Symantec revela conexión entre WannaCry y Grupo Lazarus
Symantec anuncia que las herramientas e infraestructura utilizadas en los ataques de ransomware WannaCry del 12 de mayo tienen fuerte relación a Lazarus, grupo responsable de los ataques a Sony Pictures y del robo de US$ 81 millones al Banco Central de Bangladesh.
Tras el primer ataque de WannaCry en febrero, se descubrieron tres instancias de malware relacionadas a Lazarus en la red de la víctima: Trojan.Volgmer y dos variantes de Backdoor.Destover, herramienta que borra el contenido de discos.
El pequeño número de ataques dirigidos en marzo y abril, analizados por el Equipo de Investigación de Ataques de la empresa, también revela semejanzas sustanciales entre las herramientas, técnicas e infraestructura usadas por el grupo de ataque y aquellas vistas en embestidas anteriores de Lazarus.
Si bien no hay demasiados detalles acerca de la operación de Trojan.Bravonc, el mismo ha estado implicado en introducir WannaCry en las computadoras de al menos otras dos víctimas, y presenta algunas relaciones claras con el grupo Lazarus, como su dirección IP, que es la misma utilizada por una muestra de Destover, herramienta conocida del grupo. Duuzer también ha sido observado usando esta dirección IP como un servidor C&C.
Asimismo, el método de distribución de Bravonc (sobre SMB, usando credenciales codificadas) es la misma técnica usada por Joanap, otra herramienta relacionada a Lazarus.
Además, existe también un número de relaciones entre el propio WannaCry y el Grupo Lazarus: el ransomware comparte parte del código con Backdoor.Contopee, malware que posee relación anterior a la organización. Una variante de Contopee usa una implementación SSL personalizada, con un conjunto de cifrado idéntico, también usado por WannaCry. El conjunto de cifrado en ambas muestras tienen el mismo conjunto de 75 cifrados diferentes para elección (al contrario de OpenSSL, donde existe más de 300).
Además, WannaCry usa ofuscación de código similar a Infostealer.Fakepude, malware que ya ha sido vinculado a Lazarus; y Trojan.Alphanc, malware usado para distribuir WannaCry en los ataques de marzo y abril, y que también posee una conexión previa con el grupo.
Las versiones anteriores de WannaCry y la usada en los ataques del 12 de mayo son básicamente las mismas con algunas pequeñas modificaciones, principalmente la incorporación del exploit EternalBlue. En este marco, las contraseñas usadas para cifrar los archivos compactados incorporadas en el instalador de WannaCry son similares en ambas versiones (‘wcry@123’, ‘wcry@2016’, and ‘WNcry@2ol7’), indicando que el autor posiblemente sea el mismo grupo.
Finalmente, el pequeño número de monederos Bitcoin usados por la primera versión de WannaCry y su propagación limitada indica que esta no era una herramienta compartida entre grupos de cibercrimen, y que las versiones del ransomware fueron operadas por una única entidad.