Symantec pekar ut Nordkorea som skyldig till attackerna

Symantec pekar ut Nordkorea som skyldig till attackerna

Symantec pekar ut Nordkorea som skyldig till attackerna

Säkerhetsföretaget Symantec säger nu att det är högst troligt att det är en Nordkoreansk hackargrupp som ligger bakom attackerna med programmet Wannacry. Samma grupp som misstänks för att ha legat bakom attackerna mot Sony 2014.

Symantec har gått igenom de digitala spår som lämnats vid attackerna och har även gått igenom den kod som ingår i ransomware-programmet. Enligt Symantec så finns det kod som användes även vid attackerna mot Sony Pictures Entertainment 2014. Symantec har även spårat två av de tidiga, kanske första incidenterna där datorer har smittats till en uppkoppling som tidigare knutits till den nordkoreanska gruppen Lazarus.

Prior to the global outbreak on May 12, an earlier version of WannaCry (Ransom.Wannacry) was used in a small number of targeted attacks in February, March, and April. This earlier version was almost identical to the version used in May 2017, with the only difference the method of propagation. Analysis of these early WannaCry attacks by Symantec’s Security Response team revealed substantial commonalities in the tools, techniques, and infrastructure used by the attackers and those seen in previous Lazarus attacks, making it highly likely that Lazarus was behind the spread of WannaCry.

Lista

Symantec har sammanställt en lista över de spår som pekar mot Nordkorea:

  • Following the first WannaCry attack in February, three pieces of malware linked to Lazarus were discovered on the victim’s network:

  • Trojan.Volgmer and two variants of Backdoor.Destover, the disk wiping tool used the Sony Pictures attacks.

  • Trojan.Alphanc, which was used to spread WannaCry in the March and April attacks is a modified version of Backdoor.Duuzer, which has previously been linked to Lazarus.

  • Trojan.Bravonc used the same IP addresses for command and control as Backdoor.Duuzer and Backdoor.Destover, both of which have been linked to Lazarus.

  • Backdoor.Bravonc has similar code obfuscation as WannaCry and Infostealer.Fakepude (which has been linked to Lazarus).

  • There is shared code between WannaCry and Backdoor.Contopee, which has previously been linked to Lazarus.

Slogs ut

Vid attacken så slogs närmare 300 000 datorer i hundratals länder ut. Attackerna drabbade sjukhus, företag och enskilda när dokument, bilder och annan lagrad information krypterades och gjordes obrukbar när Wannacry slog till och aktiverades.

I Sverige drabbades bland annat företaget Sandvik och Timrå när deras datorer och nätverk smittades med Wannacry.

Symantec

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.