WannaCry, NSA trova indizi sulla Corea del Nord

È trascorso un mese dall’attacco effettuato contro migliaia di computer in oltre 150 paesi, ma ancora non è stato scoperto il vero autore di WannaCry. In base ad un report della NSA, il ransomware è stato creato da un gruppo di cracker sponsorizzati dalla RGB, l’agenzia di spionaggio della Corea del Nord. Non è tuttavia possibile stabilire i veri colpevoli, a causa delle numerose modifiche apportate al codice.

Finora l’unica certezza è l’origine del malware. WannaCry è infatti basato su EternalBlue, un exploit scritto dalla National Security Agency e reso pubblico dal gruppo Shadow Brokers. Il ransomware sfrutta una vulnerabilità nel server SMB di Windows e blocca l’accesso ai file, chiedendo il pagamento di un riscatto. L’attacco ha avuto una risonanza mondiale soprattutto a causa della negligenza degli utenti, dato che Microsoft aveva rilasciato la patch nel mese di marzo, quindi due mesi prima della diffusione del malware.

I ricercatori dei Kaspersky Labs e Symantec avevano già individuato in diverse varianti di WannaCry gli stessi segmenti di codice attribuibili al Lazarus Group, un’azienda legata al governo nordcoreano. Dopo aver analizzato il ransomware, anche la NSA ha scoperto tracce (indirizzi IP) che portano all’agenzia di spionaggio RGB della Corea del Nord.

Il tentativo di ottenere profitti dalla diffusione del malware sembrano però miseramente falliti. A causa di un errore “operativo”, i pagamenti in Bitcoin possono essere facilmente tracciati, quindi nessuno convertirà la criptovaluta in soldi reali. In pratica è come tentare di utilizzare le banconote macchiate di inchiostro dopo una rapina in banca.