Wannacry uma análise de hipóteses concorrentes – Mascate bitcoins buy diários on-line

Quem foi responsável pela campanha WannaCry? E qual era o objetivo? Ransomware sugeriu que era o trabalho de cibercriminosos, embora, dada a enorme escala de infecções e perturbação, alguns comentaristas suspeita da mão de um Estado-nação bitcoin Índia wiki. Apesar análise implacável da comunidade de pesquisa de segurança que trouxe fragmentos de novas informações à tona, há consenso ainda não foi atingido em uma atribuição para a campanha.

Uma das teorias mais recentes apresentadas repousa sobre uma possível conexão entre WannaCry eo Grupo Lazarus, um ator que foi previamente ligado com várias intrusões de rede de alto perfil e considerada como altamente provável que tenha alguma associação com a República Popular Democrática da Coreia (Coreia do Norte).


Análise indicou que as amostras WannaCry de fevereiro 2017 continha uma pequena seção do código idênticos aos utilizados em campanhas Lázaro anteriores bitcoin requisitos de mineração. No momento da escrita, no entanto, avaliamos que haja provas suficientes para corroborar esta afirmação de atribuição a este grupo, e hipóteses alternativas devem ser consideradas ouro bitcoin. Enquanto o malware pode inicialmente ser desenvolvida e utilizada por um único ator, isso não significa que ele irá permanentemente permanecer exclusivo para que o ator bitcoin corte gerador. amostras de malware pode ser acidentalmente ou intencionalmente vazada, roubados, vendidos ou usados ​​em operações independentes por membros individuais de um grupo sites de compras bitcoin. Por conseguinte, é importante ter em conta outros factores, tais como a consistência de uma operação com actividade anterior atribuída a um actor.

Sombras digitais tem, portanto, aplicada a Análise de competir Hipótese técnica (ACH) para a informação actualmente disponível através de fontes bitcoin opções de negociação. ACH usa um algoritmo de inconsistência ponderada para atribuir valores numéricos – ponderada pela confiabilidade avaliada e relevância de cada ponto de dados – para representar como consistente a evidência disponível é com uma dada hipótese piscina bitcoin. Embora o objetivo aqui não era fornecer uma atribuição conclusiva para a campanha WannaCry, esta técnica analítica estruturado nos permite avaliar a confiabilidade e relevância dos dados apresentados até agora, bem como fazer algumas avaliações preliminares sobre o tipo de ator mais provável ter sido por trás dos ataques da semana passada o login bitcoin locais. Como tal, nós comparamos quatro hipóteses para efeitos do presente exercício bitcoin backup. Que a campanha foi o trabalho de:

Usando uma mistura de relato primário e secundário, bem como avaliações de analistas Sombras Digitais, incluímos uma coleção de pontos de dados mais salientes que surgiram no momento da escrita. Bem como o uso amplamente discutido do conta-gotas DOUBLEPULSAR backdoor, ETERNALBLUE explorar e vulnerabilidade SMB, este último para a propagação, incluímos várias outras peças de evidências para conduzir nossa avaliação. Estes são apresentados na tabela de ACH abaixo, embora alguns dos pontos mais importantes incluem:

Chamado ‘-switch matar’, provavelmente uma característica anti-sandboxing – MalwareTech, que descobriu o domínio não registrado, agora acredita que este foi provavelmente incluída como uma medida anti-análise mal-pensado.

Baixo número de Bitcoin carteiras resultado de um erro não intencional – Symantec têm relatado que a criação de apenas três carteiras Bitcoin para as vítimas de transferir o pagamento em foi o resultado de um bug no código do malware, referido como uma condição de corrida.

Nenhuma evidência de que o malware foi entregue via e-mails phishing – IBM X-Force, por exemplo, digitalizados mais de um bilhão de e-mails que passam por seus honeypots e não encontrou nenhuma evidência sugerindo spam / phishing foi o vetor de infecção inicial.

ligações não confirmadas para o Grupo Lázaro e campanhas norte-coreanos – Alguns pesquisadores afirmam agora que WannaCry continha pedaços de código previamente associados com o Grupo de Lázaro, bem como duas variantes de malware (chamado Joanap e Brambul) usado em ataques contra organizações sul-coreanas. Esta ligação, no entanto, foi avaliada a basear-se principalmente na ordenação de cifras e bibliotecas públicas utilizadas pelo Grupo Lázaro, e inconclusivos no momento da escrita.

Apesar de nenhuma maneira definitiva, avaliamos que uma campanha WannaCry lançado por um ator cibercriminoso sofisticado era o cenário mais plausível com base nas informações que está atualmente disponível. Embora houvesse vários pontos de dados que foram consistentes com esta avaliação, alguns se destacam:

Essas inconsistências não são erros que normalmente associamos com uma operação cibercriminoso sofisticado. O Carbanak (AKA Anunak) organizado grupo criminoso, em comparação, são conhecidos por conduzir, e operações eficientes lucrativos altamente segmentados que dependem da utilização estratégica dos ataques de engenharia social e intrusões de rede que mais se assemelham as táticas usadas pela Advanced Threat persistente (APT grupos).

Se os ataques tinham como objetivo de desacreditar a NSA (H4), então por que a falta de uma narrativa media apoiar dirigindo esta casa mensagem? Em 2016 ataques contra a eleição presidencial dos EUA, por exemplo, intrusões de rede contra o Partido Democrata e vazamentos de dados subseqüentes foram acompanhados por posts e comentários da mídia crítica de Hillary Clinton. Foram este seja uma campanha de estado-nação a intenção de causar o rompimento (H3), também seria de esperar para ver algum nível de especificação do alvo ao lado de objetivos de campanha claros.

Durante suas campanhas destrutivas anteriores, o Grupo Lázaro, por exemplo, geralmente têm exibido um nível consistente de segmentação geográfica – principalmente contra organizações na Coreia do Sul e do bitcoin US sinal carteira no. indústrias específicas, como as empresas de mídia, instituições financeiras e de infra-estrutura nacional crítica têm sido os principais alvos de ataque, mas no caso de WannaCry, infecções foram amplamente distribuídas em todo o mundo, e o malware apareceu para espalhar praticamente indiscriminadamente sem controlo por seus operadores. Teve os atacantes usaram um vector phishing, que teria sido capaz de limitar a capacidade do de malwares para espalhar fora de uma rede e em vez utilizado Spear phishing e-mails para direcionar organizações selecionadas.

É inteiramente possível que a nova informação virá à luz no futuro que suporta ainda, ou mesmo desacredita, algumas das hipóteses propostas neste exercício. Enquanto atribuição pode ser emocionante e cumprir o nosso desejo insaciável de colocar um rosto ao crime, talvez o que é mais importante neste caso é analisar que lições podemos aprender com a campanha WannaCry?

(Para isso, aconselham verificar o recente blog da equipe de engenharia Digital Sombras de Segurança, que destaca cinco princípios fundamentais e amplamente utilizados de segurança que são reutilizáveis ​​em todos os diferentes tipos de agressores, seja Estado-nação ou mesquinho cibercriminoso)