WannaCry: ataques têm ligação com o Grupo Lazarus

CyberwarSegurança

As ferramentas e infraestrutura usadas nos ataques do ransomware WannaCry têm forte ligação com o grupo Lazarus, responsável pelos ataques que aconteceram no sistema da Sony Pictures, em 2014, e roubo de US$ 81 milhões do Banco Central de Bangladesh, que ocorreu em 2016.

Antes do ataque global de 12 de maio, uma versão anterior do WannaCry (Ransom.Wannacry) foi usada em um pequeno número de ataques direcionados em fevereiro, março e abril. A análise dessa investida inicial pela Equipe de Investigação de Ataques da Symantec apontou semelhanças substanciais entre as ferramentas, técnicas e infraestrutura usadas pelo esse grupo de cibercriminosos e aquelas vistas em ataques anteriores do Lazarus, indicando uma alta probabilidade de que o grupo tenha sido responsável pela disseminação do WannaCry.

Apesar das ligações com o Lazarus, os ataques WannaCry não têm as características de uma campanha liderada por uma nação. Porém, são características comuns em campanhas de cibercrime. Essas versões anteriores do WannaCry usavam credenciais roubadas para se espalhar por redes infectadas, invés de utilizar o exploit Eternal Blue, responsável pela rápida proliferação do WannaCry pelo mundo a partir de 12 de maio.

À época, foi lançada uma nova versão do WannaCry, que incorporou o exploit “EternalBlue”, que usava duas vulnerabilidades conhecidas no Windows (CVE-2017-0144 e CVE-2017-0145) para distribuir o ransomware em computadores sem patches de correção na rede da vítima e também em outros computadores vulneráveis ​​conectados à Internet.

A incorporação do EternalBlue transformou o WannaCry de uma ameaça perigosa que só poderia ser usada para um número limitado de ataques direcionados em uma das instâncias mais virulentas de malware vistas nos últimos anos. Ele causou uma interrupção generalizada, tanto em organizações infectadas quanto em organizações forçadas a colocar seus computadores em modo offline para atualizações de software. A descoberta e acionamento de um kill switch pelo blog de segurança MalwareTech parou sua propagação e limitou os danos.

As versões anteriores do WannaCry e a usada nos ataques de 12 de maio são basicamente as mesmas, com algumas pequenas mudanças, principalmente a incorporação do exploit EternalBlue. As senhas usadas para criptografar os arquivos compactados, incorporadas no instalador do WannaCry são semelhantes em ambas as versões (“wcry@123”, “wcry@2016”, and “WNcry@2ol7”), indicando que o autor das duas versões provavelmente é o mesmo grupo.

O pequeno número de carteiras Bitcoin usadas pela primeira versão do WannaCry e sua propagação limitada, indica que esta não era uma ferramenta compartilhada entre grupos de cibercrime. Isso fornece ainda mais evidências que ambas as versões do WannaCry foram operadas por um único grupo.

Ligações do WannaCry ao Lazarus

Além das semelhanças nas ferramentas usadas para espalhar o WannaCry, há também um número de ligações entre o próprio WannaCry e o Grupo Lazarus. O ransomware compartilha parte do código com Backdoor.Contopee, malware que possui ligação anterior ao Lazarus. Uma variante do Contopee usa uma implementação SSL customizada, com um cipher suite idêntico, também usado pelo WannaCry. O cipher suite em ambas as amostras tem o mesmo conjunto de 75 ciphers diferentes para escolha (ao contrário do OpenSSL, onde há mais de 300).

Além disso, o WannaCry usa ofuscação de código semelhante ao Infostealer.Fakepude, malware que já foi ligado ao Lazarus; e Trojan.Alphanc, malware que foi usado para distribuir o WannaCry nos ataques de março e abril e que possui ligação anterior ao Lazarus.


Clique para ler a bio do autor  Clique para fechar a bio do autor