As ferramentas e infraestrutura usadas nos ataques do ransomware WannaCry têm forte ligação com o Lazarus, grupo responsável pelos ataques destrutivos na Sony Pictures e roubo de US$ 81 milhões do Banco Central de Bangladesh.

Antes do surto global em 12 de maio, uma versão anterior do WannaCry (Ransom.Wannacry) foi usada em um pequeno número de ataques direcionados em fevereiro, março e abril. A análise dessa investida inicial pela Equipe de Investigação de Ataques da Symantec revelou semelhanças substanciais entre as ferramentas, técnicas e infraestrutura usadas pelo esse grupo de cibercriminosos e aquelas vistas em ataques anteriores do Lazarus, indicando uma alta probabilidade de que o Lazarus tenha sido responsável pela disseminação do WannaCry.

Apesar das ligações com o Lazarus, os ataques WannaCry não têm as características de uma campanha liderada por uma nação, porém, são características comuns em campanhas de cibercrime. Essas versões anteriores do WannaCry usavam credenciais roubadas para se espalhar por redes infectadas, invés de utilizar o exploit Eternal Blue, responsável pela rápida proliferação do WannaCry pelo mundo a partir de 12 de maio.

Algumas evidências

  • Após o primeiro ataque do WannaCry em fevereiro, três instâncias de malware ligadas ao Lazarus foram descobertas na rede da vítima: Trojan.Volgmer e duas variantes de Backdoor.Destover, a ferramenta que apaga o conteúdo de discos usada nos ataques da Sony Pictures.
  • Trojan.Alphanc, que foi usado para distribuir o WannaCry nos ataques de março e abril, é uma versão modificada do Backdoor.Duuzer, que já foi ligado ao Lazarus.
  • Trojan.Bravonc usou para comando e controle os mesmos endereços de IP do Backdoor.Duuzer e Backdoor.Destover, que foram relacionados ao Lazarus.
  • Backdoor.Bravonc tem ofuscação de código semelhante ao WannaCry e Infostealer.Fakepude (que foi ligado ao Lazarus).
  • Há código compartilhado entre WannaCry e Backdoor.Contopee, que tem ligação anterior com o Lazarus.

Ataque em fevereiro

A primeira evidência do uso do WannaCry identifica pela Symantec ocorreu em 10 de fevereiro de 2017, quando uma única organização foi comprometida. Após dois minutos da infecção inicial, mais de 100 computadores na organização foram contaminados.

Os ciberatacantes deixaram várias ferramentas na rede da vítima que forneceram provas substanciais sobre a distribuição do WannaCry. Dois arquivos, mks.exe e hptasks.exe, foram encontrados em um computador afetado. O arquivo mks.exe é uma variante do Mimikatz (Hacktool.Mimikatz), uma ferramenta de dumping de senha que é amplamente utilizada em ataques direcionados. O segundo arquivo, hptasks.exe, foi usado, então, para copiar e executar WannaCry em outros computadores da rede usando as senhas roubadas pelo mks.exe.

A propagação do WannaCry pelo hptasks.exe foi um processo de duas etapas. Na primeira, quando executado, o hptasks pode receber uma lista de alvos com seus endereços IP como um argumento. Ao receber este comando, hptasks lê as credenciais roubadas anteriormente de um arquivo chamado cg.wry e as usa para conectar-se a cada computador no intervalo de endereços IP. Todas as tentativas de conexão são registradas no arquivo log.dat. Se uma conexão bem-sucedida ocorrer em um computador remoto e não houver arquivo com extensão .res nas pastas Admin $ ou C$\\Windows, o hptasks.exe copiará os arquivos para o computador remoto.

Depois do hptasks.exe executar WannaCry no computador remoto, a segunda etapa começa. Hptasks pode passar vários argumentos para a instalação do WannaCry no computador remoto, incluindo um novo conjunto de endereços IP. Se o WannaCry é executado com esses endereços IP como argumentos, ele não criptografa os arquivos no computador local. Em vez disso, ele se conecta aos endereços IP informados, acessa o compartilhamento Admin$ e C$ nesses computadores usando as credenciais incluídas na seção de recursos em um arquivo chamado c.wry e, em seguida, criptografa remotamente esses arquivos.

Além do hptasks.exe e mks.exe, cinco outras instâncias de malware foram descobertas em um segundo computador na rede da vítima. Três dessas ferramentas estão ligadas ao Lazarus. Duas eram variantes do Destover (Backdoor.Destover), uma ferramenta usada nos ataques da Sony Pictures. A terceira era o Trojan.Volgmer, um malware que já foi usado pelo Grupo Lazarus em ataques contra alvos sul-coreanos.

Ataques em março e abril

A partir de 27 de março, pelo menos cinco organizações foram infectadas com uma nova amostra de WannaCry. Não parece haver um padrão para estabelecer os alvos, com uma abrangência de organizações com diferentes setores e localizações. Esses ataques revelaram mais evidências de ligações entre os responsáveis pelo WannaCry e o Grupo Lazarus.

Dois backdoors diferentes foram usados ​​para implantar o WannaCry nesses ataques: Trojan.Alphanc e Trojan.Bravonc. Alphanc foi usado para inserir o WannaCry em computadores pertencentes a pelo menos duas das vítimas conhecidas, com uma versão levemente modificada do malware implantada em cada vítima.

Alphanc compartilha uma quantidade significativa de código com Backdoor.Duuzer, uma subfamília da ferramenta Destover usada nos ataques contra a Sony e que apaga o conteúdo de discos. Na verdade, os investigadores da Symantec acreditam que Alphanc é uma evolução do Duuzer. O Duuzer também foi ligado anteriormente às atividades do Backdoor.Joanap e Trojan.Volgmer, sendo que ambos possuem ligações anteriores com o Lazarus.

A Symantec conseguiu estabelecer um cronograma detalhado das atividades do Alphanc em um dos sistemas da vítima, desde o momento de sua entrada até a implantação do WannaCry.

Ataques em maio: WannaCry em escala global

Em 12 de maio, foi lançada uma nova versão do WannaCry, que incorporou o exploit “EternalBlue”, que usava duas vulnerabilidades conhecidas no Windows (CVE-2017-0144 e CVE-2017-0145) para distribuir o ransomware em computadores sem patches de correção na rede da vítima e também em outros computadores vulneráveis ​​conectados à Internet.

A incorporação do EternalBlue transformou o WannaCry de uma ameaça perigosa que só poderia ser usada para um número limitado de ataques direcionados em uma das instâncias mais virulentas de malware vistas nos últimos anos. Ele causou uma interrupção generalizada, tanto em organizações infectadas quanto em organizações forçadas a colocar seus computadores em modo offline para atualizações de software. A descoberta e acionamento de um kill switch pelo blog de segurança MalwareTech parou sua propagação e limitou os danos.

As versões anteriores do WannaCry e a usada nos ataques de 12 de maio são basicamente as mesmas, com algumas pequenas mudanças, principalmente a incorporação do exploit EternalBlue. As senhas usadas para criptografar os arquivos compactados, incorporadas no instalador do WannaCry são semelhantes em ambas as versões (“wcry@123”, “wcry@2016”, and “WNcry@2ol7”), indicando que o autor das duas versões provavelmente é o mesmo grupo.

O pequeno número de carteiras Bitcoin usadas pela primeira versão do WannaCry e sua propagação limitada, indica que esta não era uma ferramenta compartilhada entre grupos de cibercrime. Isso fornece ainda mais evidências que ambas as versões do WannaCry foram operadas por um único grupo.

Ligações do WannaCry ao Lazarus

Além das semelhanças nas ferramentas usadas para espalhar o WannaCry, há também um número de ligações entre o próprio WannaCry e o Grupo Lazarus. O ransomware compartilha parte do código com Backdoor.Contopee, malware que possui ligação anterior ao Lazarus. Uma variante do Contopee usa uma implementação SSL customizada, com um cipher suite idêntico, também usado pelo WannaCry. O cipher suite em ambas as amostras tem o mesmo conjunto de 75 ciphers diferentes para escolha (ao contrário do OpenSSL, onde há mais de 300).

Além disso, o WannaCry usa ofuscação de código semelhante ao Infostealer.Fakepude, malware que já foi ligado ao Lazarus; e Trojan.Alphanc, malware que foi usado para distribuir o WannaCry nos ataques de março e abril e que possui ligação anterior ao Lazarus.

Vazamento acidental transformou WannaCry em ameaça global

A descoberta de um pequeno número de ataques anteriores do WannaCry forneceu evidências convincentes de sua ligação ao grupo Lazarus. Estes ataques anteriores envolveram o uso significativo de ferramentas, código e infraestruturas anteriormente associadas ao grupo Lazarus, enquanto os meios de propagação através de backdoors e credenciais roubadas são consistentes com ataques do Lazarus. O vazamento do exploit EternalBlue foi o que permitiu ao grupo de ataque transformar WannaCry em uma ameaça muito mais potente do que seria se eles ainda dependessem de suas próprias ferramentas, uma vez que lhes permitiu passar por muitas das etapas que tinham que executar anteriormente, eliminando tanto a necessidade de roubar credenciais quanto copiar o ransomware de computador para computador.

WannaCry e Lazarus compartilharam infraestrutura de rede

Foi observado uma série de convergências nos servidores C&C usados nas campanhas WannaCry e outras ferramentas conhecidas do Lazarus. Durante os ataques contra a Sony, por exemplo, uma família de malware chamada Backdoor.Destover foi implantada. Variantes posteriores do Backdoor.Destover foram observadas usando o endereço IP 87.101.243.252 para comando e controle. A amostra identificada do Trojan.Bravonc instalando o WannaCry também conecta a este endereço IP. Outras infraestruturas de rede também foram compartilhadas.