WannaCry 랜섬웨어의 배후는 북한인가;;

 

반달가면 이글루에서 백업 - http://bahndal.egloos.com/598361 (2017.5.16)

원문기사는 여기로. 카스퍼스키랩의 해킹 관련 정보 웹사이트 SecureList의 기사다.

대략의 내용은 이렇다.

최근에 악명을 떨치고 있는 WannaCry(또는 WannaCrypt) 랜섬웨어를 분석해 보니, 이 랜섬웨어의 초기 버전 표본에서 북한의 해킹 조직인 일명 라자루스(Lazarus) 그룹의 악성코드 표본과의 유사성이 발견되었다고 한다; 라자루스는 우리나라에 대한 DDoS 공격, 소니 픽처스 해킹, 방글라데시 중앙은행 해킹 등 화려한(?) 악행 이력을 자랑하는 조직이라고 한다.

카스퍼스키랩의 분석팀에 따르면 WannaCry 랜섬웨어의 초기 버전이 2017년 2월에 발견되었는데, 2015년 2월에 발견된 라자루스 그룹의 APT 코드와 상당히 유사하다. 이번에 문제가 된 2017년 5월 버전의 WannaCry에서는 이 부분에 제거되어 있으며 암호화 대상 파일 확장자 목록이 추가 및 변경되었다. 이러한 정황으로 볼 때 2017년 5월 버전의 WannaCry를 컴파일한 자는 2017년 2월 버전의 WannaCry 제작자와 동일인이거나, 또는 해당 소스코드에 접근할 수 있는 자로 추정된다.

정리하자면,

이번에 문제가 된 2017년 5월 버전 WannaCry 랜섬웨어를 만든 녀석들이 2017년 2월 버전을 만든 녀석들과 동일하거나 또는 소스코드를 공유하고 있다. 즉, 한통속이다.

그런데, 2017년 2월 버전에는 북한 해킹 조직에서 사용하는 코드가 포함되어 있다.

자, 그러면 이번에 나온 랜섬웨어는 누가 만든 것일까? 아직 100% 확신할 수는 없을 지 모르나 북한 해커일 가능성이 꽤 있어 보인다. 하긴, 방글라데시 중앙은행도 털었다는데 랜섬웨어를 열심히 퍼뜨리고 있는 정도는 그냥 애교라고 해 줘야 되나-_-;;

랜섬웨어에 대한 일반적인 예방책은 이전 게시물을 참고하자. 여기(동작 방식과 차단), 그리고 여기로(백업).