WannaCry ransomware in verband gebracht met Noord-Koreaanse Lazarus Group

  1. 16 mei 2017
  2. 0 reacties

malware

De WannaCry ransomware, ook wel WanaCry, WanaCrypt0r of WeCry genoemd, is mogelijk ontwikkeld door de Lazarus Group, een cybercrimegroepering die in verband wordt gebracht met Noord-Korea. De ransomware blijkt overeenkomsten te bevatten met malware van de Lazarus Group uit 2015.

De overeenkomsten zijn ontdekt door Neel Mehta, een beveiligingsonderzoeker van Google. De Lazarus Group is een cybercrimegroepering die ook verdacht wordt van de grootschalige cyberaanval op Sony Pictures en de diefstal van miljoenen dollars bij de Centrale Bank van Bangladesh.

Waarschijnlijk geen false flag

Kaspersky Lab heeft de bevindingen van Mehta geanalyseerd. In een blogpost stelt het Kaspersky Lab's Global Research & Analysis Team dat het mogelijk gaat om een ‘false flag’, waarbij de code bewust is opgenomen in de ransomware om de Lazarus Group verdacht te maken. Kaspersky Lab trekt dit echter in twijfel, vooral aangezien de code alleen voorkomt in WannaCry versie 1.0. Deze versie stamt uit februari 2017. In de tweede versie van de ransomware die vrijdag 12 mei voor grote problemen zorgde ontbreekt de code.

Het bedrijf noemt de ontdekking van Mehta één van de belangrijkste aanwijzigingen die kan helpen de herkomst van de WannaCry ransomware te achterhalen. Wel stelt Kaspersky Lab dat er meer onderzoek nodig is naar oudere versies van WannaCry. Het bedrijf verwacht dat dit meer duidelijkheid zal verschaffen over de mysteries rond de aanval.

Meer over
Lees ook
Klanten van Rabobank en ING zijn doelwit van nieuwe bankingtrojan

Klanten van Rabobank en ING zijn doelwit van nieuwe bankingtrojan

Klanten van de Rabobank en ING zijn doelwit van een nieuwe versie van de bankingtrojan Zeus. De trojan wordt verspreidt in JPG-afbeeldingen die overal op internet zijn geüpload. Hiervoor waarschuwt Jerome Segura van Malwarebytes, die samen met de Franse onderzoeker Xylitol de nieuwe malware heeft onderzocht. De onderzoekers hebben ontdekt dat alle1

Hackers verstoppen malware in RTF-documenten

Hackers verstoppen malware in RTF-documenten

Hackers verstoppen steeds vaker hun malware in RTF-documenten. Hiervoor waarschuwt in ieder geval beveiligingsbedrijf Trend Micro. De RTF-documenten worden voorzien van een embedded Control Panel (CPL)-bestand, die de malware naar de computer van het slachtoffer download. CPL-bestanden zijn bedoeld om informatie over de configuratie van het systee1

Supermalware The Mask bespioneert overheden, diplomaten en olie- & gassector

Supermalware The Mask bespioneert overheden, diplomaten en olie- & gassector

De supermalware The Mask bespioneert al zeker zes jaar lang ongemerkt allerlei doelwitten. De malware richt zich op zowel overheden en diplomaten als de gas- en oliesector. Dit stelt Kaspersky, dat meer details over de zeer geavanceerde malware bekend heeft gemaakt. De malware heeft van zijn makers de naam 'Careto' gekregen, wat het Spaanse woord1