Antes do surto global do WannaCry, no dia 12 de maio, a empresa de cibersegurança Symantec afirma que uma versão anterior do ransomware foi usada em um pequeno número de ataques direcionados em fevereiro, março e abril. A análise dessa investida revelou semelhanças substanciais entre as ferramentas, técnicas e infraestrutura usadas pelo esse grupo de cibercriminosos e aquelas vistas em ataques anteriores do Lazarus, indicando uma alta probabilidade de que o Lazarus tenha sido responsável pela disseminação do WannaCry.
Apesar das ligações com o Lazarus, grupo responsável pelos ataques destrutivos na Sony Pictures e roubo de US$ 81 milhões do Banco Central de Bangladesh, os ataques WannaCry não têm as características de uma campanha liderada por uma nação, porém, são características comuns em campanhas de cibercrime. Essas versões anteriores do WannaCry usavam credenciais roubadas para se espalhar por redes infectadas, invés de utilizar o exploit Eternal Blue, responsável pela rápida proliferação do WannaCry pelo mundo a partir de 12 de maio.
Algumas evidências apontadas pela Symantec:
– Após o primeiro ataque do WannaCry em fevereiro, três instâncias de malware ligadas ao Lazarus foram descobertas na rede da vítima: Trojan.Volgmer e duas variantes de Backdoor.Destover, a ferramenta que apaga o conteúdo de discos usada nos ataques da Sony Pictures.
– Trojan.Alphanc, que foi usado para distribuir o WannaCry nos ataques de março e abril, é uma versão modificada do Backdoor.Duuzer, que já foi ligado ao Lazarus.
– Trojan.Bravonc usou para comando e controle os mesmos endereços de IP do Backdoor.Duuzer e Backdoor.Destover, que foram relacionados ao Lazarus.
– Backdoor.Bravonc tem ofuscação de código semelhante ao WannaCry e Infostealer.Fakepude (que foi ligado ao Lazarus).
– Há código compartilhado entre WannaCry e Backdoor.Contopee, que tem ligação anterior com o Lazarus.
Ligações do WannaCry com o Lazarus
Além das semelhanças nas ferramentas usadas para espalhar o WannaCry, há também um número de ligações entre o próprio WannaCry e o Grupo Lazarus. O ransomware compartilha parte do código com Backdoor.Contopee, malware que possui ligação anterior ao Lazarus. Uma variante do Contopee usa uma implementação SSL customizada, com um cipher suite idêntico, também usado pelo WannaCry. O cipher suite em ambas as amostras tem o mesmo conjunto de 75 ciphers diferentes para escolha (ao contrário do OpenSSL, onde há mais de 300).
Além disso, o WannaCry usa ofuscação de código semelhante ao Infostealer.Fakepude, malware que já foi ligado ao Lazarus; e Trojan.Alphanc, malware que foi usado para distribuir o WannaCry nos ataques de março e abril e que possui ligação anterior ao Lazarus.
Vazamento acidental transformou WannaCry em ameaça global
A descoberta de um pequeno número de ataques anteriores do WannaCry forneceu evidências convincentes de sua ligação ao grupo Lazarus. Estes ataques anteriores envolveram o uso significativo de ferramentas, código e infraestruturas anteriormente associadas ao grupo Lazarus, enquanto os meios de propagação através de backdoors e credenciais roubadas são consistentes com ataques do Lazarus. O vazamento do exploit EternalBlue foi o que permitiu ao grupo de ataque transformar WannaCry em uma ameaça muito mais potente do que seria se eles ainda dependessem de suas próprias ferramentas, uma vez que lhes permitiu passar por muitas das etapas que tinham que executar anteriormente, eliminando tanto a necessidade de roubar credenciais quanto copiar o ransomware de computador para computador.
