Amateurs of toch Noord-Korea? Jacht op makers WannaCry in volle gang
© AFP

Amateurs of toch Noord-Korea? Jacht op makers WannaCry in volle gang

De rookwolken zijn voor een groot deel opgetrokken en de opluchting overheerst, maar ondertussen is de jacht op de makers van WannaCry in volle gang. Volgens beveiligingsbedrijf Kaspersky is Noord-Korea de meest waarschijnlijke bron. Of waren het toch 'scriptkiddies'?

Onderzoekers over de hele wereld proberen te achterhalen waar WannaCry vandaan komt. Beveiligingsbedrijven Kaspersky en Symantec denken het te weten: uit Noord-Korea. Onderdelen van de code die in WannaCry is gebruikt zijn namelijk afkomstig uit software die eerder door de Noord-Koreaanse hackersgroep Lazarus werd geschreven. Creatief hergebruik dus.

De Lazarus Group is in ieder geval vanaf 2009 actief en geniet bekendheid vanwege een aantal in het oog springende acties, zoals het cyberspioneren van de Zuid-Koreaanse regering. Ook is de groep gelinkt aan de hack in 2014 van Sony Pictures. Het recentste wapenfeit was de inbraak bij de Bangladesh Bank, waarbij 81 miljoen dollar (73 miljoen euro) werd buitgemaakt.

'Significante connectie'

En nu dus wellicht WannaCry. Maar hoe sterk is deze aanwijzing nu? Maakt niet iedere hackersgroep creatief gebruik van andermans code? Martijn van Lom, directeur van Kaspersky Benelux, benadrukt dat er 'echt een significante connectie' met Lazarus is. 'Inderdaad wordt er veel code gerecycled, maar dan vooral bínnen bepaalde groepen.' Van Lom zegt wel dat er nog veel extra onderzoek nodig is. Bedrijven als Kaspersky, McAfee, Sophos en Symantec doen allemaal hun eigen onderzoek, maar volgens Van Lom worden verschillende puzzelstukjes onderling ook gedeeld. 'Dat is ook hard nodig. Anders verlies je het.'

Amateurisme

WannaCry laat een dubbel gezicht zien. Aan de ene kant lijkt de actie volgens Van Lom 'enorm goed voorbereid' gezien de massale verspreiding. Maar tegelijk hebben de makers ook een aantal onbegrijpelijke fouten gemaakt. Waarom bijvoorbeeld die knullige kill switch waardoor de verspreiding zaterdag tijdelijk kon worden stopgezet? En waarom werd WannaCry vrijdagmiddag en -avond verspreid en niet op maandagochtend? 'Op maandagochtend was de impact veel en veel groter geweest', zegt Van Lom. De criminelen achter WannaCry hebben nu ongeveer 50- à 60.000 dollar buitgemaakt met hun losgeldsoftware. Gezien de massale verspreiding is dat kruimelwerk. 'Vanuit de aanvallers gezien een totaal gemiste kans', aldus Van Lom.

Technologiemagazine Wired noemt de uitvoering van WannaCry zelfs je reinste amateurisme. Niet alleen vanwege de eenvoudig te vinden kill switch, maar ook omdat redelijk makkelijk is bij te houden hoeveel de aanvallers verdienen. Tot slot hebben de criminelen hun 'after sales' niet goed op orde. In plaats van één bitcoinadres aan ieder slachtoffer te koppelen, stopten de WannaCry-verspreiders een paar generieke bitcoinadressen in hun code. Het gevolg is dat de computers van slachtoffers die losgeld betalen handmatig moeten worden ontgrendeld. En nog erger: met die paar vaste adressen is de anonimiteit minder makkelijk vast te houden.

Bitcoins

Craig Williams, onderzoekers van Cisco, is tegenover Wired dan ook niet onder de indruk van de capaciteiten van de cybercriminelen. 'Het ziet er natuurlijk allemaal hartstikke indrukwekkend uit, omdat je denkt dat het wel superprogrammeurs moeten zijn die het NSA-gat in een virus weten te verwerken. Maar die statische bitcoinadressen tonen wel hun beperkte denkkracht aan.' Ook Williams noemt de buit kinderspel in vergelijking met de bedragen die verspreiders van ransomware normaliter verdienen.

Toch denkt Albert Kramer, onderzoeker bij Trend Micro, net als Van Lom niet dat WannaCry het werk van scriptkiddies is. 'Daarvoor zit het toch te slim in elkaar. Het was bijvoorbeeld de eerste ransomware die zichzelf over een netwerk kon verspreiden. Dat hadden we nog niet eerder gezien.' En tegelijk dus die blunders, waarover ook Kramer zich verbaast. Dat laat ruimte voor nog een theorie: het was een vingeroefening, een test voor iets groters. Kramer: 'Het kan een mooie manier geweest zijn om in het wild te kijken hoe de software zich gedraagt. De aanvallers kunnen van hun fouten leren, zodat de impact bij een nieuwe variant des te groter is.'

Lees meer over WannaCry

Dit is de vrouw die waakt over onze digitale veiligheid

Als er iemand in Nederland is die over de nationale digitale veiligheid waakt, is het Patricia Zorko, directeur Cybersecurity. Er is werk aan de winkel: de Nederlandse overheid zit vol met goede bedoelingen, maar geeft domweg veel te weinig geld uit aan cyberveiligheid: 'WannaCry laat zien dat investeringen nodig blijven.' (+)

Zeven vragen over WannaCry

Nog nooit verspreidde ransomware zich zo snel over de wereld als WannaCry. Wat maakt WannaCry zo bijzonder? En wat kunt u ertegen doen? Zeven vragen over WannaCry.