'Noord-Korea zit achter Wannacry-ransomware'
De Wannacry-ransomware is waarschijnlijk gemaakt door de Lazarus Group, een hackersgroep die aan Noord-Korea wordt gelinkt.
Dat blijkt uit onderzoek van beveiligingsbedrijf Symantec. De bewering wordt gesteund door beveiligingsbedrijven Kaspersky en Comae Technologies en Google-onderzoeker Neel Mehta, die al eerder gelijkenissen tussen Lazarus Group-malware en Wannacry aanwezen.
Lazarus Group is een hackersgroep die in verband wordt gebracht met de Noord-Koreaanse overheid. De groep zou de Contopee-malware hebben gemaakt die werd gebruikt bij de aanvallen op internationale banken.
Ook zou Lazarus Group verantwoordelijk zijn voor de hack bij de filmtak van Sony in 2014. Het Japanse bedrijf zou zijn gehackt vanwege het uitbrengen van de film The Interview, dat de Noord-Koreaanse leider Kim Jong-Un op de hak neemt. Noord-Korea heeft altijd ontkend achter de Sony-hack te zitten.
Aanwijzingen
De belangrijkste nieuwe aanwijzing is volgens Symantec dat in het netwerk van het eerste Wannacry-slachtoffer software is aangetroffen die eerder werd gebruikt bij de hack bij Sony.
Ook de manier waarop de Wannacry-ransomware is verspreid, lijkt op de techniek waarmee in 2015 Zuid-Koreaanse computers werden aangevallen. Toen hadden de aanvallers Zuid-Koreaanse organisaties in het vizier en lukte het hen om gevoelige informatie te stelen.
Symantec stelt ook dat de IP-adressen die zijn gebruikt om Wannacry te besturen en coördineren, eerder zijn ingezet bij een aanval die gelinkt wordt aan de Lazarus Group. Ook zou de programmeercode van de Wannacry-ransomware lijken op malware die eerder door de Lazarus Group is ingezet.
Dwaalspoor
Het is lastig om te achterhalen wie de malware heeft gemaakt. Je kunt bij het maken van malware juist sporen wissen of mensen op een dwaalspoor zetten door je voor te doen als een ander land. Dit kan bijvoorbeeld door voor je eigen malware hackmethoden te gebruiken die aan een land worden gekoppeld.
Symantec schrijft ook dat Wannacry niet lijkt op een traditionele hackaanval door de Noord-Koreaanse regering, maar dat het verspreiden van de ransomware eerder 'traditionele cybercrime' is. Daardoor is het mogelijk dat een (ex-)lid van de Lazarus Group de aanval op eigen houtje heeft uitgevoerd om geld te verdienen, zegt Symantec-onderzoeker Vikram Thakur tegen CNN. Noord-Korea heeft nog niet op de beschuldigingen gereageerd.