谷歌研究人員發現惡意攻擊和朝鮮有關聯

現在代碼中有了線索。

谷歌安全研究員尼爾·梅塔（Neel Mehta）發現證據表明，周末在150個國家感染了30萬臺機器的WannaCry勒索軟件與朝鮮的一個國家支持的黑客組織有關，該組織以對韓國組織的網絡攻擊而聞名。

發生了什么事？什么是WannaCry？

這是WannaCry勒索軟件攻擊浮出水面以來的第五天，該攻擊利用了一個關鍵的Windows SMB漏洞，仍然使用新發布的沒有任何“殺死開關”功能的變體感染世界各地的計算機。

如果你第一次登上WannaCry story，不知道發生了什么，建議你也閱讀以下簡單、總結但詳細的解釋。

WannaCry：到目前為止發生了什么；如何保護你的電腦

WannaCry：第一民族國家提供的勒索軟件？

Neel發現WannaCry惡意軟件中的代碼；第一次出現在2月，與2015年初版本的中使用的代碼相同坎托皮，一個由Lazarus集團開發的惡意后門，據信是一個國家資助的黑客組織，與朝鮮政府有關聯。

來自卡巴斯基實驗室、Intezer、Symantec和Comae Technologies的安全研究人員立即跟進了Neel的提示，并確認WannaCry與其他惡意軟件家族之間存在密切聯系，包括Lazarus、Joanap和Brambul，這表明WannaCry是由同一作者編寫或修改的。

Lazarus黑客集團至少自2011年開始運營，據信，該集團對2013年的暗箱操作、2014年毀滅性的索尼影業黑客攻擊以及2016年孟加拉國8100萬美元的銀行盜竊案負有責任。

然而，這一發現還不足以將Lazarus集團與WannaCry聯系起來，因為WannaCry的作者可能故意從Lazarus的后門程序復制代碼，試圖在調查過程中誤導研究人員和執法人員。

“我們相信有足夠的聯系需要進一步調查。隨著研究的展開，我們將繼續分享我們研究的進一步細節，”近年來追蹤拉扎勒斯的安全公司賽門鐵克說。

Comaeio的Matt Suiche也同意這一點，他說：“從拉扎勒斯集團的說法來看，將其歸為拉扎勒斯集團是有道理的。過去，他們的說法主要是為了偷錢而滲透金融機構。如果得到驗證，這意味著WannaCry的最新版本實際上將是第一個由國家驅動的勒索軟件”。

惡意攻擊結束了嗎？

絕對不是，這只是開始。

安全研究人員發現了這種勒索軟件的一些新變種，它們無法被kill開關阻止，因此建議您確保已應用SMB漏洞修補程序并禁用SMBv1協議，以確保Windows計算機免受WannaCry和其他類似攻擊。

WannaCry攻擊者要求支付300至600美元的贖金，以釋放被劫持的數據。與#WannaCry勒索軟件相關的三個比特幣錢包已收到勒索軟件受害者支付的225筆款項，共計35.98003282 BTC（約合6萬美元）。