200.000 bedrijven, 150 landen. De ransomware WannaCry is meer dan succesvol te noemen. Niet eerder maakte malware immers zoveel slachtoffers in zo’n korte tijd. Maar er is nog een grote vraag te beantwoorden: wie zit er achter? Daar lijkt nu een aanwijzing voor te zijn, schrijft SecureList.
Neel Mehta, onderzoeker bij Google, ontdekte dat er in de code van een vroege versie van WannaCry overeenkomsten zitten met een stuk code uit februari 2015 van de Lazarus Group. De Lazarus Group is een Noord-Koreaanse hackersgroepering die onder meer achter de aanval op Sony Pictures en de Bangladesh Bank-overval zitten. Hoewel de code wel iets veranderd is in de tussentijd, geeft het wel het idee dat Noord-Korea iets met de aanval van afgelopen vrijdag te maken had.
Natuurlijk kan het ook zo zijn dat de code door iemand anders gebruikt is. Dat kan zijn omdat het gemakkelijk was, maar ook om onderzoekers een andere richting op te sturen. Maar volgens experts bij beveiligingsbureau Kaspersky is de laatste optie “onwaarschijnlijk”. Dat is vooral omdat de code later weer verwijderd werd uit de malware.
Killswitch
Daarnaast wijzen de zogenaamde killswitch in de code en de verschillende versies er volgens experts op dat deze hackers steun (of een opdracht) kregen uit Noord-Korea. Afgelopen weekend werd die killswitch per ongeluk geactiveerd. Een onderzoeker ontdekte een domeinnaam in de code, die hij vervolgens kocht. Direct daarna stopte de malware met verspreiden.
Diverse ‘normale’ internetcriminelen stoppen vrijwel nooit een killswitch in de code, verklaart FOX-IT’s Maarten van Danzig tegenover Ars Technica. Dat is ook logisch: waarom zouden ze de ransomware willen stoppen? Dat betekent immers ook dat er geen geld meer binnenkomt, omdat er geen nieuwe systemen meer besmet raken.
Daarnaast valt het op dat WannaCry niet automatisch controleert of zijn slachtoffers betaald hebben. Met andere woorden: als geld het motief was, dan zijn er wel heel veel fouten gemaakt.
Natuurlijk is dit nog lang niet genoeg om echt te bepalen waar WannaCry vandaan komt, als dat überhaupt mogelijk is. Mocht Noord-Korea er inderdaad achter zitten, dan zullen ze dat in ieder geval niet toegeven. Maar er is nu wel een start gemaakt.