Meer aanwijzingen richting Noord-Korea voor WannaCry-aanval?
De hackersgroep Lazarus, die ervan verdacht wordt banden te hebben met Noord-Korea, zit heel waarschijnlijk achter de wereldwijde cyberaanval met het zogenaamde WannaCry-virus. Dat stelt de Amerikaanse producent van antivirussoftware Symantec. Eerder werden er al andere tekens aangetroffen die naar Lazarus wezen. Cyberbeveiligingsexperts hadden daar echter hun twijfels over.
Pyongyang heeft al elk verband met de informatica-aanval ontkend. De schadelijke software kwam terecht op honderdduizenden computers en versleutelde bestanden. De hackers eisten losgeld in bitcoins om de bestanden opnieuw toegankelijk te maken.
Symantec oordeelt dat de ransomware een aantal kenmerken vertoont van andere Lazarus-aanvallen. Bijvoorbeeld de hacking in 2014 van Sony Pictures en de diefstal van enkele miljoenen dollar uit de centrale bank van Bangladesh in 2016.
Symantec haalt de vermoedelijke banden van de groep met Noord-Korea niet aan. Wel legt het bedrijf uit dat een vorige versie van WannaCry gebruikt was in een klein aantal aanvallen tijdens de drie maanden voor de grote cyberaanval, die begon op 12 mei. “Uit analyse bleken grote overeenkomsten in de gebruikte instrumenten, technieken en infrastructuur met eerdere aanvallen van Lazarus”, aldus Symantec.
Het is niet de eerste keer dat WannaCry gelinkt wordt aan Lazarus. Eerder vonden Kaspersky, BAE Systems en ook Symantec al aanwijzingen. Beveiligingsexperts zoals Kurt Berghs, betwijfelen het aandeel van Lazarus in de WannaCry-aanvallen.
Het amateurisme waarmee de Wannacry-criminelen te werk gingen komt niet overeen met de reputatie van Lazarus. Vergeleken met de andere exploten van het hackerscollectief worden er te veel fouten gemaakt. Er was bijvoorbeeld een ‘kill switch’ ingebouwd in WannaCry. Als de ransomware verbinding kon maken met een bepaald webadres werd het encryptieproces gestopt. Door deze domeinnaam simpelweg te registeren, werd de WannaCry-aanval voor een groot deel tegengehouden.
Ook de werkwijze past niet meteen bij Noord-Korea. China, een nauwe partner van Noord-Korea, was immers een van de grootste slachtoffers van de ransomware. Er lijkt ook geen reden te zijn waarom een staat zich zou bezighouden met het verzamelen van enkele honderdduizenden euro’s door middel van ransomware. Het valt dus maar af te wachten of de nieuwe bevindingen van Symantec veel steun zullen krijgen.