De daders van de WannaCry-cyberaanval twee weken geleden spraken wellicht Chinees. Voor de 28 talen waarin de ransomware was opgesteld, vertrouwden de ontwikkelaars grotendeels op Google Translate. Enkel het Chinees blijkt door native speakers te zijn geschreven.

De Wannacry-aanval brak uit op vrijdagmiddag 12 mei. In een mum van tijd werden 300.000 pc’s in meer dan 150 landen besmet met een computerworm met zogenaamde ransomware of gijzelsoftware. Die worm versleutelt bestanden op de computer en eist vervolgens 300 tot 600 dollar losgeld om de pc opnieuw te kunnen gebruiken. Niet alleen particulieren werden door de aanval getroffen, ook ziekenhuizen en bedrijven hadden er sterk onder te lijden.

Meteen na de aanval werd de jacht op de daders geopend. Een eerste spoor leek in de richting van Noord-Korea te leiden, nadat gebleken was dat de code opvallende gelijkenissen vertoonde met de werkwijze van de Lazarus Group, een hackersorganisatie die gelinkt wordt aan het Noord-Koreaanse regime.

Een nieuwe analyse van de 28 talen waarin de gijzelsoftware was opgesteld, laat echter vermoeden dat de WannaCry-aanval uit China kwam of dat er alleszins Chinezen betrokken waren. Het internetbeveiligingsbedrijf Flashpoint viste uit dat de makers voor het gros van de talen beroep deden op Google Translate. Slechts drie versies blijken geschreven door echte mensen: de Engelse versie en de twee Chinese versies (simplified en traditioneel).

In de Engelse versie, die gebruikt werd als bron voor de overige Google Translate vertalingen, staat een opvallende grammaticale fout, waardoor de onderzoekers van Flashpoint ervan uitgaan dat de auteur van de Engelse versie het Engels niet als moedertaal heeft of slecht is opgeleid.

De twee Chinese versies daarentegen zijn langer dan de andere talen, hebben meer inhoud slaan ook een andere toon aan. Volgens de Flashpoint-onderzoekers is het meest plausibele scenario dan ook dat deze Chinese versie de originele was en daarna in het Engels werd vertaald.

Wie dan precies achter de WannaCry-aanval zit is voorlopig wel nog altijd onduidelijk. Een eerdere analyse door het computerbeveiligingsbedrijf Digital Shadows leidde tot de conclusie dat de aanval niet echt gesofisticeerd was en de auteurs dus hoogstwaarschijnlijk gezocht moeten worden in het milieu van de cybercriminelen die uit zijn op geld, eerder dan dat de aanval georkestreerd zou zijn door een buitenlandse inlichtingendienst.