Pesquisadores encontram possível elo entre WannaCry e Coreia do Norte
Após o estrago deixado pelo WannaCry, autoridades e especialistas em segurança tentam descobrir a origem do ransomware. Embora não haja nenhuma comprovação até o momento, alguns sinais indicam que há boas chances de o malware ter vínculo com a Coreia na Norte, mas pelas mãos dos hackers do Lazarus Group.
A suspeita foi levantada por um pesquisador em segurança do Google — a partir deste tweet codificado — e está sendo defendida por especialistas de companhias como Kaspersky e Symantec. Essas e outras empresas analisaram o código de uma versão preliminar do WannaCry e encontraram ali características parecidas com as do malware usado no ataque sofrido pela Sony Pictures no final de 2014 — um backdoor chamado Contopee.
Na ocasião, vale relembrar, a invasão levou ao vazamento de dados sigilosos da companhia. No meio deles estão emails de executivos, endereços de celebridades e documentos confidenciais. Os Estados Unidos acreditam que os hackers do Lazarus Group foram os responsáveis. Eles têm ligações fortes com a Coreia do Norte.
As investigações também apontam similaridades com o ataque que o Banco Central de Bangladesh sofreu em 2016 e que levou ao desvio de US$ 81 milhões. A responsabilidade pela ação foi igualmente atribuída ao Lazarus Group, que também teria participado de ataques menores a outras instituições financeiras.
O elo entre WannaCry e Lazarus Group pode ajudar a esclarecer vários pontos que ainda são obscuros, por exemplo, o fato de o ransomware ter uma espécie de chaveamento que permite aos responsáveis pelo ataque interromper a disseminação. Esse tipo de controle é raro, mas é mais frequente em malwares usados por hackers ligados à Coreia do Norte.
Similitude between #WannaCry and Contopee from Lazarus Group ! thx @neelmehta – Is DPRK behind #WannaCry ? pic.twitter.com/uJ7TVeATC5
— Matthieu Suiche (@msuiche) May 15, 2017
Outro aspecto que poderia ser esclarecido é a incapacidade do WannaCry de verificar se as vítimas pagaram resgate com bitcoin — mais de 200 mil computadores podem ter sido afetados, mas a arrecadação estimada é equivalente a apenas R$ 170 mil, aproximadamente. Ligando os pontos, surge uma possível explicação: regimes como o da Coreia do Norte podem estar mais preocupados em causar transtornos — principalmente ao governo dos Estados Unidos — do que em obter dinheiro.
Porém, como já dito, não há nada que confirme o envolvimento do Lazarus Group. Os responsáveis pelo WannaCry podem, por exemplo, ter implementado código de malwares usados em ataques anteriores com a intenção de fazer as atenções caírem justamente sobre o grupo, despistando os pesquisadores.
Essa possibilidade é questionada porque os rastros que levam ao Lazarus Group sumiram das versões mais recentes do WannaCry. Mas o que garante que essa também não é uma manobra para confundir?
Por ora, a única certeza existente é que ainda há um longo trabalho de investigação pela frente.
