[hist.3dn.ru ]

Специалисты компании Symantec и «Лаборатории Касперского» рассказали о первых выводах, сделанных после изучения вымогателя Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt. Эксперты пришли к выводу, что SMB-червь, который приковал внимание всего мира к проблемам информационной безопасности и уже принес своим авторам 70 000 долларов, связан с северокорейскими хакерами из группы Lazarus.

Напомню, что именно этой группировке эксперты приписывают ответственность за разрушительную атаку на кинокомпанию Sony Pictures Entertainment в 2014 году. Lazarus подозревают в атаках на банки Сеула, СМИ и вооруженные силы Южной Кореи. Также в 2016 году хакеры едва не совершили «киберограбление века»: злоумышленники успешно похитили 81 млн долларов у Центробанка Бангладеш и только чудом не сумели украсть почти миллиард.

Эксперты заподозрили Северную Корею после того, как сотрудник компании Google Нил Мехта (Neel Mehta) опубликовал в Twitter странное сообщение.

 Читать

Neel Mehta @neelmehta

9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4

Информация о рекламе в Твиттере & Конфиденциальность

 

Это загадочное послание указывало на сходства в коде Wana Decrypt0r и кастомной малвари, которую в 2015 году использовала известная хакерская группа Lazarus. Заинтересовавшись посланием, специалисты «Лаборатории Касперского» проверили теорию Мехты и вскоре подтвердили, что в коде вредоносов действительно есть сходство.

 Читать

Costin Raiu @craiu

Shared code between an early, Feb 2017 Wannacry cryptor and a Lazarus group backdoor from 2015 found by @neelmehta from Google. https://twitter.com/craiu/status/864182466092904450/photo/1pic.twitter.com/hmRhCSusbR 

Информация о рекламе в Твиттере & Конфиденциальность

 

«Мы полагаем, что здесь может содержаться ключ к разрешению загадки, которая окружает эти атаки. Одно ясно точно – Нил Мехта обнаружил важнейшую на данный момент улику относительно происхождения WannaCry», — пишет специалист «Лаборатории Касперского» Мэтью Сюиш (Matthieu Suich).

Аналитики компании Symantec, в свою очередь, тоже обнаружили нечто интересное. Они сообщают, что ранние версии WannaCry  были замечены еще в апреле и начале мая 2017 года, но тогда  шифровальщик не был широко распространен, в основном его находили в системах, уже скомпрометированных инструментами Lazarus. Также специалисты заметили, что SSL процессы в коде WannaCry очень похожи на имплементации, реализованные в инструментарии Lazarus.  Впрочем, прямых подтверждений того, что именно хакеры Lazarus распространяли WannaCry, у специалистов все же нет.

Тем временем, спецслужбы не скрывают того факта, что на авторов шифровальщика началась настоящая охота. Так, представители британского Национального агентства по борьбе с преступностью сообщают, что они изучают огромное количество данных, связанных с атаками, и сотрудничают по вопросам Wana Decrypt0r с Европолом, Интерполом и ФБР.

Министерство национальной безопасности США также сообщило, что охотно предоставит своих специалистов и свою экспертизу для защиты критической инфраструктуры, а также активно делится данными об инциденте с партнерами, как на территории США, так и за рубежом.