Symantec: WannaCry útočil od února. Pravděpodobně za ním stojí skupina Lazarus

23. 5. 2017

Sdílet

 Autor: Redakce

Bezpečnostní firmy se snaží vypátrat původ ransomwaru WannaCry a nové informace nabídl Symantec. Ten na svém blogu shrnuje dosavadní zkušenosti s tímto škodlivým kódem. První útok firma zaznamenala 10. února tohoto roku, kdy byla napadena jediná organizace. Během dvou minut od nakažení prvního stroje se škodlivý kód rozšířil na stovku počítačů v organizaci. Útočnictvo za sebou zanechalo nástroje, jež se tak mohly stát předmětem zkoumání.

WannaCry útočil od února

Kromě nich bylo nalezeno pět druhů malwaru, tři z nich jsou přímo spojeny s hackerskou skupinou Lazarus. Dva ze trojice platí za varianty backdooru Destover, jenž byl použit v útoku na Sony. Třetím kouskem byl trojský kůň Volgmer, jenž byl Lazarem nasazován proti jihokorejským cílům. Novým vzorkem WannaCry bylo do 27. března napadeno nejméně pět organizací. Podle Symantecu zde nelze vysledovat vzorec, podle něhož byly cíle vybrány.

V tomto případě při nasazení vyděračského softwaru byly použity dva různé backdoory, a sice Alphanc a Bravonc. Krátká verze zní, že se jedná o škodlivé softwary, jež vykazují spojitost s Lazarem. Útoky v menší míře pokračovaly i v dubnu. Nakonec přišel nám již dobře známý rozsáhlý útok, který začal 12. května. V tento den se začala šířit další nová verze WannaCry, jež k šíření zneužila známé díry ve Windows (CVE-2017-0144 a CVE-2017-0145). Připomínám, že byly opraveny Microsoftem během března.

Ilustrační foto (zdroj: qimono / Pixabay) Ilustrační foto (zdroj: qimono / Pixabay)

Ransomware se šířil na počítače v lokální síti, ale i na vzdálené stroje připojené k internetu. Všechny nalezené varianty ransomwaru jsou si velmi podobné, archivy používané v rámci distribuce škodlivého kódu jsou šifrovány podobnými hesly (wcry@123, wcry@2016 a WNcry@2ol7). Peněženky používané pro příjem Bitcoinů v prvních útocích podle Symantecu nebyly využívány dalšímu skupinami.

I to jsou významné indikátory, které Symantec vedou k závěru, že za těmito hrozbami stojí stejná skupina. Již jsem zmínil skupinu Lazarus. WannaCry podle bezpečnostní firmy sdílí část kódu s backdoorem Contopee, jenž je spojen právě s Lazarem. Jedna z variant používá shodné šifry. WannaCry se dále podobá malwaru Fakepude a trojskému koni Alphanc, přičemž oba jsou spojeny se stejnou hackerskou skupinou.

Činnost skupiny Lazarus

V tomto bodě je vhodné odpovědět, kdo je tedy Lazarus. Tato skupina se zabývá kybernetickou zločineckou činností a její první doložené útoky byly zaznamenány v roce 2009. K jejím nejúspěšnějším zločinům patří již zmíněný útok na filmovou divizi Sony v roce 2014. V roce 2016 pak skupina zaútočila na Bangladesh Central Bank. Z této akce si odnesla kořist ve výši závratných 81 milionů dolarů.

Kaspersky Lab v březnu vydal report o skupině, kde dochází k zajímavým tvrzením. Detaily naleznete ve zmíněné zprávě, zde jen zmíním, že podle Kasperky Lab operoval Lazarus od začátku s velkým rozpočtem a jeho snahou je zřejmě být dále finančně soběstačný. Do hry vstoupila skupina Bluenoroff, která pod Lazarus spadá a která se podle všeho specializuje právě na získávání finančních zdrojů. Ta v podstatě vydělává peníze, aby udržela operace Lazara v činnosti. Ke své činnosti pak využívá pak škodlivé kódy vytvořené touto skupinou.

bitcoin školení listopad 24

Takhle vypadá vyděračská obrazovka Takhle vypadá vyděračská obrazovka ransomwaru WannaCry

Již jsem uvedl, že odborná veřejnost WannaCry začala spojovat se Severní Koreou. Kasperky Lab před dvěma měsíci odhalil spojení mezi Bluenoroffem a Severní Koreou v podobě adresy IP. Protože je tedy Bluenoroff považována za součást skupiny Lazarus, může být WannaCry jakožto dítko Lazara skutečně prací lidí ze Severní Korei. Toto pojítko samo o sobě jako usvědčující důkaz není dostatečné, takže zatím můžeme leda spekulovat.

Ruský bezpečnostní podnik Kaspersky Lab ve své zprávě uvádí, že měřítko operací skupiny Lazarus, která výrazně roste od roku 2011, je šokující. Výroba malwaru, s nímž je zacházeno jako s jednorázovým materiálem, který je při dalším úroku nahrazen lepší zbraní, podle firmy nemůže být dílem amatérů. Zdá se, že Lazarus funguje jako továrna na malware, který následně distribuuje skrze více nezávislých subjektů. O skupině Lazarus patrně ještě uslyšíme.