεύθυνη για μια σειρά καταστροφικών επιθέσεων εναντίον κυβερνητικών οργανισμών, μέσων ενημέρωσης και χρηματοπιστωτικών ιδρυμάτων. Στις μεγαλύτερες επιχειρήσεις που συνδέονται με την ομάδα Lazarus περιλαμβάνονται: οι επιθέσεις εναντίον της Sony Pictures το 2014, η ψηφιακή ληστεία της Κεντρικής Τράπεζας του Μπαγκλαντές το 2016 και μια σειρά παρόμοιων επιθέσεων που συνεχίστηκαν το 2017.
Ο ερευνητής της Google επεσήμανε ένα δείγμα κακόβουλου λογισμικού του WannaCry, το οποίο εμφανίστηκε ελεύθερο στο Διαδίκτυο το Φεβρουάριο του 2017, δύο μήνες πριν από το πρόσφατο κύμα επιθέσεων. Οι ερευνητές της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab ανέλυσαν αυτές τις πληροφορίες, αναγνώρισαν και επιβεβαίωσαν σαφείς ομοιότητες στον κώδικα του δείγματος κακόβουλου λογισμικού που επισημάνθηκε από τον ερευνητή της Google και των δειγμάτων κακόβουλου λογισμικού που χρησιμοποίησε η ομάδα Lazarus στις επιθέσεις του 2015.
Σύμφωνα με τους ερευνητές της Kaspersky Lab, η ομοιότητα φυσικά θα μπορούσε να είναι ένα false flag. Ωστόσο, η ανάλυση του δείγματος του Φεβρουαρίου και η σύγκριση με τα δείγματα του WannaCry που χρησιμοποιήθηκαν στις πρόσφατες επιθέσεις δείχνουν ότι ο κώδικας που υποδεικνύει την ομάδα Lazarus αφαιρέθηκε από το κακόβουλο λογισμικό WannaCry που χρησιμοποιήθηκε στις επιθέσεις που ξεκίνησαν την περασμένη Παρασκευή. Αυτή μπορεί να είναι μια προσπάθεια κάλυψης ιχνών των διαχειριστών της εκστρατείας WannaCry.
Αν και αυτή η ομοιότητα από μόνη της δεν επιτρέπει την απόδειξη μιας ισχυρής σχέσης μεταξύ του ransomware WannaCry και της ομάδας Lazarus, μπορεί μελλοντικά να οδηγήσει σε νέες αποδείξεις που θα ρίξουν φως στην προέλευση του WannaCry, η οποία μέχρι στιγμής παραμένει μυστήριο.
Για περισσότερες πληροφορίες για το WannaCry μπορείτε να διαβάσετε το παρακάτω blogpost:
https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
Μάθετε περισσότερα για την προηγούμενη έρευνα της Kaspersky Lab σχετικά με την ομάδα Lazarus εδώ.