O vírus WannaCry pode ter tido origem na Coreia do Norte, defendem alguns especialistas. Duas empresas de cibersegurança alegam que encontraram provas técnicas de que o ataque foi levado a cabo pelo grupo norte-coreano conhecido como “Lazarus”.

As duas empresas, Kaspersky e Symantec, informaram, esta segunda-feira, que alguns pormenores técnicos que foram detetados numa versão inicial do código do vírus WannaCry são semelhantes ao código usado, em 2015, por hackers ligados à Coreia do Norte. Os piratas informáticos terão estado também implicados no ataque à Sony Pictures e são conhecidos por usarem a Bitcoin nas suas ameaças.

Esta terça-feira, também um perito em cibersegurança sul-coreano afirmou que existem mais provas circunstanciais de que a Coreia do Norte pode estar por detrás do ciberataque mundial.

O especialista explica que a forma como o vírus fez os computadores reféns é semelhante a outros ataques que já foram atribuídos à Coreia do Norte.

Simon Choi, director da companhia de anti-virus Hauri Inc., analisa vírus norte-coreanos desde 2008 e diz que a Coreia do Norte não é principiante no mundo das Bitcoins e tem “minado” a moeda digital utilizando programas maliciosos desde 2013.

As semelhanças foram inicialmente detetadas pelo analista de segurança da Google, Neal Mehta, e acabaram por ser ecoadas por outros investigadores, incluindo Matthieu Suiche, da UAE-based Comae Technologies.

Apesar das semelhanças detetadas, o facto de existir código informático partilhado não quer sempre dizer que se trata do mesmo grupo de piratas informáticos. Um grupo distinto pode simplesmente ter reutilizado o código de 2015 numa tentativa de confundir a origem do ataque.  No entanto, o facto das informações terem sido mais tarde retiradas enfraquece esta teoria, de acordo com a empresa russa Kaspersky.

“Nós acreditamos que é importante que outros investigadores de todo o mundo procurem estas semelhanças e tentem descobrir mais factos sobre a origem de WannaCry”, disse a empresa no post colocado no blog.

A Kaspersky é uma das empresas de segurança que tem estudado há vários anos o cibergang norte-coreano e em abril publicou um relatório detalhado sobre o modus operandi dos hackers.  

“Este nível de sofisticação é algo que normalmente não é encontrado no mundo do cibercrime. É algo que requer uma organização rígida e controlo de todas as fases da operação”, defendem.

A empresa adianta que também encontrou ataques com moradas de IP com origem na Coreia do Norte.

O vírus já atacou mais de 200 mil computadores, em 150 países, mas apesar de todas as suspeitas e de algumas provas circunstanciais não há ainda provas evidentes do envolvimento do país de Kim Jong-Un.

As autoridades tentam agora seguir a pista do dinheiro, mas até agora os suspeitos ainda não tocaram em nenhuma das três contas identificadas.