Alors que les entreprises sont encore en train de panser leurs plaies et de patcher leurs baies (de serveurs), les chercheurs en sécurité se sont d’ores et déjà lancé sur les pistes des auteurs. Qui se cache derrière cette terrible attaque de ransomware qui a infecté plus de 200.000 ordinateurs dans plus de 150 pays ?
Un indice technique semble pointer vers un acteur bien connu de la piraterie, à savoir le groupe Lazarus. Le chercheur en sécurité Neel Mehta a découvert un même morceau de code dans un malware spécifiquement utilisé par Lazarus et dans un exemplaire de WannaCry. Une analyse qui a été confirmée par les chercheurs de Kaspersky. Théoriquement, il pourrait s’agir là d’un leurre pour mettre les chercheurs sur une fausse piste, mais l’éditeur estime que c’est « improbable », car ce bout de code a bizarrement disparu dans les versions ultérieures.
Similitude between #WannaCry and Contopee from Lazarus Group ! thx @neelmehta – Is DPRK behind #WannaCry ? pic.twitter.com/uJ7TVeATC5
— Matt Suiche (@msuiche) May 15, 2017
Pour leur part, les chercheurs en sécurité d’Intezer ont trouvée des similitudes avec d’autres outils de piratage (Joanap, Brambul) qui ont été utilisés par des hackers supposés nord-coréens dans des attaques contre la Corée du sud.
Tout cela reste insuffisant pour désigner le Corée du Nord comme le responsable de l’attaque WannaCry. Le faisceau d’indices est encore trop léger. « Pour l’instant, il faut faire davantage de recherches au niveau des anciennes versions de WannaCry. Nous pensons que cela permettrait de révéler certains mystères sur cette attaque », souligne Kaspersky.
La gueule de l’emploi
En tous les cas, le groupe Lazarus aurait parfaitement le profil pour réaliser ce type d’attaque. Ces pirates étaient à l’origine du sabotage de Sony Pictures qui s’est déroulé fin 2014 et que le gouvernement américain a attribué au régime de Pyongyang.
Selon Kaspersky, Lazarus était également l’auteur des multiples pillages bancaires par faux ordres de virement en 2016. L’une des victimes était la banque centrale du Bangladesh qui a vu 81 millions de dollars partir en fumée.
Certains experts américains estimaient alors que ces opérations de pillage avaient pour objectif de remplir les caisses du programme d’armement nucléaires. L’opération de rançonnage allait peut-être dans le même sens, même si les sommes récoltées ne sont pas, pour l’instant, du même ordre de grandeur. Actuellement, elles s’élèvent à environ 60.000 euros. Pour créer une bombe atomique, c’est un peu léger.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
