Wanna Cry — убийца сети

Исследователи кибербезопасности заявили в понедельник, что массивный вирус «WannaCry», который заразил компьютеры по всему миру, был разработан с использованием того же кода, который использовался в взломе Sony Pictures 2014 года, что повышает вероятность того, что хакеры могут иметь связь с Северной Кореей.

Следователи заявили, что обнаружили код, похожий на тот, который использовали теневые сети киберпреступников, связанные с атакой Sony, группой Lazarus, хотя они подчеркнули, что необходимо провести дополнительное расследование.

«Мы полагаем, что это может занять ключ к решению некоторых загадок вокруг этой атаки», — заявила московская компания кибербезопасности «Лаборатория Касперского», анализируя несколько строк дублированного кода, найденного в более ранней версии вируса WannaCry, который был Впервые замеченный исследователем безопасности Google.

Международная охота продолжалась, так как исследователи из частного сектора и правительственные следователи пытались искоренить новые версии WannaCry, чистя ключи для указания на авторов оригинального вируса, которые являются «потенциальными преступниками или иностранными национальными государствами», сказал Том Боссерт , Советник президента по внутренней безопасности президента Трампа.

Представители служб безопасности во всем мире выразили свою обеспокоенность тем, что распространение вируса, как представляется, замедляет его темпы, хотя и не до того, как замораживать файлы и требовать выкуп у сотен тысяч компьютеров по меньшей мере в 150 странах, включая Соединенные Штаты.

Вирус, который использовал уязвимость Windows, разработанную и украденную из Агентства национальной безопасности США, по всей видимости, был работой относительно несложных хакеров, как первоначально говорили эксперты. Они указали на то, как легко было остановиться и как мало денег он собрал на сегодняшний день — чуть более $ 50 000, относительно незначительную сумму за столь большую атаку.

Но откровения сходства с предыдущими атаками, начатые Группой Лазаря, вызвали новую оценку. Исследователи из Касперского назвали открытие «самой важной на сегодняшний день информацией о происхождении WannaCry».

Другие исследователи также изучали возможность соединения Лазаря.

«Хотя эти данные не указывают на определенную связь между Lazarus и WannaCry, мы считаем, что есть достаточные связи, чтобы потребовать дальнейшего расследования», — пишет в своем анализе вируса компания Symantec в Маунтин-Вью, штат Калифорния.

Symantec заявила, что она определила «присутствие инструментов, используемых исключительно Lazarus на машинах, также зараженных более ранними версиями WannaCry».

Группа Lazarus была связана с серией агрессивных кибератаков, которые начались как минимум в 2009 году, в первую очередь нацеленные на мишени в Южной Корее и США, но также и на финансовые учреждения в Польше и Бангладеш.

Группа была связана с массивным взломом данных от Sony, который включал электронную почту между сотрудниками, информацию о зарплатах руководителей в компании и копии фильмов Sony, которые еще не были выпущены.

Некоторые данные были опубликованы в Интернете, смущая руководителей, так же как компания собиралась выпустить критический фильм о Северной Корее.

«Мы считаем, что Lazarus Group очень велика и работает в основном над проникновением и шпионажем», — сказали аналитики из «Лаборатории Касперского» после серии «Sony». «Очевидно, что действия группы охватывают весь мир».

Выплаты, полученные до сих пор, дают дополнительные подсказки, но они только заходят так далеко.

Из-за того, как работают биткойны или электронные деньги, платежи являются открытыми, что позволяет должностным лицам и исследователям отслеживать три цифровых счета, на которые депонируются выплаты пострадавших, что позволяет рассчитать, сколько денег было выплачено.