De wereldwijde ransomware-aanval met WannaCry (ook WannaCrypt genoemd) is waarschijnlijk afkomstig uit Noord-Korea. Dat concluderen Kaspersky, Symantec en BAE Systems. Ze trekken die conclusies uit sterke gelijkenissen met andere en eerdere aanvallen.
De bedrijven vonden het spoor naar aanleiding van een tweet van Google-onderzoeker Neel Mehta. Hij tweette maandag zonder uitleg de tekst ‘WannaCrypt Attribution’. Volgens de bedrijven was dit een duidelijke hint in de richting van een mogelijke verantwoordelijke voor de wereldwijd verspreidde ransomware.
Gelijkenissen
Mehta verwijst met de tweet namelijk naar het feit dat de code van een oudere versie van deze malware overeenkomt met een testversie van WannaCry.
Verder bleek dat stukjes code van WannaCry veel gelijkenissen hadden met een aanval die in februari plaatsvond op de Bank of Bangladesh. Deze bank werd 950 miljoen dollar lichter gemaakt door de hackers van de groep die zichzelf Lazarus noemt.
Sony-hack
Kaspersky startte een onderzoek en kon begin april bewijzen dat Lazarus verbonden is met de overheid van Noord-Korea. Dezelfde Lazarusgroep wordt ook verantwoordelijk gehouden voor de Sony-hack. Of daar vergelijkbare code is gebruikt is niet duidelijk.
Volgens de beveiligingsbedrijven zijn er genoeg gelijkenissen tussen de beide aanvallen om te spreken van een connectie tussen de Wannacrypt-malware en Noord-Korea.
