Numrush

Symantec: ‘Noord-Koreaanse Lazarus Group zit zeer waarschijnlijk achter WannaCry’

Vorige week waren de eerste aanwijzingen er al, maar nu begint het bewijs zich op te stapelen: naar alle waarschijnlijkheid zitten er Noord-Koreaanse hackers achter de ransomware-aanval met WannaCry. Dat meldt Symantec op basis van nieuwe bevindingen. Het zou specifiek om de Lazarus Group gaan, die in 2014 ook Sony Pictures hackten.

Symantec baseert zijn conclusie op overeenkomsten in gebruikte tools, technieken en infrastructuur. Die tools werden ontdekt bij de eerste vastgestelde infectie met WannaCry, wat al in februari bleek te zijn gebeurd. Systemen van een enkele organisatie werden toe besmet en de malware verspreidde zich vervolgens snel naar meer dan honderd computers. De hackers lieten echter een aantal tools op het netwerk achter en die zijn eerder gebruikt door de Lazarus Group.

In maart en april waren er nog meer aanvallen met diverse versies van WannaCry. In de gekozen doelen zat echter geen patroon. Maar die aanvallen bieden wel meer inzicht. Zo is er een backdoor gebruikt om toegang te krijgen tot de systemen, die veel code bevat van een Lazarus-backdoor. Symantec concludeert daarom dat de nieuwe achterdeur een doorontwikkelde versie is van de Lazarus-variant.

Eerdere overeenkomsten

Eerder werd er al code gevonden in WannaCry dat overeenkomsten toonde met malware en ransomware van de Lazarus Group. Maar veel experts twijfelden over die bevindingen, omdat WannaCry weinig geavanceerd lijkt. Dat terwijl de Lazarus Group juist wel geavanceerd werkt. Of die twijfels nu weg zijn, moet nog blijken.

Noord-Korea zelf zegt niet verantwoordelijk te zijn voor de aanval. Maar zelfs al zouden er keiharde bewijzen zijn, dan nog is het niet waarschijnlijk dat het land schuld bekend.