Après les dégâts laissés par WannaCry, les autorités et les experts en sécurité tentent de découvrir l’origine du logiciel de rançon. Bien qu’il n’y ait pas de preuves jusqu’à présent, certains signes indiquent que les logiciels malveillants ont de bonnes chances d’être liés à la Corée du Nord, mais aux mains des pirates du groupe Lazarus.
Le soupçon a été soulevé par un chercheur en sécurité de Google – à partir de ce tweet codé – et est défendu par des experts de sociétés comme Kaspersky et Symantec. Ces sociétés et d’autres ont analysé le code d’une version préliminaire de WannaCry et y ont trouvé des caractéristiques similaires au malware utilisé dans l’attaque subie par Sony Pictures fin 2014 ? une porte dérobée appelée Contopee.
À l’époque, il convient de rappeler que l’invasion a entraîné la fuite de données confidentielles de l’entreprise. Parmi eux figurent des courriels de cadres, des adresses de célébrités et des documents confidentiels. Les États-Unis estiment que les pirates du groupe Lazarus sont responsables. Ils ont des liens étroits avec la Corée du Nord.
Les enquêtes font également ressortir des similitudes avec l’attaque dont la Banque centrale du Bangladesh a été victime en 2016, qui a entraîné le détournement de 81 millions de euros) américains. La responsabilité de l’action a également été attribuée au groupe Lazarus, qui aurait également participé à des attaques mineures contre d’autres institutions financières.
Le lien entre WannaCry et le groupe Lazarus peut aider à clarifier plusieurs points qui ne sont pas encore clairs, par exemple, le fait que le logiciel de rançon possède une sorte de clé qui permet aux responsables de l’attaque d’arrêter la propagation. Ce type de contrôle est rare, mais il est plus fréquent dans les logiciels malveillants utilisés par les pirates informatiques liés à la Corée du Nord.
Un autre aspect qui pourrait être clarifié est l’incapacité de WannaCry à vérifier si les victimes ont payé une rançon avec bitcoin ? plus de 200.000 ordinateurs ont pu être touchés, mais les revenus estimés équivalent à seulement 170.000 environ. En reliant les points, une explication possible est que des régimes comme celui de la Corée du Nord, o, peuvent être plus soucieux de causer des désagréments – en particulier au gouvernement américain – que d’obtenir de l’argent.
Cependant, comme nous l’avons déjà dit, rien ne confirme l’implication du groupe Lazarus. Les responsables de WannaCry peuvent, par exemple, avoir mis en œuvre des codes de logiciels malveillants utilisés lors d’attaques précédentes dans l’intention de faire tomber les projecteurs précisément sur le groupe, trompant ainsi les chercheurs.
Cette possibilité est remise en question car les pistes menant au groupe Lazarus ont disparu des versions les plus récentes de WannaCry. Mais qu’est-ce qui garantit que ce n’est pas non plus un stratagème pour semer la confusion ?
Pour l’instant, la seule certitude est qu’il reste encore beaucoup de travail de recherche à faire.
