Зловред-вымогатель WannaCry может иметь связь с Северной Кореей

Зловред-вымогатель WannaCry может иметь связь с Северной Кореей

Согласно мнению исследователей в сфере безопасности, ранняя версия вымогателя WannaCry имеет общий код с хакерской утилитой, используемой группой Lazarus.

По мере того, как специалисты исследуют массированную атаку , осуществленную с использованием программы-вымогателя WansCry в прошлую пятницу, они обратили внимание улики, которые могут связывать ее с северокорейской группой хакеров, которую винят в атаках на банки по всему миру.

Свидетельства не являются неопровержимыми и могут оказаться неубедительными. Но исследователи в сфере безопасности заметили сходство между более ранней версией WannaCry и хакерской утилитой, используемой группой Lazarus .

И хакерская атака на компанию Sony в 2014 году, и ряд недавних банковских ограблений связывают с группой, которая, как подозревают исследователи в области безопасности, работает на Северную Корею.

По-видимому, вариант программы-вымогателя WannaCry, обнаруженный в феврале, имеет общий код с хакерским инструментом, который группа Lazarus использовала в 2015 году.

Исследователь Google, Нил Мехта, заметил сходство в понедельник, что было подтверждено другими экспертами, в том числе сотрудниками компании «Лаборатория Касперского».

«На данный момент, требуются дополнительные исследования относительно более ранних версий Wanna cry», — говорится в блоге «Лаборатории Касперского». «Мы считаем, что это может дать ключ к решению некоторых тайн, окружающих эту хакерскую атаку».

В понедельник фирма Symantec также сообщила, что обнаружила улики, которые могут связать WannaCry с теневой группой. По словам Викрама Такура (Vikram Thakur), технического директора компании, ранние версии этого программного обеспечения были обнаружены на компьютерах, которые были взломаны утилитами, используемыми группой Lazarus.

«Вскоре после того, как эти утилиты были найдены на этих компьютерах, мы смогли увидеть и файлы WannaCry», — сказал он.

Тем не менее, все эти образцы программы-вымогателя WannaCry являются более ранними вариантами и отличаются от тех, которые появились в пятницу и заразили системы Windows по всему миру.

Компания Symantec изучает, могут ли новые образцы программы-вымогателя WannaCry также использовать какой-либо код, частично совпадающий с утилитой группы Lazarus, сказал Такур.

Вполне возможно, что какой-то хакер мог украсть фрагменты кода из прошлого вредоносного ПО, разработанного теневой группой.

По мнению экспертов по безопасности, после использования средств взлома, они часто просачиваются в Интернет, и это означает, что любой может их использовать. Такур сказал, что в настоящее время компания Symantec изучает, насколько распространен этот общий код.

В том случае, если он широко распространен, то вероятность того, что группу Lazarus свяжут с атакой WannaCry, серьезно сократится, сказал он.

Компьютеры, которые были заражены и вредоносным программным обеспечением группы Lazarus, и программой-вымогателем WannaCry, возможно, также были заражены другими формами вредоносного ПО, сказал Такур.

«Я думаю, что немного рано делать какие-то выводы на основе полученных данных», — сказал он.

Тем не менее, правительства стран по всему миру проводят расследование относительно того, кто стоит за атакой с использованием программы-вымогателя, имевшей место в прошлую пятницу.

«Атрибуция в этом случае может оказаться довольно сложной задачей», — сказал на брифинге в понедельник пресс-секретарь президента США по вопросам внутренней безопасности Том Боссерт. «Я не хочу сказать, что у нас нет фактов … лучшие и самые умные специалисты работают над этим».

The WannaCry ransomware might have a link to North Korea

Другие записи

  • Форум директоров ИБ CISO forum 2014
  • Какие мобильные устройства и приложения нужны американскому солдату?
  • Кто такие LulzSec? (Update)
  • Сноуден, Совет Федерации и очередной убийца конфиденциальности — Google Glass
  • Аналитик предсказывает, что Microsoft может стать первой компанией, достигшей рыночной стоимости в 1 триллион долларов
  • Перенос сроков вступления в силу статьи 9 закона о НПС

© editor for Царев Евгений, 2017. | Permalink | No comment

Feed enhanced by Better Feed from Ozh

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Антивирус для мозга!

Лечим цифровую неграмотность без побочных эффектов

Активируйте защиту — подпишитесь

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации