Wannacry esquisitices confundir os pesquisadores de segurança cibernéticos ITWeb postal bitcoin

A imagem mostra um malware WannaCry ransomware demand.The WannaCry que se espalhou para mais de 100 países em poucas horas é a vomitar várias surpresas para os pesquisadores de segurança cibernética, incluindo como ele ganhou a sua posição inicial, como se espalhou tão rápido e por que os hackers estão não fazendo muito dinheiro com isso.

Alguns pesquisadores descobriram evidências dizem poderia ligar a Coreia do Norte com o ataque, mas outros são mais cautelosos, dizendo que o primeiro passo é lançar luz sobre até mesmo as perguntas mais básicas sobre o próprio malware.

Por um lado, disse o IBM Security Caleb Barlow, os pesquisadores ainda não tem certeza exatamente como a propagação de malware em primeiro lugar bitcoin endereço de pagamento. A maioria das empresas de segurança cibernética culparam phishing e-mails – e-mails contendo anexos maliciosos ou links para arquivos – que baixar o ransomware.


"Uma vez que uma vítima dentro de uma rede está infectado ele se propaga," com sede em Boston Barlow disse em uma entrevista por telefone, que descreve uma vulnerabilidade no Microsoft Windows que permite que o worm para passar de um computador para outro.

A NSA usou a falha Microsoft para construir uma ferramenta de hacking codinome EternalBlue que acabaram nas mãos de um misterioso grupo chamado de Corretores de sombra, que, em seguida, publicados isso e outras ferramentas online.

Saber como infecta de malware e spreads é a chave para ser capaz de parar os ataques existentes e antecipar novos. "Como diabos isso ficar lá, e isso poderia ser usado repetidamente outra vez?" disse Barlow.

Algumas empresas de segurança cibernética, no entanto, dizem ter encontrado algumas amostras de phishing e-mails bitcoin kurssi. FireEye disse que era os clientes cientes tinha usado seus relatórios para identificar com sucesso alguns associados com o ataque.

Mas a empresa concorda com o malware dependem menos da phishing e-mails de outros ataques como gastar bitcoins. Depois de um certo número de infecções foi estabelecido, ele foi capaz de usar a vulnerabilidade Microsoft para propagar sem a sua ajuda.

Havia apenas três carteiras Bitcoin ea campanha até agora ganhou apenas US $ 50 000 ou assim, apesar das infecções generalizadas comprar bitcoins localmente. Barlow disse pagamentos únicos em alguns outros casos ransomware eram mais do que isso, dependendo da vítima.

Jonathan Levin de Chainalysis, que monitora os pagamentos Bitcoin, disse que havia outras diferenças em comparação com a maioria das campanhas de ransomware: por exemplo, a falta de métodos sofisticados usados ​​em casos anteriores para convencer as vítimas a pagar Como faço para comprar bitcoin. No passado, este incluiu linhas quentes em várias línguas.

E até agora, Levin disse, o Bitcoin que tinha sido pago em carteiras dos atacantes permaneceram lá – em comparação com outra campanha, conhecido como Locky, que fez US $ 15 milhões, enquanto esvaziar regularmente as carteiras Bitcoin.

Um pesquisador sênior da Coréia do Sul Hauri Labs, Simon Choi, disse na terça-feira o estado recluso tinha sido desenvolvimento e programas de testes de ransomware única desde agosto de livre gerador de bitcoin 2017. Em um caso, os hackers exigiu Bitcoin em troca de informações sobre o cliente que tinha roubado de um sul-coreano shopping center.

Choi, que fez uma extensa pesquisa sobre as capacidades de invasão da Coréia do Norte, disse que suas descobertas combinava as de Symantec e Kaspersky Lab, que dizem algum código em uma versão anterior do software WannaCry também havia aparecido em programas utilizados pelo Lazarus, identificado por alguns pesquisadores como uma operação de cortar Coreia do Norte prazo.

Os hackers Lázaro têm, no entanto, foi mais de bronze em sua busca de ganho financeiro do que outros, e têm sido responsabilizados pelo roubo de US $ 81 milhões do Banco Central de Bangladesh, de acordo com algumas empresas de segurança cibernética bitcoin opções binárias. Os EUA acusados ​​de estar por trás de um ataque cibernético em Sony Pictures em 2014.

Quem for encontrado para estar por trás do ataque, disse Marin Ivezic, um parceiro de segurança cibernética da PwC em Hong Kong, a maneira como os hackers usado livremente ferramentas disponíveis de forma eficaz pode ser o que faz com que esta campanha mais preocupante.

Ao juntar uma ferramenta de criação dos arquivos da NSA vazaram com a sua própria ransomware, "eles alcançaram uma melhor distribuição do que qualquer coisa que eles poderiam ter conseguido de forma tradicional", ele disse.

"EternalBlue [a ferramenta de hacking] já demonstrou o ROI [retorno sobre o investimento] do tipo certo de minhoca e isso vai se tornar o foco da pesquisa para os criminosos cibernéticos," disse Ivezic.