Volgens een uitgelekt rapport van de Amerikaanse inlichtingendienst NSA zou Noord-Korea hoogstwaarschijnlijk achter de wereldwijde ransomware-aanval zitten van vorige maand.

Het inmiddels beruchte programma Wannacry werd ingezet om geld in te zamelen en zo de kas van het regime te spekken, aldus de NSA. Saillant detail is echter wel, dat de exploit, die gebruikt werd door Wannacry om via een SMB-lek toegang te krijgen tot de computers van potentiele slachtoffers afkomstig was uit de bestanden van de NSA zelf.

Volgens het rapport werd er bij de aanval gebruik gemaakt van verschillende Chinese IP-adressen, die al bekend stonden bij de NSA als adressen in gebruik genomen door de Noord-Koreaanse overheid. Waarschijnlijk zou de regering een groep aanvallers vanuit China ingehuurd hebben om de aanval te bewerkstelligen.

Verder is ook bekend dat de uiteindelijke buit op zo’n 115.000 euro in Bitcoins was blijven steken. Dat geld kon echter zeer eenvoudig gevolgd worden, omdat de ransomware maar enkele Bitcoin-opslagpunten gebruikte. Normaal gesproken maakt een ransomware voor elk slachtoffer een aparte ‘portemonnee’ aan. Het geld is daarom ook nog niet opgenomen door de daders.

Sluitend bewijs heeft de Amerikaanse inlichtingendienst nog niet, maar in het verleden wezen meerdere onderzoeksbureaus al richting Noord-Korea als de waarschijnlijke dader van de ransomware-aanval met Wannacry.