Ошибки в коде и внедрении, сделанные разработчиками WannaCry, смогли немного облегчить боль всего мира от событий 12 мая. Но они также подтвердили теорию, что этот троянец-вымогатель не был должным образом подготовлен и начал распространятся до положенного срока.

Эксперт Джек Вильямс (Jack Williams), основатель Rendition InfoSec, считает, что в коде вымогателя есть «крышесносные ошибки». К этому выводу он пришел после анализа зловреда и эксплойта EternalBlue, утекшего из NSA и использованного для распространения WannaCry.

Начнем с того, что разработчики использовали только три биткойн-кошелька для сбора выкупа, хотя обычно у каждого образца зловреда есть свой адрес кошелька, чтобы злоумышленники могли сопоставить жертв и поступившие платежи. В результате собранные во время атаки 140 тысяч долларов становятся слабым звеном, поскольку правоохранительные органы и специалисты по ИТ-безопасности могут без труда отслеживать транзакции с всего трех кошельков.

Тем не менее за атакой WannaCry явно стоят не любители. Washington Post со ссылкой на источник в NSA сообщает, что можно с «умеренной уверенностью» утверждать о связи между WannaCry и Разведывательным Управлением Генштаба КНА Северной Кореи. Спецслужба, по утверждению издания, создала обе версии WannaCry и использовала их как полезную нагрузку к эксплойту NSA, украденному ShadowBrokers.

На связь между КНДР и WannaCry также указывали исследователи «Лаборатории Касперского», Google, Symantec и другие. Обнаруженные экспертами в WannaCry фрагменты кода также использовались в других атаках, организованных группировкой Lazarus. Данная группа подозревалась в организации взлома Sony Pictures Entertainment в 2014 году и краже 81 млн. долларов из Банка Бангладеш.

Северокорейские группы уникальны тем, что, по слухам, используют подобные кражи для финансирования своей кибердеятельности. На конференции Security Analyst Summit в этом году исследователи из «Лаборатории Касперского», BAE Systems и SWIFT продемонстрировали, что Lazarus Group откололась от группы хакеров, известной как Bluenoroff. Основной задачей той группы была кража денег для финансирования APT-атак.

Уильямс утверждает, что разработчики WannaCry не смогли скрывать зловред и эксплойта EternalBlue до момента, когда тот был готов к полному развертыванию. По его словам, печально известный домен-«рубильник» – это еще один признак того, что WannaCry, каким мы его знаем, на деле являлся предварительным релизом. Этот домен, обнаруженный британским исследователем Маркусом Хатчинсом (Marcus Hutchins), позволил остановить атаку до ее выхода на полную мощность.

По мнению Вильямса, сам по себе домен-«рубильник» имеет право на существование, но он не должен быть доступен всем желающим. Другие создатели зловредов, включая северокорейцев, в прошлом устанавливали шифрованные соединения с C&C-серверами, чтобы сделать бессмысленной регистрацию указанного домена исследователями или правоохранительными органами, то есть не допустить того, что сделал Хатчинс.

Поэтому вполне вероятно, что увиденная нами версия WannaCry просто выбралась из тестовой среды в общедоступный Интернет и в конечном итоге заразила более 200 000 компьютеров и серверов в 150 странах.

Категории: Вредоносные программы, Главное