Специалисты в области кибербезопасности американской компании Flashpoint предполагают, что создателями вируса-вымогателя WannaCry могут быть жители южных регионов Китая, Гонконга, Тайваня или Сингапура, сообщило издание South China Morning Post. По данным лингвокриминалистической экспертизы, программа была написана носителем южного диалекта китайского языка.
Как полагают эксперты, содержащаяся в тексте на экране опечатка свидетельствует, что надпись была сделана на китайском языке, а затем переведена в автоматизированном режиме на английский и других 26 языков мира. В одном из вариантов перевода на китайский язык появилось слово «libai» («неделя»), которое обычно используется в южных провинциях Китая.
Профессор китайского языка Университета Цзимэй заявил изданию, что наличие одного диалектного слова в тексте вряд ли может служить надежным доказательством, так как выражение libai используется и в северной части страны.
Ранее специалисты «Лаборатории Касперского» и Symnatec независимо друг от друга указали на сходства кода вируса с трояном, ранее распространявшимся хакерской группировкой Lazaruz. Ее, в свою очередь, неоднократно подозревали в связях с северокорейской разведкой.
Массированная хакерская атака началась в пятницу, 12 мая, в по меньшей мере 150 странах и, по подсчетам Европейского полицейского агентства, затронула деятельность более 200 тыс. человек и организаций, в том числе государственных ведомств. Хакеры использовали вирус-вымогатель WannaCry, который шифрует и блокирует данные и требует заплатить за восстановление от $300 до $600 в биткоинах. В противном случае вирус обещает удалить файлы в течение трех дней.
Кибератака на компьютеры в Европе и Азии вывела из строя работу целого ряда различных организаций. В Великобритании WannaCry поразил компьютеры около 40 больниц. В результате медучреждения оказались не в состоянии принимать пациентов, включая тех, кому требовалась экстренная помощь. Самое большое количество атак было зафиксировано в России, где под удар попали серверы Минздрава, Сбербанка, МВД, "МегаФона" и других организаций.
Из-за вируса вышли из строя серверы таких крупных компаний, как Renault, немецкая железнодорожная Deutche Bahn, испанская телекоммуникационная Telefonica.
Инцидент с Wanna Cryptor — это не первый случай, когда утечкой эксплойтов и утилит из арсенала спецслужб активно пользуются киберпреступники. С помощью еще одного из засвеченных Shadow Brokers инструментов АНБ - бэкдора DoublePulsar, предназначенного для внедрения и запуска вредоносных программ, - злоумышленникам удалось заразить более 47 тыс. компьютеров OC Windows в США, Великобритании, на Тайване. Эти взломанные компьютеры могут использоваться для распространения вредоносных программ, рассылки спама, проведения кибератак, шпионажа и т. д.
На атаке 200 тыс. рабочих станций в 150 странах хакеры пока что смогли заработать только $42 тыс. Если учесть, что за разблокировку файлов требовали $600, то тех, кто все-таки решил заплатить, оказалось меньше ста человек – по одному на страну.