Vyjádření společnosti Kaspersky Lab k možné souvislosti mezi ransomwarem WannaCry a skupinou Lazarus

Autor vyjádření: David Emm, hlavní bezpečnostní analytik týmu GReAT společnosti Kaspersky Lab

Odborník společnosti Google uveřejnil v pondělí 15. května na Twitteru část kódu, která poukazuje na možnou spojitost mezi ransomwarovými útoky WannaCry, jejichž obětí se za poslední dny staly tisíce organizací a soukromých uživatelů po celém světě, a nechvalně známou skupinou Lazarus. Ta je zodpovědná za sérii velkých útoků na vládní organizace, média a finanční instituce. Mezi její největší operace patřily útoky proti Sony Pictures v roce 2014 a kybernetická loupež v centrální bance Bangladéše v roce 2016.

Odborník z Googlu poukázal na část malwaru WannaCry, který útočil v únoru 2017, tedy dva měsíce před současnou vlnou útoků. Experti týmu GReAT společnosti Kaspersky Lab tyto informace analyzovali. Následně potvrdili jasné podobnosti mezi kódem, na který poukázal zástupce Googlu, a částí malwaru, využitého skupinou Lazarus v útocích z roku 2015.

Analytici Kaspersky Lab jsou si vědomi toho, že se v případě této podobnosti může jednat o záměrnou falešnou stopu (false flag). Porovnali ale část kódu, která se objevila v únoru 2017 s částí malwaru WannaCry, který byl využit k současným útokům. Zjistili přitom, že část kódu poukazující na skupinu Lazarus byla odstraněna z aktuálně použitého malwaru WannaCry. Tento krok tak může být pokusem o zahlazení stop vedoucích ke strůjcům kampaně WannaCry.

Tato podobnost sama o sobě neposkytuje dostatečně přesvědčivý důkaz o napojení ransomwaru WannaCry na skupinu Lazarus. Může ale vést k dalším zjištěním, která přinesou více informací o původu WannaCry, který je doposud záhadou.

Více informací o WannaCry se můžete dočíst v příspěvku na blogu Securelist.

Další informace, které o skupině Lazarus zjistili odborníci z Kaspersky Lab, se dočtete zde.