Onderzoekers vinden mogelijke link met Noord-Korea in WannaCry-malware

Onderzoekers van beveiligingsbedrijf Kaspersky hebben de code van de WannaCry-ransomware gevonden, die overeenkomsten vertoont met code van de Lazarus-groep, die banden met Noord-Korea heeft. Het bedrijf kwam de overeenkomst op het spoor door een Google-onderzoeker.

Het onderzoek naar de code begon toen Google-onderzoeker Neel Mehta maandag een tweet zonder verdere uitleg online zette en alleen de woorden 'WannaCrypt Attribution' gebruikte. Daarmee hintte hij erop dat zijn ontdekking wijst op een mogelijke verantwoordelijke voor de WannaCry-ransomware, die zich in de afgelopen dagen over de hele wereld heeft verspreid. In het bericht verwijst hij naar overeenkomsten in de code van een vroege versie van de malware en die van een sample die werd gebruikt door de Lazarus-groep.

Die groep is in eerder onderzoek van Kaspersky in verband gebracht met Noord-Korea en zou verantwoordelijk zijn voor de Sony-hack en de diefstal bij de centrale bank van Bangladesh. Ook Symantec en BAE Systems vonden overeenkomsten tussen deze twee incidenten. In een korte analyse van de bevindingen van Mehta schrijft Kaspersky dat het mogelijk is dat de code opzettelijk in de ransomware is gebruikt om een vals spoor te creëren, maar dat dit onwaarschijnlijk is. De code was aanwezig in een WannaCry-versie van februari en is niet meer aanwezig in opvolgende versies.

tweet neel mehta De tweet van Mehta

Volgens het bedrijf is er meer onderzoek nodig naar de overeenkomsten, maar biedt de huidige ontdekking wel een belangrijke aanwijzing naar de herkomst van de ransomware. De vroege versie uit februari zou de voorloper zijn van de variant die zich vrijdag over de wereld verspreidde. Bovendien zouden beide versies door personen met toegang tot dezelfde broncode gecompileerd zijn.

Volgens Virus Bulletin-onderzoeker Martijn Grooten is de link met een staat een mogelijke verklaring voor de aanwezigheid van een 'killswitch' in de WannaCry-malware, die per ongeluk werd ontdekt. Een dergelijke techniek zou zeer ongewoon zijn voor criminelen, maar zou vaker voorkomen bij statelijke actoren, zo laat hij aan Ars Technica weten. De ontdekker van de killswitch, MalwareTech, opperde dat het wellicht gaat om een manier om analyse tegen te gaan in plaats van een methode om de malware op afstand uit te schakelen.

De WannaCry-ransomware begon zich voor het weekend te verspreiden en infecteerde ongeveer 200.000 systemen in 150 landen. Daaronder waren de systemen van Britse ziekenhuizen, die door de infectie hun werk moeilijk konden uitvoeren. De ransomware versleutelt systemen en vraagt om 300 dollar aan bitcoins in ruil voor decryptie. Dat bedrag verdubbelt naar 600 dollar als betaling niet binnen drie dagen plaatsvindt. Tot nu toe is er 35 bitcoin overgemaakt naar de personen achter de malware, omgerekend ongeveer 54.500 euro.

IT-banen

Reacties (191)

eltweako 16 mei 2017 09:09

Op het moment is het pure speculatie wat de oorsprong van deze malware is. Het baseren op een klein stukje code dat in een voorgaande versie identiek is aan een ander stuk malware vind ik wat ver gaan.
De "killswitch" zou inderdaad opmerkelijk zijn, als het niet zo was dat dit vaker voorkwam bij ransomware. Het is waarschijnlijk, zoals al vaker aangegeven, een eenvoudige vorm van "sandbox detectie".

Het "bijzondere" aan WanaCry is dat het eigenlijk een van de eerste ransomware varianten die het ransomware aspect succesvol combineert met zelf verspreidende aspect van een internetworm. Ik vraag me af of de makers van het virus hadden verwacht dat de malware zo'n success zou gaan hebben. Ik verwacht dat dit gedrag nog veel gekopieerd gaat worden.

Tevens valt op te merken dat het opmerkelijk is dat de makers van WanaCry geen moeite lijken te hebben genomen om debugging te bemoeilijken. Het is meer dan gebruikelijk dat er in Ransomware diverse countermeasures ingebouwd worden om zo debugging lastig of onmogelijk te maken. Bij WanaCry ontbrak dit compleet.

[Reactie gewijzigd door eltweako op 23 juli 2024 05:41]

anargeek @eltweako • 16 mei 2017 12:42

Ja het is pure speculatie, maar het is wel opmerkelijk dat deze strings overeenkomen. Dat lijkt geen toeval te zijn, maar hoeft ook zeker niet te betekenen dat het dezelfde oorsprong heeft. Het kan ook zijn dat de makers van WanaCry de suggestie willen wekken dat het van de Lazarus groep komt.
Of, en dat moet ook zeker niet uitgesloten worden: WanaCry is een combinatie van bijeengeraapte technieken. De verspreiding is niet uniek, de exploit is uit de NSA-leaks geplukt, de encryption is niet uniek. Dus de mogelijkheid dat dit stuk code uit andere malware is gehaald bestaat ook.

Maar het zou wel Lazarus kunnen zijn. Ze hebben eerder financiele aanvallen uitgevoerd, zijn bewezen ervaren met cryptocurrencies, dus het zou in hun werkwijze passen. De link tussen WanaCry en Lazarus is in elk geval interessant genoeg om onderzocht te worden

Kaspersky doet goed onderzoek (zie bijv hun Lazarus rapport (pdf), maar ze hebben ook eerder attributies gedaan op basis van mager bewijs. Het is verschrikkelijk lastig om met zekerheid te zeggen waar zoiets vandaan komt, zeker in de wereld van APTs. Maar dit soort unieke strings zijn wel significant in zulk onderzoek

Overigens heeft Endgame een interessante technische analyse van WanaCry gepubliceerd. Ook voor mensen die niet vloeiend assembly spreken is het te volgen

[Reactie gewijzigd door anargeek op 23 juli 2024 05:41]

Mrjraider @eltweako • 16 mei 2017 09:39

Zet je dan bijna aan het denken of dit niet een bewuste Wake-up call geweest is van iemand die vond dat de cybersecurity in pakweg heel de wereld ver onder de maat was? En dat de bitcoins en inkomsten een leuke "extra" is

Byron010 @Mrjraider • 16 mei 2017 10:12

Of gewoon een test voor de uiteindelijke versie

eerst kijken of de verspreidings methode effectief is en daarna de echte versie nog beter maken en los laten op de wereld.. oh well.

tom.cx @Byron010 • 16 mei 2017 11:26

Dat is inderdaad een zeer goede opmerking. De mening is hier nogal verschillend over maar ik zelf heb ook echt het vermoeden dat het om een test versie gaat en dat er een nog veel betere versie gaat uitkomen. Zonder kill-switch. Het was gewoon te makkelijk voor worden.

Wat ook kan is dat deze versie alleen als test was en per ongeluk is uitgelekt. Waarbij ze de killswitch hebben gemaakt om het snel te kunnen stoppen.

Stiekem hoop ik dat er een veel betere versie uit komt zodat de wereld even goed wakker geschud wordt nogmaals.

Ge Someone @Byron010 • 16 mei 2017 13:53

Maar door deze versie wordt iedereen er nu aan herinnerd om te gaan patchen (en back-ups te controleren). Als test is het nu op veel te grote schaal bekend.

monojack @Ge Someone • 16 mei 2017 15:23

Misschien weten ze een lek in de nieuwste versie en willen ze net dat iedereen patcht

stresstak @Byron010 • 16 mei 2017 16:01

Of gewoon een test voor de uiteindelijke versie en daarna de echte versie nog beter maken en los laten op de wereld.. oh well.

Van je fouten moet je leren en men weet nu enigszins hoe rap de verspreiding kan gaan en waar de tegenmaatregelen vandaan komen.

Fouten uit het verleden maken niet dat je het niet meer doet, maar dat je anders doet.

litebyte @Mrjraider • 16 mei 2017 10:13

Inderdaad. De vraag om bitcoins kan ook een afleiding zijn, gezien het relatief lage bedrag.

En als ik het goed gelezen heb krijg je je bestanden helemaal niet terug, feitelijk is het dus geen ransomware.

D-Day @litebyte • 16 mei 2017 11:58

In principe is betalen aan een boef gewoonweg dom (angst is een slechte raadgever).
Wie betaalt er nu een crimineel en verwacht een eerlijke deal? Niemand zal dat garanderen.

[Reactie gewijzigd door D-Day op 23 juli 2024 05:41]

bobberg @D-Day • 16 mei 2017 13:06

Er zijn varianten van ransomware waarbij "goede" service verleend wordt, puur omdat het betalingsgedrag stimuleert. Zo dom hoeft het dus niet te zijn als de kosten veel hoger zijn dan betalen.

D-Day @bobberg • 16 mei 2017 13:13

Dat zijn inderdaad slimme criminelen met een gevoel voor marktwerking. Maar juist dan is het nog minder slim om die te betalen. Dat zijn de ergsten, onkruid dat niet meer weg te krijgen is. Met betalen hou je die in stand.

Andyk125 @D-Day • 16 mei 2017 14:01

Ja en als iets een gevoelswaarde heeft of belangrijk is en het kost je enkel €10,- om dit weer terug te krijgen, en je hebt geen backup dan is de keuze toch snel gemaakt?

Natuurlijk betaald liever niemand, maar als je een slachtoffer bent en je wilt de bestanden echt terug dan kan ik mij goed voorstellen dat mensen toch betalen. Het is altijd makkelijk oordelen als je zelf niet in de situatie zit.

Daarnaast is het aan de politie of andere instanties om dit soort mensen op te sporen en achter tralies te krijgen. Vooral op internationaal gebied kunnen instanties veel beter samenwerken. Straffen behoren daarnaast ook heel hoog te zijn, zodat het direct een afschrik functie heeft. Hier in Nederland is het misschien niet erg om 20 jaar in de cel te zitten, maar in andere landen wil je dit absoluut niet.

D-Day @Andyk125 • 16 mei 2017 14:07

Natuurlijk snap ik de gevoelswaarde. Maar als je toegeeft aan dat gevoel, dupeer je de volgende honderden tot duizenden slachtoffers.

Heb zelf een keer ransomware gehad. Helaas, eigen fout, geen goede backup. Heb mijn verlies genomen. Die *** krijgen geen cent.
(Dan is het wel frustrerend dat een ander slachtoffertje ze wel betaald en ze volgende slachtoffers kunnen maken. We hoeven allemaal even vol te houden, en het is de wereld uit.)

trisje @Andyk125 • 16 mei 2017 15:48

Gelukkig denken de meeste mensen nog ik betaal niet, Maar er zijn altijd sukkels die hun portemonnee uit hun zak trekken. (als het zo belangrijk was die bestanden, Waarom heb je dan geen back-ups) Er zijn er tot nu toe maar 190 personen van de 200.000 die betaald hebben.

litebyte @D-Day • 16 mei 2017 14:42

Ik weet dat bedrijven hier (is ver buiten Nederland) vaak de afweging maken om te betalen. Reden zijn de financiele concequenties als ze het niet doen en uit schaamte/om het uit het nieuws te houden

Merendeel van de ransomware doet wat het beloofd.
Ik ben het volledig mee eens om niet te betalen, maar ik kan de afwegingen van bedrijven wel snappen.

stresstak @litebyte • 16 mei 2017 16:03

En als ik het goed gelezen heb krijg je je bestanden helemaal niet terug,

Het schijnt dat er per geval beken moet worden of je betaalde en dan verstrijkt de tijd voor andere slachtoffers. waardoor de losgeldeisen worden verhoogd en /of je helemaal nooit meer aan de beurt komt. Betaald of niet.

litebyte @stresstak • 16 mei 2017 16:10

Ik denk dat dit volledig ligt aan het soort ransomware. Om je enkele tientallen of honderden computers besmet, of enkele honderduizenden.

Een grote fotodrukkerij werd in de stad waar ik woon vorig jaar getroffen, die hebben binnen een uur betaald. Daar is qua details over het bedrag niets naar buiten gelekt. De bestel/orderafhandelingssoftware staat nu losgekoppeld van de server waar d e klantenservice software op draait.

stresstak @litebyte • 16 mei 2017 16:28

Ja, maar ik had het over nu.

Het schijnt dat er per geval beken moet worden of je betaalde

litebyte @stresstak • 16 mei 2017 16:34

Ah, sorry, dat had ik niet goed begrepen.

rjmno1 @eltweako • 16 mei 2017 17:19

ja klopt volgens mij moest je betalen voor dat omdat dan die bestanden versleuteld zouden worden.
Kon ook met bitcoins betaald worden.
Verder was het in Engelands ziekehuis het slachtoffer en qpark.
Stukje vernuft programmatuur met die jongens in elkaar gedraait hebben.

Terrible T 16 mei 2017 10:10

Vingerwijzen is begonnen na de tweet van Neel Mehta. Leuk om alle redenaties te volgen,
https://www.theregister.c...ft_stockpiling_flaws_too/

ook interessant is reactie van de 'lekkers' :

https://steemit.com/shado...y-comey-wanna-cry-edition

[Reactie gewijzigd door Terrible T op 23 juli 2024 05:41]

URSUS @Terrible T • 16 mei 2017 20:11

Die reactie van de 'lekkers' doet pijn bij het lezen.
Jemig.

Vetsmelter 16 mei 2017 08:16

Zoals ieder weldenkend mens weet is het bewijzen van de herkomst van computer hacks koffiedik kijken. Hoe professioneler de hackers, hoe duidelijk het spoor van herkomst zal leiden naar de politieke tegenstander van de dag.
Daarom zijn (toekomstige) oorlogsverklaringen gebaseerd op cyberattacks sowieso een false flag omdat de oorlogsverklaarder moedwillig aan bovenstaande zou voorbijgaan.

.oisyn Moderator Devschuur® @Vetsmelter • 16 mei 2017 08:54

Je hoort deze redenatie wel vaker hier, maar ik vind het wat kortzichtig. Als we het vergelijken met een brief, dan wordt al snel gedacht dat er wordt gezegd dat de brief van Piet afkomstig is, omdat hij nou eenmaal in de afzender staat, maar wat natuurlijk makkelijk te vervalsen is. In de werkelijkheid ligt het niet zo simpel, en hebben de onderzoekers een analyse gedaan van de gebruikte woorden en zinsopbouw, om het te kunnen koppelen aan een specifieke partij. En dat is al een stuk lastiger om te vervalsen.

Zo ook hier. Sporen kun je alleen wissen of vervalsen als je er bewust van bent, maar het is praktisch onmogelijk om van alle mogelijk sporen bewust te zijn. Hier en daar zullen fouten gemaakt worden, of er zijn dingen waar geen rekening mee wordt gehouden. Sporen laat je hoe dan ook achter, en het zoeken naar clous is altijd makkelijker dan het voorkomen ervan.

Natuurlijk moet je altijd kritisch kijken naar wat er wordt beweerd, maar gewoonweg stellen dat je het niet kunt weten omdat het te vervalsen is, is veel te kort door de bocht. Dat gezegd hebbende, de conclusie dat het door een staat gemaakt is, lijkt me wat ver gezocht, daar het idd gebruikelijk is om dergelijks methoden te gebruiken om een sandbox te detecteren. Aan de andere kant, waarom dan niet controleren op een willekeurige domeinnaam ipv een vaste? En waarom niet uitgaan van een moeilijk/praktisch onmogelijk te registreren TLD, zoals .kp? Als ze zo slim zijn om al hun sporen te wissen, waarom zijn ze dan zo dom om effectief een killswitch in te hebben ingebouwd? Iets klopt hier niet

[Reactie gewijzigd door .oisyn op 23 juli 2024 05:41]

koelpasta @.oisyn • 16 mei 2017 12:22

maar gewoonweg stellen dat je het niet kunt weten omdat het te vervalsen is, is veel te kort door de bocht.

En toch is dit waar.
Het is niet alleen te vervalsen, het is makkelijk te vervalsen.
Zeker in de VS is het makkelijk. Microsoft is VS. Microsoft maakt ook de veschillende cyrillische versie van windows. En in de VS wonen genoeg russen en russisch sprekende personen om zoiets waar te laten lijken.
Overigens zijn de beschuldigingen van deze aard meestal enorm vaag. 'Ja, er zit ergens wat cyrillisch, dus die computer moet vanuit rusland zijn gebruikt door de russen voor russische doeleinden!'... not.
Ik heb dit soort argumenten helaas wel in de werkelijkheid gezien bij securityfirmas (althans, in hun publieke uitingen). Bewijs is het mijns inziens dan nog niet.

Niet dat ik persee de VS impliceer, je kan in elk land wel aan een willekeurige windows komen of een willekeurige library meelinken ofzo.

Uiteindelijk denk ik dat de afkomst makkellijker te faken is dan correct te achterhalen.

Aan de andere kant, waarom dan niet controleren op een willekeurige domeinnaam ipv een vaste? En waarom niet uitgaan van een moeilijk/praktisch onmogelijk te registreren TLD, zoals .kp? Als ze zo slim zijn om al hun sporen te wissen, waarom zijn ze dan zo dom om effectief een killswitch in te hebben ingebouwd? Iets klopt hier niet .

Juist!

Er klopt wat mij betreft meestal niks aan de conclusies die aan dit soort onderzoek worden gehangen.
Sowiso is het een raar verhaal dat NK een ransomware aanval zou uitvoeren. Voor het geld hoeven ze het niet te doen en de werkelijke schade is vrij beperkt.

.oisyn Moderator Devschuur® @koelpasta • 16 mei 2017 12:45

Er klopt wat mij betreft meestal niks aan de conclusies die aan dit soort onderzoek worden gehangen.

Let wel, ik had het hier vooral over de conclusie van de beste stuurlui hier aan wal op tweakers. De stellingen "de hackers zijn slim genoeg om ál hun sporen te wissen" en "ze deden een domeincheck om een sandbox te kunnen detecteren" staan haaks op elkaar. Het tweede wijst er namelijk op dat ze eigenlijk dus helemaal niet zo slim zijn, om redenen die ik al heb gegeven.

koelpasta @.oisyn • 16 mei 2017 13:00

Ja, mee eens.
Maar je zit altijd met dat dilemma van oorsprong.
De 'slordigheid' kan juist bewust ingebouwt zijn om onderzoekers tot bepaalde conclusies te laten komen. Dat spel kan altijd twee kanten op gespeeld worden.
Ik zou mijn eigen sporen kunnen wissen en wat random sporen kunnen droppen om jou te impliceren.
Ik vind de conclusies (mogelijk uitvergroot door media) die getrokken worden door die securityfirma's enorm zwak in ieder geval.

Ik bedoel, Kaspesky impliceert hier NK. Voor een domme bitcoin ransomware. Dat klopt wat mij betreft al niet. Wat is de winst voor NK? Dit lijkt veel meer het werk van een individu of een kleine groep criminelen ofzo.
Ik begin ook langzaamaan te geloven dat als dit soort malware het werk is van securityresearchers die voor een baangarantie gaan. 'Zie je wel! De wereld is evil! You neeeeeeed us.'
Wat dat betreft hebben die heel veel motieven om dit soort code de wereld in te helpen. Ik denk ook meer motieven dan een NK dat zou hebben.

Aikon @.oisyn • 16 mei 2017 10:01

Op zich heb je gelijk en kan een overheid wellicht best de herkomst herleiden. Echter is er geen één overheid meer die echt betrouwbaar is en dus zal dien conclusie altijd in twijfel worden getrokken. Doorgaans is een overheid maar weinig transparant, en als ze dat toch pogen te zijn om betrouwbaar over te komen is het argument dat ze tóch niet alles openbaar hebben gemaakt snel gemaakt door een volgende overheid. En zo komt de burger nooit met zekerheid achter de waarheid...

Hetzelfde verhaal tegenwoordig met anti-virusbedrijven, Kaspersky zou aan Rusland gelinkt zijn bijv. Niemand die ooit met zekerheid gaat weten in hoeverre dat waar is maar het zaadje is geplant.

Overigens kan het virus ook 'ontsnapt' zijn natuurlijk, maar dan zou je denken dat de killswitch zsm wordt geactiveerd.

janbaarda @.oisyn • 16 mei 2017 10:14

Gelukkig weet je met zekerheid dat de Windows exploit van NSA (USA) is. In het geval van Noord-Korea (dat als achterlijk wordt verondersteld) is dat wel heel erg ironisch: vijand verstrekt handige code om zichzelf in de problemen te brengen ....

m3gA @janbaarda • 16 mei 2017 10:54

Noord-Korea wordt zeker niet als achterlijk gezien. Dat is een heel gevaarlijke constatering. Op hackgebied hebben ze sowieso een hele reputatie. Kijk maar naar de Sony hack van een tijd geleden.

itcouldbeanyone @m3gA • 16 mei 2017 12:33

Waarschijnlijk financieerd dit get nuclear programma

m3gA @itcouldbeanyone • 16 mei 2017 12:52

Dan moeten ze nog heel wat encrypten. Ze hebben volgens mij 70.000 dollar binnen.

Daniel_Elessar @Vetsmelter • 16 mei 2017 08:32

Maar zal er ook niet ergens een vergelijking gemaakt kunnen worden? Als een paar verschillende onderzoekers tot eenzelfde conclusie komen zal er toch een kern van waarheid in zitten.

Ik heb al vaker gelezen dat iedereen toch een beetje een eigen handtekening heeft ook bij het schrijven van code etc. Natuurlijk kun je dat faken. Maar is het niet ook iets waar men 'trots' op is en dus opzettelijk iets van een handtekening erin zet? Zoals bijvoorbeeld een serie moordenaar altijd hetzelfde soort mes gebruikt en op dezelfde wijze een moord pleegt.

Mensen willen altijd nog een soort van erkenning dus ik kan me indenken dat dat hier niet anders is.

Zoijar @Daniel_Elessar • 16 mei 2017 08:49

Code bevat inderdaad herkenbare patronen, maar vergeet niet dat er ook aardig wat gekopieerd wordt: de NSA vindt een exploit, kopieert die naar hun eigen portfolio, die code wordt weer gestolen, gekopieerd en aangepast, dan is het te verwachten dat er stukken dezelfde code inzitten.

Daniel_Elessar @Zoijar • 16 mei 2017 09:14

Zo had ik er nog niet helemaal over na gedacht. Tis nog vroeg

Maar ja wel logisch dat er van elkaar gekopieerd wordt

CivLord

@Daniel_Elessar • 16 mei 2017 08:53

Maar zal er ook niet ergens een vergelijking gemaakt kunnen worden? Als een paar verschillende onderzoekers tot eenzelfde conclusie komen zal er toch een kern van waarheid in zitten.

Dat gaat alleen op wanneer verschillende onderzoekers op verschillende gronden tot dezelfde conclusie komen. Wanneer tien verschillende onderzoekers concluderen dat één stukje code hetzelfde is, betekent dat alleen dat die code hetzelfde is.

Ik heb al vaker gelezen dat iedereen toch een beetje een eigen handtekening heeft ook bij het schrijven van code etc. Natuurlijk kun je dat faken. Maar is het niet ook iets waar men 'trots' op is en dus opzettelijk iets van een handtekening erin zet? Zoals bijvoorbeeld een serie moordenaar altijd hetzelfde soort mes gebruikt en op dezelfde wijze een moord pleegt.

Maar die 'handtekening' is alleen in een vroege versie van de mallware aanwezig en niet meer inde versie die afgelopen weekend actief was. Wanneer het een handtekening was zou je die zeker in je 'meesterwerk' willen zetten.
Waarschijnlijker is dat het een kwestie van plak-en-knip-werk was uit verschillende bronnen. en bleek de code die voor de eerdere versie 'geplakt' was minder goed dan de code die in de recente versie gebruikt werd.

Carino @Vetsmelter • 16 mei 2017 08:31

Dat valt best mee hoor... juist het herkennen van bepaalde patronen kan je op een spoort zetten. Bepaalde patronen zijn uniek voor bepaalde groepen mensen, wat uiteraard nog niet direct een hard bewijs levert, maar het geeft wel richtingen om te zoeken. Uiteraard kunnen patronen ook geforceerd toegevoegd worden, om zo wat 'smoke & mirrors' toe te voegen, maar er zitten meer digitale vingerafdrukken in code dan je zou denken...

[Reactie gewijzigd door Carino op 23 juli 2024 05:41]

CivLord

@Carino • 16 mei 2017 08:47

Of er wordt gewoon een stuk code gejat omdat dat gewoon doet wat je wilt. In dit geval dan niet helemaal wat je wilt, omdat het niet meer in de latere versie terug te vinden is.

xbeam @CivLord • 16 mei 2017 09:01

Dan moet je wel toegang hebben tot de mensen die beschikken over de source code. Een virus is niet altijd open source.

Verder wanneer de code compiled krijgt het uniek eigen schappen van jouw systeem mee.

koelpasta @Carino • 16 mei 2017 12:35

maar er zitten meer digitale vingerafdrukken in code dan je zou denken...

Volgens mij zijn die met een beetje moeite volledig na te maken.
Vergeet niet dat als een kasperski het kan vinden dat een slim iemand het er ook gewoon in kan stoppen.
Digitale sporen zijn nog steeds digitale data en dat is ongelovelijk makkelijk te manipuleren.

Stel de russen hebben dit geschreven, hoe moeilijk kan het zijn om het op een amerikaanse windows licentie te maken? Desnoods vanaf amerikaanse bodem, met westerse libraries?

Wat mij betreft zijn er 3 mogelijkheden.
a) Het is een 'hobbycrimineel' die inderdaad fouten maakt. Geen directe banden met overheden o.i.d.
b) Het zou door een overheid gemaakt kunnen zijn. Maar dan zouden ze of beter de herkomst verhullen of juist duidelijker maken dat het van hun afkomstig is.
c) Iemand probeert iemand anders te impliceren en de herkende patronen zijn bewust aangebracht.

Zoijar @Vetsmelter • 16 mei 2017 08:27

Precies. Een duidelijke sandbox detectie is zogenaamd ongewoon, en ipv occam's razor te gebruiken is het logischer dit te linken aan 7 regels identieke assembly code, toe te voegen dat meestal alleen een staat een killswitch gebruikt, te springen naar een eerdere variant en een groep met een mogelijke link naar noord korea, en de headline is geboren... noord korea valt ons aan! Angst! ...

hakariki @Zoijar • 16 mei 2017 09:36

Ik zou nog een extra kopje koffie pakken als ik jou was. Daarna dit zelf even proberen terug te lezen. Ik kan er geen touw aan vast knopen.

.oisyn Moderator Devschuur® @Zoijar • 16 mei 2017 10:53

Maar waarom zou je een sandboxdetectie baseren op een vaste domeinnaam die makkelijk te registreren is?

Mirved @Zoijar • 16 mei 2017 08:56

Ik heb 3 keer geprobeerd te lezen wat je probeert te zeggen maar een lange zin van 5 regels is voor mij niet te doen.

Videopac

@Vetsmelter • 16 mei 2017 09:20

Dit. De kans is groot dat is een false-flag / gespin is. De Amerikaanse regering heeft er veel baat bij als de aandacht afgeleidt wordt van de NSA die met het achterhouden van de tools, zelfs nadat ze gestolen waren, zich zeer laakbaar heeft opgesteld.

svennd @Vetsmelter • 16 mei 2017 09:29

Zoals bij alles : volg het geld. Dat is de enige zekerheid.

stresstak @Vetsmelter • 16 mei 2017 15:48

Daarom zijn (toekomstige) oorlogsverklaringen gebaseerd op cyberattacks sowieso een false flag

Vallen we ineens per abuis Vaticaanstad binnen..

Kraay89

16 mei 2017 09:16

Is er iemand die kan uitleggen hoe de overeenkomst te zien is tussen lazarus en WannaCrypt aan de informatie uit de tweet? Voor mij is het echt een betekenisloze brij cijfers en letters namelijk. Spijtig dat er in het artikel niet meer uitgelegd wordt over wat er nu eigenlijk te zien is. Enkel de zoveelste rehash van de afgelopen gebeurtenissen.

Batiatus @Kraay89 • 16 mei 2017 10:03

De broncode zoals AnonymousWP hieronder al zegt. Hier is meer uitleg:
https://securelist.com/bl...s-group-the-missing-link/

Anonymoussaurus

Security

@Kraay89 • 16 mei 2017 09:31

Is ook voor mij onduidelijk wat nou de overeenkomst is, maar ik denk dat het hier over de broncode gaat en dat ze zelfs geen klein stukje van de broncode mogen prijsgeven. Er wordt echter wel in het artikel genoemd (nogal globaal):

In het bericht verwijst hij naar overeenkomsten in de code van een vroege versie van de malware en die van een sample dat werd gebruikt door de Lazarus-groep.

koelpasta @Anonymoussaurus • 16 mei 2017 12:01

Broncode?
Hoe komen die onderzoekers aan broncode van deze malware?
Ze hebben het over 'code'. Ik neem aan dat ze daarmee de binary bedoelen en niet de sourcecode.

KiD_KRiool @Kraay89 • 16 mei 2017 10:02

ik vermoed maar dat is op basis van heel lang geleden met me spectrum om de file in te lezen met asci code en dan op zoek te gaan naar begrijpbaar tekst (deze kon je dan veranderen in een fun tekst voor in je spel) als daar ergen bijvoorbeeld "write by john jonssen afd. spy" dan kan je naar maten je meer overeenkomsten vindt er vanuit gaan dat het de zelfde bron is. en het zal je verbazen hoeveel slordige aanwijzingen er zijn die er niet uit gehaald worden door de boeven. het is officieel afkomstig van een officieel bedrijf met legetime personeel.

stresstak @KiD_KRiool • 16 mei 2017 16:07

ik vermoed maar dat is op basis van heel lang geleden met me spectrum om de file in te lezen met asci code en dan op zoek te gaan naar begrijpbaar tekst

Dat kan nog steeds.

Niet alleen met een ZX Spectrum.

NaliXL @Kraay89 • 16 mei 2017 10:06

Zo te zien zijn die lange codes hashes (waarschijnlijk SHA hash), en die korte adressen. Hoogst waarschijnlijk staan de adressen voor een locatie in de wanacrypt code waar naar gekeken wordt, en de hashes zijn waarschijnlijk hetzelfde als die van de Lazarus group code.

Mr777 16 mei 2017 09:12

Is er al bekend of de (weinige) mensen die de som betaald hebben effectief een sleutel hebben gekregen om hun bestanden te unlocken? Verwijdert de worm zich daarna vanzelf? Dit zou ik ook wel eens in actie willen zien.

Anonymoussaurus

Security

@Mr777 • 16 mei 2017 09:16

Volgens dit artikel krijg je je bestanden helemaal niet meer terug: http://www.nu.nl/tech/469...iet-terug-volgens-vs.html

Mr777 @Anonymoussaurus • 16 mei 2017 09:27

Bedankt voor de link. Die Bossert zegt wel dat ze hun bestanden niet terug krijgen, maar volgens F-Secure (link uit artikel) is dat juist wel het geval. Het blijft onduidelijk. Je zou toch denken dat bedrijven als Kaspersky wel even zo'n kleine betaling zouden verrichten, alleen om te zien wat er daarna met de worm gebeurt en hoe het proces wordt afgehandeld. Dat kan tenslotte ook nuttige informatie opleveren, en van $300 liggen ze bij zulke bedrijven toch niet echt wakker vermoed ik.

[Reactie gewijzigd door Mr777 op 23 juli 2024 05:41]

Anonymoussaurus

Security

@Mr777 • 16 mei 2017 10:30

Er staat niet dat iedereen z'n bestanden terugkrijgt. Er staat dan ook "We have confirmation that some of the 200+ #WannaCry victims who have paid the ransom have gotten their files back. Still, not recommended."

Lijkt mij ook inderdaad. Wellicht dat ze dit nu aan het onderzoeken zijn

Timoo.vanEsch @Anonymoussaurus • 16 mei 2017 09:40

Goed, NU.nl citeert het Witte Huis, nu niet bepaald een bron van betrouwbaar nieuws, heden ten dage:

Daar zijn in elk geval geen gevallen van bekend, maakte het Witte Huis maandag bekend.

Die "fout" maken ze bij Trump & Co. wel vaker: "ah, aber, wir haben es nicht gewusst!"

freburgje 16 mei 2017 08:18

Heb je de betreffende mail, er is namelijk nog steeds geen voorbeeld mail (het verspreid zich via bepaalde poorten, niet via mail)?

eltweako @freburgje • 16 mei 2017 09:13

Er zijn nog geen tekenen dat deze malware zich via mail verspreid heeft. Waarschijnlijk heeft de malware zich alleen via SMB poort 445 verspreid. Dit verklaard mogelijk ook de infectie van veel embedded systemen zoals informatieborden en parkeerautomaten. Deze apparaten hebben vaak een ingebouwde simkaart om verbinding te maken met het internet. Als het systeem van buiten uit op het adres van de simkaart bereikbaar is kan het systeem op deze manier eenvoudig geïnfecteerd raken.

Eenmaal binnen op het netwerk verspreid het zich eenvoudig naar andere (ongepatchte) computersystemen via de exploit.

[Reactie gewijzigd door eltweako op 23 juli 2024 05:41]

xbeam @eltweako • 16 mei 2017 09:29

Die lopen juist geen risco alle systemen met een simkaart zitten achter een media gateway (soort van nat ) en hebben allemaal het zelfde externe ip adres wadoor je er niet zomaar naar toe kan connecten (simkaarten kennen alleen maar uitgaand verkeer. ) dus besmetting via een poort is onmogelijk.

Mrjraider 16 mei 2017 08:50

Ben wel benieuwd of er nu ook wat aan gedaan kan worden? De Wannacry is regelmatig in het nieuws, gisteren nog op NOS maar er werd niet of nauwelijks gesproken dat er een "oplossing/fix" ligt.
Nu weet ik, uit de topique op GoT, dat een backup terug zetten vaak de enige remedie is maar zijn er toevallig ook al decryptietools hiervoor in ontwikkeling? Of ontwikkeld? Inmiddels is de malware wel door pathologen ontleed en moet duidelijk zijn hoe en wat? toch?

Anonymoussaurus

Security

@Mrjraider • 16 mei 2017 09:03

De malware moet eerst zorgvuldig onderzocht worden voordat kan worden vastgesteld hoe de malware werkt, en hoe de bestanden worden versleuteld. Hier zit veel tijd en werk in. Zodra dit gedaan is, kan er een decryptietool worden ontwikkeld, wat ook weer veel tijd en werk kost.

M.l. @Anonymoussaurus • 16 mei 2017 10:34

Soms is het niet mogelijk om een universele decryptietool te ontwikkelen.

Anonymoussaurus

Security

@M.l. • 16 mei 2017 10:36

Dat zeg ik toch ook niet? Daarom zijn ze het juist aan het uitzoeken, om te weten te komen of het kan.

M.l. @Anonymoussaurus • 16 mei 2017 10:42

Zodra dit gedaan is, kan er een decryptietool worden ontwikkeld, wat ook weer veel tijd en werk kost.

Je impliceert het.

Het ontsleutelen is waarschijnlijk gewoon mogelijk, maar dit doen zonder de sleutels te krijgen van de malware-ontwikkelaars is onwaarschijnlijk.

Anonymoussaurus

Security

@M.l. • 16 mei 2017 10:44

Daarom staat er ook in m'n zin "KAN"

SamTex @Mrjraider • 16 mei 2017 09:47

misschien kan je die hier vinden: http://niburu.co/index.ph...=20:het-complot&Itemid=33

M.l. 16 mei 2017 08:35

Het opvallende aan deze ransomware is dat het zoveel mogelijk schade doet. Eerst raak je je bestanden kwijt en als je betaalt krijg je alsnog niets.

SuperDre @M.l. • 16 mei 2017 10:57

Wie zegt dat je niets krijgt als je betaald?

M.l. @SuperDre • 16 mei 2017 11:18

Ik. Er kan moeilijk tot niet onderscheid worden gemaakt in wie er wel en niet betaald hebben, zodoende kan de malwaremaker ook niet de sleutels geven aan alleen de personen die hebben betaald.

Ik heb het idee dat het de intentie is van de malwaremaker om zo veel mogelijk schade aan te richten. Als het je doel is om dat te doen denk ik dat dit de 'beste' manier is.

mmjjb @M.l. • 16 mei 2017 11:56

Na betaling krijg je zeker wel de decryption sleutels. Tenzij je antivirus het hele programma heeft verwijderd van je pc.

Elke computer heeft een eigen decryptie sleutel, het is al jaren bekend dat tenzij het hele netwerk van de malware is offline gehaald, je gewoon de sleutels krijgt.

Ook is het bekend dat ze een hele support afdeling vaak op de email hebben en ook gewoon normaal reageren indien nodig.