Opnieuw verband gevonden tussen WannaCry ransomware en Noord-Korea

Opnieuw meldt een beveiligingsbedrijven een verband te hebben gevonden tussen Noord-Koreaanse groepen van cybercriminelen en de WannaCry ransomware. Een grootschalige uitbraak van deze kwaadaardige software leiden onlangs tot omvangrijke problemen bij onder andere Telefonica, de Britse NHS en andere organisaties wereldwijd.

SecureWorks heeft nieuwe informatie gepubliceerd over de ransomware WannaCry. Een vroegere variant van Wanna Decryptor (ofwel WannaCry) genaamd "Wanna Decryptor v1.0" blijkt te zijn verspreid met behulp van een credential guessing SMB-worm, meldt SecureWorks. Deze worm installeert als WUpdator / "Windows Updator" (let op de spelfout).

LAZARUS groep

De WUpdator-worm draagt zowel Wanna Decryptor (WCry Ransomware) en een ingebouwde TOR-client. Dit TOR-adres was opgenomen in de binary: sw7xmbms2ivmt5og.onion. De WUpdator-worm deelt code met een malware-familie bekend als BRAMBUL. Historisch gezien is dit een SMB-worm die een backdoor opende en bekend is als JOANAP. Beide malware-families (BRAMBUL en JOANAP) zijn uniek verbonden aan de NICKEL ACADEMY (ook wel bekend als LAZARUS groep).

Dezelfde codeoverlapping is ook te zien in een NETBIOS password-guessing tool (nbt_scan) dat werd verspreid als onderdeel van de Poolse Regulator watering hole attacks. Deze aanvallen kwamen af van een Noord-Koreaanse groep die we kennen als NICKEL GLADSTONE. NICKEL GLADSTONE is een zustergroep van NICKEL ACADEMY.

Volledige analyse

Meer informatie is te vinden in deze Engelstalige analyse van SecureWorks.