Dat stelt een anonieme bron tegen de Washington Post, op basis van een intern rapport van de NSA. Verschillende bedrijven in de cybersecuritysector kwamen eerder tot dezelfde conclusie.
WannaCry verspreidde zich vorige maand razendsnel en vergrendelde enkele honderdduizenden computers. De gijzelsoftware kon door een beveiligingsonderzoeker worden uitgeschakeld voordat hij zich nog verder kon verspreiden.
De NSA zou nog niet 100 procent zeker zijn van de Noord-Koreaanse link, maar het meeste bewijs zou wel naar het land wijzen. Er werden onder meer overeenkomsten gevonden met ip-adressen die Noord-Koreaanse hackers eerder gebruikten. Ook het eerste slachtoffer waar de WannaCry-ransomware werd gevonden, een niet nader genoemde bank, zou op Noord-Korea wijzen.
Bitcoins
Mogelijk was de gijzelsoftware een poging voor het Noord-Koreaanse regime om geld te verdienen. Uiteindelijk werd ongeveer 125.000 euro aan bitcoins verdiend, maar uit openbare gegevens blijkt dat die bitcoins nog niet zijn omgezet in contanten.
Beveiligingsonderzoeker Jake Williams van Rendition Infosec zegt tegen de Washington Post dat online handelaars de buitgemaakte bitcoins niet willen wisselen. “Dit is als het bewust aannemen van biljetten die bij een bankroof zijn gestolen.”
Williams denkt dat de ransomware per ongeluk tijdens een test is ‘ontsnapt’ en daarom nog niet perfect werkte. Het was voor de aanvallers bijvoorbeeld onmogelijk om te zien welke slachtoffers hun losgeld hadden betaald.
Als Noord-Korea inderdaad achter de WannaCry-aanval zit, zou dat een van de meest opvallende Noord-Koreaanse hacks tot nu toe zijn. Eerder zat het land volgens beveiligingsonderzoekers onder meer achter een cyberaanval op Sony en een hack op verschillende banken, waaronder de centrale bank van Bangladesh. Daar werd 81 miljoen dollar buitgemaakt.