Wannacrypt: nuovi indizi sull’identità degli hacker

Si continua ad indagare su Wannacrypt e l'attacco lanciato su scala globale da un misterioso gruppo di hacker. I primi indizi portano a Lazarus Group.

Wannacrypt ransomware

E’ dal 12 Maggio 2015  che le principali aziende che operano nel settore della sicurezza informatica, e non solo, cercano di capire chi ci sia dietro alla campagna ransomware che ha colpito 15o stati e oltre 200.000 sistemi Windows. Grazie agli sforzi di numerosi ricercatori, i “creatori” di Wannacrypt (ci sono anche altri appellativi con i quali ci si riferisce al worm come WCry) potrebbero essere identificati molto presto.

A fornire uno dei tasselli utili a ricomporre il complesso puzzle è stata Google: la settimana scorsa un “esperto di sicurezza” ha constatato interessanti somiglianze (linee di codice identiche) tra un prototipo del ransomware (risalente a Febbraio 2015) e Contopee, una backdoor impiegata da un noto (vedremo a breve perché) gruppo di hacker, Lazarus Group. Per chi non ne avesse mai sentito parlare, si tratta di abili informatici attivi fin dal 2011 responsabili di due dei più audaci furti digitali degli ultimi tre anni: il download di circa 1TB di dati riservati dagli archivi della Sony Pictures (Novembre 2014) ed il prelievo di 81 milioni di dollari dalla Banca Centrale del Bangladesh (Maggio 2016).

Lazarus Group e Corea del Nord?

Anche secondo Symantec Lazarus Group è il probabile regista della campagna ransomware lanciata quasi due settimane fa, tra le prove menzionate viene in particolar modo sottolineato:

  • alcune tracce lasciate dalla prima infezione riconducibile con sicurezza a Wannacrypt (Febbraio 2017). Si parla di trojan, backdoor ed altri componenti per la cancellazione dei dati utilizzati anche nel colpo alla Sony Pictures;
  • un trojan utilizzato per supportare alcuni attacchi sperimentali del ransomware (Marzo-Aprile 2017) affiancato da una variante di una backdoor legata sempre a Lazarus Group;
  • altre similitudini tra trojan individuati negli attacchi dei mesi precedenti ed il ransomware (es: medesima tecnica di offuscamento del codice);

Un altro punto da chiarire è il presunto legame tra gli hacker e la Corea del Nord che, secondo gli esperti, si affiderebbe proprio a Lazarus Group per le proprie operazioni di “guerriglia informatica” – un’affermazione che ad oggi non ha ancora trovato solide prove a suo supporto. Anche nel caso in cui lo Stato guidato da Kim Jong-un risultasse il vero mandante dell’operazione, è difficile ipotizzare quale obiettivo sperasse di raggiungere il regime militare, se non quello di aggravare ulteriormente la già tesa situazione dello schacchiere orientale.

Quel che è invece certo è lo scarso rendimento della campagna Wanncrypt, circa 90.000$ per gli ancora misteriosi autori dell’attacco, una cifra appena sufficiente considerato il numero di macchine coinvolte.

Fonti: 1, 2

 

 

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *