Google, Kaspersky Lab e Symantec encontraram códigos comuns que indicam uma conexão entre o malware WannaCry e a violação da Sony.
As pistas recentemente descobertas no vírus WansCry revelam alguns tópicos comuns entre o código usado nos ataques de 12 de maio com o de um grupo da Coréia do Norte chamado Grupo Lazarus.
Pesquisadores de segurança dizem que a possível conexão entre WannaCry e o Grupo Lazarus é rastreada até uma amostra de criptografia WannaCry de fevereiro de 2017 que se assemelha muito a uma amostra de malware do Grupo Lazarus dois anos antes.
A Kaspersky Lab lançou hoje um blog que descreve as semelhanças entre o código do WannaCry e do Lazarus Group. Eles confirmaram que a variante de ransomware de fevereiro é um precursor dos ataques WannaCry deste mês.
“Ele compartilha os mesmos objetivos de extensão de arquivos de lista para criptografia, mas, nas versões de maio de 2017, novas extensões foram adicionadas”, escreveram.
“A descoberta de Neel Mehta é a pista mais significativa até agora sobre as origens de Wannacry”, escreveram os pesquisadores da Kaspersky. Mas dizem que mais pesquisa é necessária para conectar mais definitivamente qualquer ponto.
“Acreditamos que isso pode ser a chave para resolver alguns dos mistérios em torno deste ataque”, disseram os pesquisadores.
A Symantec também disse hoje que encontrou o que descreve como pistas que “ligam vagamente” os atacantes de WannaCry e Lazarus.
O código comum de ambos os grupos inicialmente revelado é uma forma de SSL, de acordo com a Symantec só visto em ferramentas do Grupo Lazarus e nas variantes WannaCry.
A Symantec também disse que encontrou ferramentas usadas apenas por Lazarus em máquinas de vítimas que foram atingidas com versões anteriores do começou com um e-mail de phishing, alguns pesquisadores investigando WannaCry levantaram dúvidas ao longo dos últimos dias sobre se os ataques usaram phishing em tudo.
A IBM X-Force disse hoje, após analisar mais de 500 milhões de e-mails de spam, que eles não estão convencidos de que as vítimas do WannaCry foram infectadas via e-mail ou anexos.
Os pesquisadores disseram hoje que estão trabalhando com as vítimas clientes para determinar o vetor de ataque inicial.
WannaCry que não vêm com as capacidades de worms SMB.
Darien Huss, engenheiro sênior de pesquisa de segurança da Proofpoint, estudou os trechos de código publicados pelo Google e Kaspersky Lab, e diz que ele corrobora suas descobertas.
Ele também descobriu que as duas amostras de código têm outras funções sobrepostas também. Huss inicialmente não acreditava que os ataques eram de um país.
Enquanto isso, os EUA principalmente esquivaram-se da bala com WannaCry graças a uma função kill-switch no malware que um pesquisador desencadeou inadvertidamente, sinkholing grande parte do ataque e evitar mais propagação.
“Acreditamos que é improvável que os atacantes sejam capazes de fazer qualquer coisa com os bitcoins, considerando o alto nível atual de interesse nesta história. Mesmo que os donos da carteira são anônimos, as transações são visíveis para todos e podem ser rastreados”, disse Kaspersky Em seu blog.
Com informações de http://www.darkreading.com
