Lazarus Verbindung
Update: Link zur Lazarus-Hackergruppe verhärtet sich
WannaCry Ransomware-Angriffe zeigen nachweislich Links zur Lazarus-Gruppe
Ähnlichkeiten in Code und Infrastruktur zeigen eine enge Verbindung zu der Gruppe, die mit Sony Pictures und dem Bangladesch Banken Angriffen in Verbindung gebracht wurden.
Sowohl Werkzeuge, als auch Infrastruktur, die in den WannaCry-Ransomware-Attacken verwendet wurden, zeigen enge Verbindungen zu Lazarus, der Gruppe, die für die zerstörerischen Angriffe auf Sony Pictures und den Diebstahl von US $ 81 Millionen von der Bangladesch-Zentralbank verantwortlich war, auf.
Vor dem weltweiten Ausbruch am 12. Mai wurde eine frühere Version von WannaCry (Ransom.Wannacry) in einer kleinen Anzahl von gezielten Angriffen im Februar, März und April verwendet. Diese frühere Version war fast identisch mit der Version, die im Mai 2017 verwendet wurde, mit dem einzigen Unterschied, der Methode der Ausbreitung. Die Analyse dieser frühen WannaCry-Angriffe durch das Security Response-Team von Symantec zeigte erhebliche Gemeinsamkeiten in den Instrumenten, Techniken und Infrastrukturen, die von den Angreifern verwendet wurden, und denen, die in früheren Lazarus-Attacken gesehen wurden. Dies erhöht die Wahrscheinlichkeit, dass Lazarus hinter der Ausbreitung von WannaCry stand.
Trotz der Links zu Lazarus tragen die WannaCry-Angriffe nicht die Kennzeichen einer zuvor vermuteten Nationalstaaten-Kampagne , sondern sind eher typisch für eine Cybercrime-Kampagne. Diese früheren Versionen von WannaCry verwendeten gestohlene Anmeldeinformationen, anstatt das aufgeflogene EternalBlue-Exploit auszunutzen, um sich über infizierte Netzwerke zu verbreiten.
Zusammenfassung der Gemeinsamkeiten
- Nach dem ersten WannaCry-Angriff im Februar wurden drei Malware-Fragmente, die mit Lazarus verbunden waren, im Netzwerk des Opfers entdeckt: Trojan.Volgmer und zwei Varianten von Backdoor.Destover, ein verwendetes Tool zur Festplattenlöschung bei den Sony Pictures-Attacken.
- Trojan.Alphanc ist eine modifizierte Version von Backdoor.Duuzer, die zur Verbreitung der WannaCry Angriffe im März und April und zuvor durch Lazarus verwendet wurde.
- Trojan.Bravonc verwendete die gleichen IP-Adressen für C&C wie Backdoor.Duuzer und Backdoor.Destover – beide führen zu Lazarus.
- Backdoor.Bravonc hat ähnliche Code-Verschleierung wie WannaCry und Infostealer.Fakepude (Hinweis auf Lazarus).
- Shared Code zwischen WannaCry und Backdoor.Contopee (Hinweis auf Lazarus).
Hier geht’s zur sehr ausführlichen Analyse von Symantec über die die gemeinsamen Verbindungen zwischen WannaCry und Lazarus.
written by Herbert Wieler