ตามที่นักวิจัยด้านความปลอดภัยระบุว่า WannaCry ยังอยู่ในการพัฒนาและมีแนวโน้มที่จะหลบหนีออกไปโดยไม่ได้ตั้งใจและไม่มีการควบคุม วิทยานิพนธ์ซึ่งจะได้รับการสนับสนุนจากด้านเทคนิคหลายประการของการโจมตีครั้งนี้
ไซแมนเทคเพิ่งเปิดเผยซีรีส์ทั้งหมดดัชนีทางเทคนิคใหม่ประกอบกับ“มีความเป็นไปได้สูง”WannaCry ransomware ไปยังกลุ่มแฮกเกอร์ลาซารัส- อย่างไรก็ตาม สิ่งนี้จะเชื่อมโยงโดยตรงกับระบอบการปกครองของเปียงยาง รัฐบาลอเมริกันยืนยันเรื่องนี้โดยไม่ต้องปิดเปลือกตาในขณะนั้นการโจมตีบริษัทโซนี่ พิคเจอร์สในปี 2014 ต้องบอกว่าการรณรงค์ที่ลาซารัสดำเนินการในอดีตนั้นสอดคล้องกับผลประโยชน์ทางการเมืองและเศรษฐกิจของประเทศนี้: การก่อวินาศกรรมและการจารกรรมในเกาหลีใต้การปล้นธนาคารไปจนถึงเงินหลายสิบล้านดอลลาร์ ฯลฯ
ปัญหาคือการโจมตีของ WannaCry ไม่สอดคล้องกับบรรทัดนี้“แม้ว่าจะมีความเชื่อมโยงกับ Lazarus แต่การโจมตีของ WannaCry ก็ไม่ได้เป็นจุดเด่นของการรณรงค์ของรัฐบาล แต่กลับเป็นเรื่องปกติของการรณรงค์อาชญากรรมในโลกไซเบอร์”, อธิบายไซแมนเทค- เหตุใดแฮกเกอร์ของรัฐบาลกลุ่มหนึ่งจึงยอมเรียกร้องค่าไถ่ 300 ดอลลาร์ต่อเครื่องที่ถูกบล็อก? จนถึงปัจจุบัน กำไรที่ได้นั้นอยู่ที่ 100,000 ดอลลาร์ ซึ่งต่ำกว่าการแฮ็กธนาคารที่เคยทำในอดีตมาก ทั้งหมดนี้ไม่สอดคล้องกันมาก
การเร่งความเร็วที่จัดการได้ไม่ดี
นักวิจัยด้านความปลอดภัย The Grugq เชื่อว่าการระบาดของ WannaCry น่าจะเป็นอุบัติเหตุในห้องปฏิบัติการ ในกโพสต์ในบล็อกเขาเชื่อว่าลาซารัสได้เปิดตัวเป็นแรนซัมแวร์ แต่ไม่จำเป็นต้องเป็นไปตามคำสั่งจากรัฐบาลเกาหลีเหนือ จากการวิเคราะห์ของไซแมนเทค แฮกเกอร์ได้เปิดตัว WannaCry เวอร์ชันที่มีความรุนแรงน้อยกว่าบนเป้าหมายที่กำหนดไว้อย่างชัดเจน โดยการแพร่เชื้อคอมพิวเตอร์หลายสิบเครื่องหรือหลายร้อยเครื่องด้วยตนเองด้วยม้าโทรจันและการขโมยรหัสผ่าน จากนั้นแฮกเกอร์ได้แทนที่เทคนิคการแพร่กระจายแบบคลาสสิกเหล่านี้ด้วย EternalBlue ซึ่งเป็นช่องโหว่ที่รุนแรงของ NSA“แล้วมีบางอย่างผิดพลาด [มัลแวร์] ระเบิดและแพร่กระจายจนควบคุมไม่ได้ เกินกว่าที่พวกมันจะจัดการได้ และส่วนที่แย่ที่สุดคือสิ่งนี้กระทบเป้าหมายที่ละเอียดอ่อนในประเทศตะวันตก (โรงพยาบาล) ทำให้เกิดการรายงานข่าวจากสื่อจำนวนมาก”, ประเมิน The Grugq.
ไม่มีเหตุผลที่จะสรุปได้ว่าลาซารัสกำลังดำเนินการภายใต้การดูแลของรัฐ และหลักฐานในปัจจุบันบ่งชี้ว่าแรนซัมแวร์หลบหนีไปได้
— แธดเดียส อี. กรุกค์ (@thegrugq)23 พฤษภาคม 2017
ผู้วิจัยกล่าวว่ามีองค์ประกอบหลายประการที่สนับสนุนวิทยานิพนธ์นี้ ประการแรก การส่งคีย์ถอดรหัสนั้นดำเนินการด้วยตนเอง เมื่อเราตัดสินใจที่จะแพร่เชื้อไปยังเครื่องจักรจำนวนมาก เราก็จะตั้งค่าระบบอัตโนมัติขึ้นมา นอกจากนี้ มัลแวร์ใช้งานได้จริงบน Windows 7 และ 2008 R2 เท่านั้น ไม่ใช่ใน Windows เวอร์ชันอื่น ซึ่งก็จะเป็นสัญญาณของการ“การพัฒนาในระดับต่ำ”ตามที่เขาพูด การบูรณาการของ EternalBlue ทำได้แม้กระทั่งในลักษณะพื้นฐาน เช่น“คัดลอกและวาง”- ในที่สุดก็มีสวิตช์ฆ่าที่แปลกประหลาดนี้ การมีอยู่ของมันสมเหตุสมผลในบริบทของขั้นตอนการทดลองซึ่งเราไม่ต้องการรับความเสี่ยงใดๆ แต่ไม่ใช่สำหรับแคมเปญอาชญากรไซเบอร์จริงๆ รวบรัด,“นี่คือซอฟต์แวร์ที่ยังอยู่ในการพัฒนาและหลบหนีไปได้”
คาดว่าจะมีการโจมตีอื่นๆ
- พวกเขาจะขึ้นราคาค่าไถ่ เพราะ 300 ดอลลาร์ต่ำเกินไปจริงๆ”“กลุ่มแฮ็กเกอร์ทั่วไปมักจะเก็บตัวเป็นความลับ แต่คนเหล่านี้ไม่มีปัญหานั้น นี่คือเหตุผลที่ฉันคาดการณ์ว่าพวกเขาจะได้เรียนรู้มากมายจากภัยพิบัติครั้งนี้ พวกเขาจะเพิ่มการหาประโยชน์จาก NSA เพิ่มเติมจากรัสเซียแต่เรื่องราวไม่ได้จบเพียงแค่นั้น จากข้อมูลของ The Grugq ลาซารัสยังคงได้รับการคุ้มครองอย่างเต็มที่จากระบอบการปกครองของเกาหลีเหนือ ดังนั้นจึงไม่มีข้อกังวลทางกฎหมาย ยิ่งไปกว่านั้น ผู้เขียน WannaCry ก็ไม่ได้พยายามที่จะทำใจให้สบายเลยสักครั้ง ในทางตรงกันข้าม พวกเขายังคงเพิ่มจำนวนตัวแปรต่อไป
, ขีดเส้นใต้ผู้วิจัย. เวลาจะบอกเอง แต่เราต้องหวังว่าเขาจะคิดผิด
Google ข่าวสารวอทส์แอพพ์Grugq เชื่อเช่นเดียวกับผู้เชี่ยวชาญคนอื่นๆ ว่ากลุ่ม Shadow Brokers เป็นหน่อของหน่วยงานรัฐบาลรัสเซีย จมูกปลอมมีเจตนาล้อเลียน NSA🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่
