Britská centrála pro kybernetickou bezpečnost vychází při své analýze z „širšího souboru zdrojů“ než soukromé bezpečnostní společnosti, které dospěly ke stejnému závěru již koncem května, uvedla BBC. NCSC ale nechtěla důkazy o podílu skupiny Lazarus specifikovat. Centrála míní, že tvůrci kampaně nebyli motivováni finančním ziskem. Je pravděpodobné, že šlo spíše o určitý test. Dosavadní důkazy o spojitosti mezi severokorejskou skupinou hackerů a ransomware WannaCry byly nepřímé.

Ransomware WannaCry napadl od 12. května stovky tisíc zařízení ve 150 zemích světa. Škodlivý kód využil zranitelnosti systému Windows SMB a speciálního programu americké agentury na kybernetickou ochranu NSA.

„Jakmile je zařízení infikováno, EternalRock je může kdykoli zneužít, bez ohledu na pozdější instalaci bezpečnostních záplat,“ konstatuje Stampar. Červ infikuje počítače pomocí šesti unikátních nástrojů NSA: EternalBlue (ten využíval ke svému šíření ransomware WannaCry), EternalChampion, EternalRomance, EternalSynergy, SMBTouch a ArchiTouch. Sedmý nástroj, DoublePulsar, používá pro šíření na nová zařízení a zůstává na infikovaných strojích jako jakýsi „implantát“. Jde o otevřený nástroj, takže jiní hackeři jej mohou využít jako zadní vrátka pro infikování počítače dalšími druhy malware.

EternalRocks je podle Miroslava Stampara zákeřný i v tom, že po infikování zařízení na 24 hodin přestane vyvíjet jakoukoli činnost a teprve poté se spojí se vzdáleným řídícím serverem. Díky tomu se dokáže vyhnout bezpečnostním analytikům. Rovněž neobsahuje doménu, jejímž prostřednictvím bylo možné dočasně vypnout předchozí typ ransomware WannaCry. Ten kromě zmíněného nástroje EternalBlue využíval ke svému šíření také DoublePulsar.