Onderzoekers vinden mogelijke link met Noord-Korea in WannaCry

Onderzoekers van beveiligingsbedrijf Kaspersky hebben de code van de WannaCry-ransomware gevonden, die overeenkomsten vertoont met code van de Lazarus-groep, die banden met Noord-Korea heeft. Het bedrijf kwam de overeenkomst op het spoor door een Google-onderzoeker.

Het onderzoek naar de code begon toen Google-onderzoeker Neel Mehta maandag een tweet zonder verdere uitleg online zette en alleen de woorden 'WannaCrypt Attribution' gebruikte. Daarmee hintte hij erop dat zijn ontdekking wijst op een mogelijke verantwoordelijke voor de WannaCry-ransomware, die zich in de afgelopen dagen over de hele wereld heeft verspreid. In het bericht verwijst hij naar overeenkomsten in de code van een vroege versie van de malware en die van een sample dat werd gebruikt door de Lazarus-groep.

Die groep is in eerder onderzoek van Kaspersky in verband gebracht met Noord-Korea en zou verantwoordelijk zijn voor de Sony-hack en de diefstal bij de centrale bank van Bangladesh. Ook Symantec en BAE Systems vonden overeenkomsten tussen deze twee incidenten. In een korte analyse van de bevindingen van Mehta schrijft het Kaspersky dat het mogelijk is dat de code opzettelijk in de ransomware is gebruikt om een vals spoor te creëren, maar dat dit onwaarschijnlijk is. De code was aanwezig in een WannaCry-versie van februari en is niet meer aanwezig in opvolgende versies.

Volgens het bedrijf is er meer onderzoek nodig naar de overeenkomsten, maar biedt de huidige ontdekking wel een belangrijke aanwijzing naar de herkomst van de ransomware. De vroege versie uit februari zou de voorloper zijn van de variant die zich vrijdag over de wereld verspreidde. Bovendien zouden beide versies door personen met toegang tot dezelfde broncode gecompileerd zijn.

Volgens Virus Bulletin-onderzoeker Martijn Grooten is de link met een staat een mogelijke verklaring voor de aanwezigheid van een 'killswitch' in de WannaCry-malware, die per ongeluk werd ontdekt. Een dergelijke techniek zou zeer ongewoon zijn voor criminelen, maar zou vaker voorkomen bij statelijke actoren, zo laat hij aan Ars Technica weten. De ontdekker van de killswitch, MalwareTech, opperde dat het wellicht gaat om een manier om analyse tegen te gaan in plaats van een methode om de malware op afstand uit te schakelen.

De WannaCry-ransomware begon zich voor het weekend te verspreiden en infecteerde ongeveer 200.000 systemen in 150 landen. Daaronder waren de systemen van Britse ziekenhuizen, die door de infectie hun werk moeilijk konden uitvoeren. De ransomware versleutelt systemen en vraagt om 300 dollar aan bitcoins in ruil voor decryptie. Dat bedrag verdubbelt naar 600 dollar als betaling niet binnen drie dagen plaatsvindt. Tot nu toe is er 35 bitcoin overgemaakt naar de personen achter de malware, omgerekend ongeveer 54.500 euro.