Фото: david.orban / Attribution License

Северокорейская кибергруппировка Lazarus, вероятно, является создателем вирус-вымогателя WannaCry, жертвами которого стали более 200 тысяч человек и организаций в 150 странах, сообщил главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

«Вы ведь помните еще наших северокорейских грабителей банков через SWIFT и ломателей Sony Pictures? Да, тех самых Lazarus, о которых мы так много (слышали) в последнее время. Детектив закручивается все сильней и теперь один и тот же код обнаружен в #WannaCry и в троянцах от Lazarus. <...> Боюсь что после такого — Северную Корею в Интернете мы больше не увидим», — написал Гостев на своей странице в Facebook.

Группировку Lazarus ранее эксперты обвинили в краже 81 миллиона долларов из ЦБ Бангладеш в феврале 2016 года, а также в кибератаке на кинокомпанию Sony Pictures Entertainment в 2014 году.

Гостев приложил к своей публикации скриншоты двух кодов — один, как утверждает Гостев, принадлежит WannaCry, другой — вирусам Lazarus, — часть которых совпадает друг с другом.

Хакеры из КНДР

Речь идет о массированной хакерской атаке, которая произошла в пятницу, 12 мая по меньшей мере в 150 странах и, по подсчетам Европейского полицейского агентства, затронула деятельность более 200 тысяч человек и организаций, в том числе и государственных ведомств, передает РБК.

Хакеры использовали вирус-вымогатель WannaCry: он устанавливает на компьютер баннер, который блокирует доступ к данным и требует заплатить за восстановление доступа к ним 300 долларов или 600 биткоинов. В противном случае вирус обещает удалить файлы в течение трех дней.

Издание The Times со ссылкой на данные платежей указало, что в результате глобальной кибератаки создатели вируса WannaCry получили в общей сложности 42 тысяч долларов.

Новый вирус затронул деятельность серверов российских силовых ведомств и телекоммуникационных компаний, среди которых оказались «МегаФон», «ВымпелКом», компьютеры МВД, Следственного комитета (в СК эту информацию опровергли), МЧС, Минздрава, РЖД, и ряда российских банков.

Ранее в «Лаборатории Касперского» пояснили, что атака происходила через «известную сетевую уязвимость Microsoft Security Bulletin MS17-010». После этого «на зараженную систему» устанавливался «руткит», используя который, злоумышленники «запускали программу-шифровальщик», отмечали в компании.