关于毁灭性的事情仍然有很多事情不清楚WannaCry勒索软件攻击,但是安全研究人员可能越来越接近理解其起源。
根据技术线索的说法,自5月12日以来,全球网络攻击已感染了150个国家 /地区的30万台计算机,该计算机与朝鲜有关。
与朝鲜相关的WannaCry
Google安全研究Neel Mehta发出了一个神秘的信息通过Twitter引用了2月的WannaCry样本中发现的相同代码,以及2015年初的恶意软件Cantopee版本。
Cantopee是由黑客团队创建的拉撒路集团,也许以2014年针对索尼影业的安全漏洞而闻名。来自各个安全公司的研究人员认为,拉撒路集团由朝鲜政府资助。
Symantec和Kaspersky实验室同意梅塔(Mehta)的发现暗示了WannaCry和朝鲜之间的某种联系。
卡巴斯基实验室的研究员库尔特·鲍姆加特纳(Kurt Baumgartner)说:“这是我们迄今为止看到WannaCry起源的最好的线索。”
同时,Comae Technologies创始人兼安全研究员Matt Suiche说“有”无疑“两个程序之间共享代码。
他补充说:“ WannaCry和该归因于Lazarus的[程序]共享了独特的代码。该组也可能落后于WannaCry。”
朝鲜是否赞助了WannaCry攻击?
尽管Lazarus Group创建的恶意软件与WannaCry的早期版本之间有类似的代码,但安全研究人员认为,现在声称朝鲜落后于全球勒索软件攻击还为时过早。
与此同时,美国和欧洲的安全官员还说,将袭击限制在朝鲜还为时过早,但该国目前是犯罪嫌疑人之一。
Symantec和Kaspersky Lab都表示,需要对WannaCry使用的代码进行进一步分析,以确定其确切的起源。两家公司还要求来自世界各地的安全研究人员,以帮助了解历史上最具破坏性的网络勒索运动之一。
有可能性WannaCry的创建者将Cantopee代码种植到勒索软件中,以欺骗研究人员并将调查发送到另一条路径上。然而,卡巴斯基实验室的研究人员认为,尽管合理,但这种事情是不可能的,因为摘要是从后来版本的WannaCry中删除的。这意味着与Cantopee代码的相似性并不意味着用作诱饵。
尽管与朝鲜的链接显而易见,但很难理解为什么政府会赞助勒索软件(例如WannaCry)。它的行为与网络罪犯使用的标准勒索软件一样,是不清楚为什么像朝鲜这样的国家对每个受害者一次的付款感兴趣。
微软在一份声明中说,无论谁是WannaCry,勒索软件攻击都应该用作“唤醒电话“对于将网络安全漏洞保留为秘密的政府。此外,随着科技公司继续推出补丁以修复漏洞利用,客户应定期更新其系统,以防止WannaCry Ransomware等攻击。
