Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

Nominerad till
Publishingpriset 2017

En smartare it-nyhetssajt

Nominerad till
Publishingpriset 2017

Så attackerade WannaCry världen

På ett par dagar infekterade WannaCry hundratusentals datorer över hela världen. Nu befarar säkerhetsexperter fler vågor av viruset.

Text Miguel Guerrero Foto Adobe Stock 15 maj 2017 säkerhet

Opatchade system och stora, oskyddade attackytor. Det var två anledningar till att WannaCry skulle kunna spridas och en bli en av de största globala it-attackerna någonsin, och den allra största på ransomware-fronten. Bara ett par dagar efter att attacken började den 12 maj hade hundratusentals datorer smittats vilket orsakade störningar på bland annat på sjukhus i Storbritannien, en telefonoperatör i Spanien och ryska banker. I Sverige har bland annat Sandvik drabbats.

– Egentligen är det här en gammal sårbarhet som funnits ute flera månader. NSA har vetat om den länge och Microsoft släppte en patch redan den 14 mars för att stänga hålet i Windows XP och Windows 2003 vilket är anmärkningsvärt eftersom de operativsystemen inte längre stöds. Nu har man släppt ytterligare en patch vilket visar hur allvarligt det här är, säger Mikko Verlinna, säkerhetsexpert på Atea.

Mask och ransomware

WannaCry består av två olika delar: en ransomware-del som infekterar och krypterar systemen, och en maskliknande bärare som står för spridningen. När masken träffar ett oskyddat nätverk börjar den propagera (sprida) sig. Ransomware-biten infekterar och krypterar sedan alla filer och kräver 300 dollar för att låsa upp dem, en siffra som höjs till 600 dollar efter tre dagar.

– Ett problem har varit nätverk där klienter kunnat prata med klienter, något de egentligen inte behöver. Om man designat sitt nätverk rätt med brandväggar och kontroll över hur nätverket kommunicerar internt och externt skulle WannaCry inte kunnat sprida sig på det här sättet, säger Mikko Verlinna.

Attacken kunde saktas ner när en säkerhetskonsult upptäckte en referens till en oregistrerad domän i koden. När han registrerade domänen i syfte att kunna logga hur många smittade maskiner som försökte koppla upp sig stängdes WannaCry av. Anropet till den oregistrerade domänen fungerande som en killswitch för ransomwaret.

Avstängd killswitch

Snart kom dock en ny variant som refererade till en annan domän som också den registrerades och trafiken omdirigerades till ett så kallat slukhål där infektionen kunde stoppas. Nu cirkulerar flera nya versioner där den här möjligheten till killswitch slagits av.

– Man måste patcha sina system, se till att man har ett bra och uppdaterat skydd och minska attackytan. Det är väl det positiva med den här attacken, att man tvingas se över sitt system. En sak som inte kunnat beläggas än är hur den initiala attacken börjat; om det var via ett hack eller ett phishingmejl, men det kommer säkert att visa sig längre fram.

CERT-SE avråder från att betala lösensumman då det bidrar till att finansiera vidareutveckling av skadlig kod, samt att det inte finns garantier för informationen blir upplåst.

Cert.se , MSB

För den som redan har blivit drabbad finns två alternativ: att blåsa sitt system och återställa det från sina backuper eller att betala. Cert.se, MSB:s incidentenhet för it-säkerhet, skriver på sin hemsida att man inte rekommenderar någon att betala eftersom det inte finns några garantier att man verkligen får tillbaka sin data, och det rådet står Mikko Verlinna bakom.

Tre bitcoinplånböcker har kopplats till utpressningen och totalt har drygt ett hundratal organisationer valt att betala vilket ger en totalsumma på runt 36 000 dollar i skrivande stund.

– Det har varit en otrolig uppslutning bland säkerhetsföretagen att jobba tillsammans med det här, och många har offrat hela helgen på att försöka hitta lösningar och analysera attacken. Ingen tjänar på att hålla en lösning för sig själv eftersom det drabbar hela samhället. Vid det här laget är koden välkänd och har spridits till alla säkerhetsföretag.

Myndigheter kände till sårbarheten

Microsofts juridiska chef Brad Smith har på företagets hemsida skrivit ett långt blogginlägg om att det här är resultatet av myndigheters försök att hitta och utnyttja sårbarheter för egen vinning utan att rapportera säkerhetshålen.

– Man förstår att till exempel NSA vill sitta på den här typen av sårbarheter men det finns två sidor av myntet. Om NSA hade rapporterat det här till Microsoft hade man kunnat stänga igen hålet för länge sedan. Där tror jag att diskussionen kommer att blossa upp.

Vem som ligger bakom WannaCry är ännu okänt. Ofta pekas kriminella ligor i bland annat Ryssland och Kina ut i sådana här sammanhang, men man kan inte vara säker på det menar Mikko Verlinna.

– Länder som har en lite äldre infrastruktur med till exempel XP har drabbats ganska hårt och de ryska myndigheterna lär nog inte se mellan fingrarna om det skulle vara någon där som ligger bakom.

Så skyddar du dig mot WannaCry

  • Installera säkerhetsuppdateringar för Windows. Framför allt är det MS17-010 som måste installeras.
  • Se över möjligheten att stänga av SMB v1. och gå över till en senare version. 
  • Använd en brandvägg mellan klient och server för att minska onödig kommunikation mellan klienter.
  • Klicka inte på okända länkar och e-postbilagor.

Mer info hittar du till exempel på Cert.se:s hemsida.

Rekommenderad läsning

Truesecs tips för ett bättre företagsskydd

16 maj 2017 säkerhet

I tider av WannaCry och andra säkerhetshot är företags säkerhetsarbete viktigare än någonsin. Marcus Murray från säkerhetsföretaget Truesec tycker att många företag fokuserar på fel saker när det gäller att skydda sig. Det enkla är ofta det viktigaste. 

Hackerville, phishing-mail och framtidens skydd

16 jun 2017 säkerhet

video

Hackervärlden är numera en industri och på olika håll i världen finns det städer där en stor del av befolkningen ägnar sig åt nätkriminalitet. Predrag Mitrovic på Microsoft pratar om omfattningen och varför phishing-mail fortfarande är effektiva och hur man ska skydda sig.

Nu sprids Spora och ransomworms

31 jan 2017 säkerhet

Så skyddar du dig mot det nya ransomwaret Spora och ransomworms. 2017 års attacker mot it-säkerhet blir allt mer komplexa och allt svårare att försvara sig mot. 

Voister förklarar

Ransomware

20 jun 2017 Voister förklarar

It-säkerhet är ständigt på tapeten och ransomware är ett av de största hoten mot företagen just nu. Voister förklarar vad som skiljer dem från virus, hur du kan undvika dem och vad du gör om du blivit drabbad. 

Ransomwaret Petya sprider sig

28 jun 2017 säkerhet

Viruset Petya har nu slagit till ordentligt på många håll i världen. Attacken påminner om WannaCry och sprids snabbt då det är en kombination av ransomware och nätverksmask. 

Google: Skrota lösenordet

3 jul 2017 säkerhet

video

Våra liv kräver allt mer digital interaktion. Därför är det dags att släppa traditionella lösenord och satsa på mer hanterbara autentiseringslösningar. Det menar Stephan Somogyi som jobbar med säkerhet och integritet på Google.

Så skyddar du dig mot Krack

20 okt 2017 säkerhet

Använder din router WPA2 för att skydda din trafik? Då bör du omedelbart patcha den. Två dataforskare har påvisat en rad sårbarheter i protokollet som gör det möjligt för hackare att ta kontroll över dina enheter.

Badrabbit attackerar Europa

25 okt 2017 säkerhet

Ett nytt, stort ransomware sprider sig i Europa. Badrabbit sprids via populära nyhetssajter och hittills har bland annat Danmark, Tyskland och Ryssland drabbats.