Computervirus WannaCry lijkt geen gewone criminele aanval

Het computervirus WannaCry toont sporen van een Noord Koreaans hackerscollectief. In de computercode zijn sporen gevonden van de Noord-Koreaanse ‘Lazarus Group.’ Dit is de eerste aanwijzing over wie er verantwoordelijk is voor de aanval met het computervirus van afgelopen weekend.

De overeenkomsten tussen WannaCry en het werk van Lazarus zijn ontdekt voor Neel Mehta, een onderzoeker van Google. Beveiligingsbedrijven Kaspersky Labs en Comae Technologies bevestigen zijn ontdekking. De Lazarus Group is een hackerscollectief verbonden aan de Noord-Koreaanse overheid. Zij waren eerder verantwoordelijk voor meerdere cyberaanvallen op Seoul en een digitale bankoverval in Bangladesh. Ook zit de groep mogelijk achter de aanval op Sony in 2014, waardoor duizenden e-mails openbaar werden gemaakt.

WannaCry infecteerde dit weekend meer dan 200.000 computers. Het versleutelt de bestanden van het slachtoffer zodat zij er niet meer bij kunnen. Slachtoffers die hun bestanden terug willen, moeten 300 dollar in bitcoins betalen. Beveiligingsexperts adviseren dit niet te doen. Of de mensen die toch betalen ook daadwerkelijk hun bestanden terugkrijgen, is niet bekend.

NSA wapentuig
Nu bekend is hoe het virus werkt, begint voor beveiligingsexperts de zoektocht naar een mogelijk motief.

Volgens Martijn van Lom, werkzaam bij beveiligingsbedrijf Kaspersky Labs, is het opmerkelijk dat zo’n sterk virus voor een gijzelingsactie gebruikt wordt. WannaCry dringt binnen via zwakke punten in de beveiliging van Windows. Om dit te doen maakt gebruikt het een gereedschap dat ‘Eternal Blue’ heet. Eternal Blue is ontwikkeld door de Amerikaanse NSA, maar werd gestolen en gedeeld door hackerscollectief Shadow Brokers.

Het is opmerkelijk dat extreem krachtig gereedschap als Eternal Blue wordt gebruikt voor een relatief kleine gijzelingsactie. Wie op deze manier een computersysteem binnendringt, kan namelijk even makkelijk het hele systeem vernietigen of kapen voor langdurig gebruik. In plaats daarvan veroorzaakten de daders een weekend lang wereldwijde chaos en kregen er slechts een buit van amper 65.000 dollar voor terug. Dat is als een gestolen tank gebruiken voor een plofkraak: het wapentuig is veel gevaarlijker dan de misdaad.

Volgens Van Lom is het ook vreemd dat WannaCry op vrijdag is gelanceerd. ‘Systeembeheerders konden in het weekend hun beveiliging bijwerken voordat mensen weer aan het werk gingen. Die vrijdagavond heeft enorm geholpen. Als dit op maandag was gebeurd, had het erger kunnen zijn.’ Voor criminelen is het tijdstip van de aanval daarom onlogisch. ‘Als je doel geld is, had je dit niet op vrijdag moeten inzetten.’ Door de daders achter de aanval te vinden, hopen beveiligingsexperts ook het motief te achterhalen.

Nieuwe wapens
In een reactie op de aanval heeft ook hackerscollectief Shadow Brokers gereageerd. Zij zijn nog steeds in het bezit van een onbekende hoeveelheid gestolen NSA software, en beweren vanaf juni iedere maand meer hiervan te verkopen aan iedere geïnteresseerde. Ook dagen zij de NSA uit hun te stoppen door alle gestolen software terug te kopen.

Afbeelding: Wikipedia Commons.