Các nhà nghiên cứu của Hãng tình báo Mỹ Flashpoint đã bác bỏ các báo cáo rằng tin tặc Bắc Triều Tiên đang đứng sau cuộc tấn công ransomware (phần mềm tống tiền, phần mềm độc hại) sau khi tìm thấy bằng chứng với các bản ghi chú đã được dịch từ một ngôn ngữ khác sang tiếng Hàn.

Nghiên cứu của các chuyên gia cho thấy những người nói tiếng Hoa trôi chảy có thể đã tạo ra cuộc tấn công mã độc WannaCry, tấn công hàng trăm nghìn máy tính tại các tổ chức lớn như Tổ chức Y tế của Anh (NHS), Nissan và Telefonica...

Các nhà nghiên cứu của Flashpoint hoàn toàn chắc chắn rằng các ghi chú yêu cầu tiền chuộc lại dữ liệu từ vụ WannaCry bằng tiếng Trung Quốc khá thành thạo. Ngôn ngữ này hòan toàn phù hợp với các vùng địa lý như Trung Quốc, Hồng Kông, Đài Loan hay Singapore.

Các nhà nghiên cứu đã phân tích 28 biến thể ngôn ngữ của các thông điệp về tiền chuộc xuất hiện trên các máy tính bị khoá bởi WannaCry, yêu cầu thanh toán 300 USD (6,9 triệu đồng). Họ cũng đã phát hiện những ghi chú đòi tiền chuộc bằng tiếng Trung và tiếng Anh được viết ra bởi một người duy nhất, trong khi các ghi chú bằng tiếng Hàn lại mắc khá nhiều lỗi chính tả và dấu chấm câu, cho thấy nó được dịch bằng công cụ máy móc từ tiếng Anh. Cụ thể, phân tích tiết lộ rằng gần như tất cả các ghi chú về khoản tiền chuộc đã được dịch bằng Google Translate (công cụ dịch của Google) và chỉ có phiên bản tiếng Anh và các phiên bản Trung Quốc có thể được viết bởi một con người thay vì dịch máy.

Những ghi chú bằng tiếng Trung Quốc dường như đã được viết bởi một người nói tiếng địa phương, điều này có thể có nghĩa là thủ phạm có nguồn gốc Trung Quốc. Bên cạnh đó, hai đoạn ghi chú đòi tiền chuộc bằng tiếng Trung khác biệt đáng kể cả về nội dung, hình thức và sắc thái so với các ghi chú bằng ngôn ngữ khác. Thậm chí có những nội dung bằng tiếng Trung không có trong bất cứ bản ghi chú nào khác. Sự thuần thục về ngôn ngữ được tìm thấy trong bản ghi chú đòi tiền bằng tiếng Trung so với các bản khác cho thấy tác giả đã khá thoải mái sử dụng ngôn ngữ để viết ra văn bản đầu tiên.

Bản đồ lây nhiễm mã độc WannaCry.

Những thông tin trên xuất hiện sau khi các nghiên cứu riêng lẻ kết nối cuộc tấn công với các tin tặc Bắc Triều Tiên gọi là Nhóm Lazarus. Nhóm chuyên gia đã kết nối với nhà nước Bắc Triều Tiên, được cho là đứng đằng vụ tấn công vào công ty Sony Pictures Entertainment vào năm 2014 và vụ tấn công ngân hàng trung ương Bangladesh có liên quan tới việc đánh cắp 81 triệu USD.

Ghi chú về vụ WannaCry bằng tiếng Anh, không giống như tiếng Trung, vì chứa đựng một lỗi ngữ pháp lớn mà các nhà nghiên cứu chỉ ra cho thấy thủ phạm không phải là người bản xứ. Các phân tích cho thấy các thông điệp bằng các ngôn ngữ khác đã được dịch từ văn bản tiếng Anh.

Flashpoint cũng so sánh ghi chú WannaCry với những ghi chú được sử dụng trong các chương trình ransomware trước đó nhưng không tìm thấy bất kỳ liên kết quan trọng nào.

WannaCry là một cuộc tấn công mạng với mục đích tống tiền có quy mô lớn chưa từng có đã ảnh hưởng tới một loạt các quốc gia khắp thế giới, với khoảng hơn 200.000 máy tính bị lây nhiễm. Mã độc này có tên gọi là WannaCrypt, được cho là phát tán từ ngày 14/4 bởi nhóm có tên Shadow Brokers.