Empresa de segurança descobre ligação entre o ransomware WannaCry e o Sul da China
Talvez nunca saibamos quem foram os perpetradores do ataque com ransomware WannaCry. Sabemos que eles utilizaram uma brecha que era parte de exploits roubados da NSA (Agência de Segurança Nacional dos Estados Unidos). Sabemos que os exploits foram vazados por um grupo chamado The Shadow Brokers. E que o governo norte-americano está apontando o dedo para a Coreia do Norte. Agora, uma nova pesquisa conduzida pela empresa de segurança Flashpoint indica que há uma conexão do ataque com o Sul da China.
• Apenas 0,1% das vítimas do ransomware WannaCry pagou o resgate dos dados
• Como o ransomware WannaCry avançou no final de semana após o ataque
Em uma publicação recente de blog, a Flashpoint delineou sua análise linguística dos pedidos de resgate que foram enviados às vítimas do WannaCry. Cada pedido basicamente dizia a mesma coisa: a vítima deveria transferir uma certa quantidade de bitcoins para uma conta ou seus dados seriam permanentemente perdidos. Mas esse foi um ataque global, que afetou cerca de 100 países. Então o recado foi distribuído em 28 línguas.
Pesquisadores da Flashpoint estudaram os recados e descobriram que, quem quer que fossem os autores, eles eram provavelmente “falantes nativos chineses ou pelo menos fluentes”. Os pesquisadores apuraram que, dos 28 diferentes recados, apenas a versão em inglês e as duas versões em chinês (simplificado e tradicional) pareciam ter sido escritas por um humano. Todas as outras mensagens pareciam ter sido traduzidas do recado em inglês, usando o Google Tradutor.
O pedido de resgate em inglês é quase perfeito, exceto pelo que a Flashpoint chama de “um erro gramatical evidente”, que sugere que “o falante não é nativo ou talvez tenha um nível pouco avançado”. A publicação da empresa de segurança não aponta qual foi o erro gramatical. Observando a mensagem, há alguns erros, mas um se destaca: “Mas você não tem tanto tempo bastante”.
De acordo com a Flashpoint, os recados em chinês continham, em suas duas versões, mais informação e eram diferentes de todos os outros em conteúdo, formato e tom. Da publicação:
Um erro de digitação no recado, “帮组” (bang zu) em vez de “帮助” (bang zhu) querendo dizer “ajuda”, indica fortemente que a mensagem foi escrita usando um sistema de entrada de idioma chinês em vez de ser traduzido de uma outra versão para o chinês. Em geral, o recado usa gramática correta, pontuação, sintaxe e escolha de caracteres, indicando que o redator era provavelmente nativo ou pelo menos fluente.
O Google Tradutor não lida muito bem com a tradução chinês-inglês ou inglês-chinês.
Tudo isso levou a Flashpoint a cuidadosamente concluir que “o(s) autor(es) das mensagens de ransomware do WannaCry é (são) fluente(s) em chinês, considerando que a linguagem usada é consistente com aquela do Sul da China, de Hong Kong, Taiwan ou Singapura”.
Mas isso não nos revela muito sobre os hackers. Certamente, isso não significa que eles estão localizados na China — hackers podem trabalhar de qualquer lugar. E eles são conhecidos por deliberadamente usar incorretamente um idioma para enredar esse tipo de análise. Ao mesmo tempo, os hackers do WannaCry cometeram uns erros notavelmente amadores, incluindo um que tornou simples um breve desligamento da propagação do ransomware, e eles não usaram um sistema automatizado para garantir que um resgate tivesse sido pago.
Toda essa informação apenas acrescenta volume à intriga em torno do WannaCry. Pesquisas anteriores apontaram para o possível envolvimento do Lazarus Group, que acredita-se ser bancado pela Coreia do Norte. E o governo norte-americano ontem mesmo mostrou gostar dessa teoria. O diretor de pesquisa na Ásia e no Pacífico da Flashpoint, Jon Condra, disse ao ThreatPost: “A relação entre Coreia do Norte e China, especialmente nos campos de inteligência, é provavelmente muito mais complicada do que o que se diz amplamente”. Ele conta que isso apenas acrescenta outro ponto a essa ideia, em vez de contradizer as conclusões de outras empresas de segurança.
[Flashpoint via The Hacker News]
Imagem do topo: Gizmodo