Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

Så attackerade WannaCry världen

WannaCry_960x640.jpg

På ett par dagar infekterade WannaCry hundratusentals datorer över hela världen. Nu befarar säkerhetsexperter fler vågor av viruset.

Opatchade system och stora, oskyddade attackytor. Det var två anledningar till att WannaCry skulle kunna spridas och en bli en av de största globala it-attackerna någonsin, och den allra största på ransomware-fronten. Bara ett par dagar efter att attacken började den 12 maj hade hundratusentals datorer smittats vilket orsakade störningar på bland annat på sjukhus i Storbritannien, en telefonoperatör i Spanien och ryska banker. I Sverige har bland annat Sandvik drabbats.

– Egentligen är det här en gammal sårbarhet som funnits ute flera månader. NSA har vetat om den länge och Microsoft släppte en patch redan den 14 mars för att stänga hålet i Windows XP och Windows 2003 vilket är anmärkningsvärt eftersom de operativsystemen inte längre stöds. Nu har man släppt ytterligare en patch vilket visar hur allvarligt det här är, säger Mikko Verlinna, säkerhetsexpert på Atea.

Mask och ransomware

WannaCry består av två olika delar: en ransomware-del som infekterar och krypterar systemen, och en maskliknande bärare som står för spridningen. När masken träffar ett oskyddat nätverk börjar den propagera (sprida) sig. Ransomware-biten infekterar och krypterar sedan alla filer och kräver 300 dollar för att låsa upp dem, en siffra som höjs till 600 dollar efter tre dagar.

– Ett problem har varit nätverk där klienter kunnat prata med klienter, något de egentligen inte behöver. Om man designat sitt nätverk rätt med brandväggar och kontroll över hur nätverket kommunicerar internt och externt skulle WannaCry inte kunnat sprida sig på det här sättet, säger Mikko Verlinna.

Attacken kunde saktas ner när en säkerhetskonsult upptäckte en referens till en oregistrerad domän i koden. När han registrerade domänen i syfte att kunna logga hur många smittade maskiner som försökte koppla upp sig stängdes WannaCry av. Anropet till den oregistrerade domänen fungerande som en killswitch för ransomwaret.

Avstängd killswitch

Snart kom dock en ny variant som refererade till en annan domän som också den registrerades och trafiken omdirigerades till ett så kallat slukhål där infektionen kunde stoppas. Nu cirkulerar flera nya versioner där den här möjligheten till killswitch slagits av.

– Man måste patcha sina system, se till att man har ett bra och uppdaterat skydd och minska attackytan. Det är väl det positiva med den här attacken, att man tvingas se över sitt system. En sak som inte kunnat beläggas än är hur den initiala attacken börjat; om det var via ett hack eller ett phishingmejl, men det kommer säkert att visa sig längre fram.

CERT-SE avråder från att betala lösensumman då det bidrar till att finansiera vidareutveckling av skadlig kod, samt att det inte finns garantier för informationen blir upplåst.

Cert.se , MSB

För den som redan har blivit drabbad finns två alternativ: att blåsa sitt system och återställa det från sina backuper eller att betala. Cert.se, MSB:s incidentenhet för it-säkerhet, skriver på sin hemsida att man inte rekommenderar någon att betala eftersom det inte finns några garantier att man verkligen får tillbaka sin data, och det rådet står Mikko Verlinna bakom.

Tre bitcoinplånböcker har kopplats till utpressningen och totalt har drygt ett hundratal organisationer valt att betala vilket ger en totalsumma på runt 36 000 dollar i skrivande stund.

– Det har varit en otrolig uppslutning bland säkerhetsföretagen att jobba tillsammans med det här, och många har offrat hela helgen på att försöka hitta lösningar och analysera attacken. Ingen tjänar på att hålla en lösning för sig själv eftersom det drabbar hela samhället. Vid det här laget är koden välkänd och har spridits till alla säkerhetsföretag.

Myndigheter kände till sårbarheten

Microsofts juridiska chef Brad Smith har på företagets hemsida skrivit ett långt blogginlägg om att det här är resultatet av myndigheters försök att hitta och utnyttja sårbarheter för egen vinning utan att rapportera säkerhetshålen.

– Man förstår att till exempel NSA vill sitta på den här typen av sårbarheter men det finns två sidor av myntet. Om NSA hade rapporterat det här till Microsoft hade man kunnat stänga igen hålet för länge sedan. Där tror jag att diskussionen kommer att blossa upp.

Vem som ligger bakom WannaCry är ännu okänt. Ofta pekas kriminella ligor i bland annat Ryssland och Kina ut i sådana här sammanhang, men man kan inte vara säker på det menar Mikko Verlinna.

– Länder som har en lite äldre infrastruktur med till exempel XP har drabbats ganska hårt och de ryska myndigheterna lär nog inte se mellan fingrarna om det skulle vara någon där som ligger bakom.

Så skyddar du dig mot WannaCry

  • Installera säkerhetsuppdateringar för Windows. Framför allt är det MS17-010 som måste installeras.
  • Se över möjligheten att stänga av SMB v1. och gå över till en senare version. 
  • Använd en brandvägg mellan klient och server för att minska onödig kommunikation mellan klienter.
  • Klicka inte på okända länkar och e-postbilagor.

Mer info hittar du till exempel på Cert.se:s hemsida.

15 maj 2017 Uppdaterad 22 oktober 2020 Reporter Miguel Guerrero säkerhet Foto Adobe Stock

Rekommenderad läsning

Klocka 960640

126 000 hot/minut

25 feb 2021 säkerhet

Under 2020 skedde 62,6 miljarder cyberhot, det vill säga 126 000 hot per minut. Det är en ökning med 20 procent jämfört med 2019 som bland annat beror på att många har arbetat hemifrån och att hemmanätverken inte håller tillräcklig säkerhetsnivå.

Sveriges Flagga Sorg

Försvar mot cyberattacker

18 feb 2021 säkerhet

Krigföring utan vapen, sårbarheter i samhället och hur vi kan förbereda oss för att gå offline. Det var några av ämnena när MSB, Försvarsmakten och Microsoft diskuterade cybersäkerhet. 

Folk På Stan

Säkerhet för 500 mdr

21 jan 2021 säkerhet

De globala investeringarna i cybersäkerhet kommer att öka med 10 procent under 2021. Det beror på att utbudet av hot breddas och nya sårbarheter dyker upp, samtidigt som attackfrekvensen lär fortsätta öka.

Dhl 960640

Nätfiske med paket

15 jan 2021 säkerhet

Microsoft och DHL är de varumärken som används mest vid phishingförsök. De mest utnyttjade branscherna är teknik, följt av logistik och detaljhandel. 

Vatikanen Ai

AI skyddar Vatikanen

16 nov 2020 säkerhet

Vatikanstaten använder AI för att skydda sitt digitaliserade bibliotek med antika artefakter, vilket inkluderar världens äldsta kopia av Bibeln.

En Tecknad Hand Som Klickar Mot Gul Bakgrund
video
ett samarbete mellan hp och voister

Klicka säkert med HP

27 okt 2020 säkerhet

Du får ett mejl som du tror är säkert med en bifogad fil som du öppnar. Det skulle du inte ha gjort. Om du hade haft HP Sure Click Advanced hade filen öppnats i ett isolerat fönster och skyddat operativsystem. Det är en av många lösningar i nya HP Proactive Security.

Kvinna Vård Corona

FOI varnar vården

5 jun 2020 säkerhet

Under pandemin är vården ett utsatt mål för cyberattacker. Alltifrån vanliga hackare till stater och underrättelsetjänster utnyttjar den nya situationen. Det visar en ny studie från FOI.

två coronavirus, en röd till vänster och en blå till höger.jpg

Stopp för fake news

18 mar 2020 säkerhet

Facebook, Google, Linkedin, Microsoft, Twitter Youtube och Reddit. Alla de stora plattformarna går samman för att motverka att falsk information om coronaviruset sprids via dem.

vatican-city-flag.jpg

Påven reglerar AI

3 mar 2020 säkerhet

Vatikanen har tagit fram riktlinjer för en etisk och mer likvärdig AI, bland annat vad det gäller ansiktsigenkänning. Microsoft och IBM har redan skrivit under.