Wannacry verkar ha kopplingar till Lazarus

Radarbloggen: Nordkoreansk liga tros ligga bakom Wannacry

It-säkerhetsföretaget Symantec säger i en rapport att det finns övertygande bevis för att gruppen bakom Wannacry-viruset har kopplingar till den nordkoreanska hackergruppen Lazarus.

Tydliga kopplingar till Lazarus.

Som Radarbloggen kunde rapportera i förra veckan utsattes en mängd organisationer över hela världen för en samlad attack i form av en ransomware-spridande mask, Wannacry. Den krypterade omkring 200 000 datorer och krävde en lösensumma för att datorn skulle låsas upp igen. Åtminstone 40 platser i Sverige drabbades, däribland industriföretaget Sandvik och Timrå kommun.

Financial Times skriver nu att Symantec har hittat tydliga kopplingar till Lazarus, en grupp som attackerat mål i Sydkorea och 2014 fick stor uppmärksamhet för en attack mot Sony Pictures. Så sent som förra året stal gruppen 81 miljoner dollar från Bangladesh Bank.

Enligt Symantecs teknikchef Vikram Thakur använde gruppen bakom Wannacry med största sannolikhet samma verktyg som Lazarus. Men Wannacry-attacekn var relativt klantigt utförd, därför tror Symantec inte att en stat ligger bakom. Däremot tror Vikram Thakur att det handlar om en grupp med nära kopplingar till Lazarus. Detta styrks ytterligare av ett litet antal tidigare Wannacry-attacker, liksom likheter i kod och infrastruktur.

I förra veckan pekade också säkerhetsföretaget Fireeye på likheter i koden mellan Wannacry och Lazarus attacker.

Sverker Brundin

sverker.brundin@radareco.se