Noord-Korea zit mogelijk achter de WannaCry ransomware

Specialisten die onderzoek doen naar de ransomware-aanvallen door de WannaCry-software hebben een opvallende ontdekking gedaan. De software zou namelijk verwijzingen bevatten naar code die eerder werd aangetroffen in ransomware van de Lazarus Group.

De Lazarus Group is een berucht hackerscollectief afkomstig uit Noord-Korea, dat al eerder betrokken is geweest bij ransomware-aanvallen op onder andere een bank in Bangladesh. Ook de “DarkSeoul” aanval op drie Zuid-Koreaanse televisiestations in 2013 en de grote hack op filmmaatschappij Sony in 2014, zijn op het conto van deze groep hackers te schrijven. Alhoewel de onderzoekers nog geen harde bewijzen hebben voor de betrokkenheid van Lazarus, hebben ze wel overeenkomsten gevonden in de broncode van software uit eerdere aanvallen in 2015. Een cybersecurity expert van Google meldde dit op Twitter, waarna zowel Kaspersky Lab als Symantec dit bericht bevestigden. “Er is meer onderzoek nodig naar oudere versies van WannaCry, maar we geloven dat dit de sleutel is naar een oplossing voor dit mysterie”, aldus Kaspersky op hun blog.

Het blogbericht van Google onderzoeker Neel Mehta (bron: Twitter)

Ook Symantec heeft zijn handen vol aan het onderzoek omtrent de WannaCry aanval afgelopen vrijdag. “Het is nog te vroeg om conclusies te trekken, al zijn er wel duidelijke aanwijzingen die Lazarus linken aan WannaCry”, zo vertelde Symantec’s technisch directeur Vikram Thakur. Wel voegde hij hieraan toe dat het niet ongebruikelijk is dat hackers code met elkaar delen of van elkaar stelen. Mocht dit het geval zijn dan hoeft dit de betrokkenheid van Lazarus niet uit te sluiten, maar wordt het wel lastig om dit te bewijzen. De uitkomst van het onderzoek kan grote invloed hebben op de wereldwijde verhoudingen tussen overheden. Eerder al pleitte Windows voor een grootschalige conventie om duidelijke afspraken te maken over “digitale wapens”, die minstens zo gevaarlijk zijn als fysieke wapens.