Så attackerade WannaCry världen

Opatchade system och stora, oskyddade attackytor. Det var två anledningar till att WannaCry skulle kunna spridas och en bli en av de största globala it-attackerna någonsin, och den allra största på ransomware-fronten. Bara ett par dagar efter att attacken började den 12 maj hade hundratusentals datorer smittats vilket orsakade störningar på bland annat på sjukhus i Storbritannien, en telefonoperatör i Spanien och ryska banker. I Sverige har bland annat Sandvik drabbats.

– Egentligen är det här en gammal sårbarhet som funnits ute flera månader. NSA har vetat om den länge och Microsoft släppte en patch redan den 14 mars för att stänga hålet i Windows XP och Windows 2003 vilket är anmärkningsvärt eftersom de operativsystemen inte längre stöds. Nu har man släppt ytterligare en patch vilket visar hur allvarligt det här är, säger Mikko Verlinna, säkerhetsexpert på Atea.

Mask och ransomware

WannaCry består av två olika delar: en ransomware-del som infekterar och krypterar systemen, och en maskliknande bärare som står för spridningen. När masken träffar ett oskyddat nätverk börjar den propagera (sprida) sig. Ransomware-biten infekterar och krypterar sedan alla filer och kräver 300 dollar för att låsa upp dem, en siffra som höjs till 600 dollar efter tre dagar.

– Ett problem har varit nätverk där klienter kunnat prata med klienter, något de egentligen inte behöver. Om man designat sitt nätverk rätt med brandväggar och kontroll över hur nätverket kommunicerar internt och externt skulle WannaCry inte kunnat sprida sig på det här sättet, säger Mikko Verlinna.

Attacken kunde saktas ner när en säkerhetskonsult upptäckte en referens till en oregistrerad domän i koden. När han registrerade domänen i syfte att kunna logga hur många smittade maskiner som försökte koppla upp sig stängdes WannaCry av. Anropet till den oregistrerade domänen fungerande som en killswitch för ransomwaret.

Avstängd killswitch

Snart kom dock en ny variant som refererade till en annan domän som också den registrerades och trafiken omdirigerades till ett så kallat slukhål där infektionen kunde stoppas. Nu cirkulerar flera nya versioner där den här möjligheten till killswitch slagits av.

– Man måste patcha sina system, se till att man har ett bra och uppdaterat skydd och minska attackytan. Det är väl det positiva med den här attacken, att man tvingas se över sitt system. En sak som inte kunnat beläggas än är hur den initiala attacken börjat; om det var via ett hack eller ett phishingmejl, men det kommer säkert att visa sig längre fram.

För den som redan har blivit drabbad finns två alternativ: att blåsa sitt system och återställa det från sina backuper eller att betala. Cert.se, MSB:s incidentenhet för it-säkerhet, skriver på sin hemsida att man inte rekommenderar någon att betala eftersom det inte finns några garantier att man verkligen får tillbaka sin data, och det rådet står Mikko Verlinna bakom.

Tre bitcoinplånböcker har kopplats till utpressningen och totalt har drygt ett hundratal organisationer valt att betala vilket ger en totalsumma på runt 36 000 dollar i skrivande stund.

– Det har varit en otrolig uppslutning bland säkerhetsföretagen att jobba tillsammans med det här, och många har offrat hela helgen på att försöka hitta lösningar och analysera attacken. Ingen tjänar på att hålla en lösning för sig själv eftersom det drabbar hela samhället. Vid det här laget är koden välkänd och har spridits till alla säkerhetsföretag.

Myndigheter kände till sårbarheten

Microsofts juridiska chef Brad Smith har på företagets hemsida skrivit ett långt blogginlägg om att det här är resultatet av myndigheters försök att hitta och utnyttja sårbarheter för egen vinning utan att rapportera säkerhetshålen.

– Man förstår att till exempel NSA vill sitta på den här typen av sårbarheter men det finns två sidor av myntet. Om NSA hade rapporterat det här till Microsoft hade man kunnat stänga igen hålet för länge sedan. Där tror jag att diskussionen kommer att blossa upp.

Vem som ligger bakom WannaCry är ännu okänt. Ofta pekas kriminella ligor i bland annat Ryssland och Kina ut i sådana här sammanhang, men man kan inte vara säker på det menar Mikko Verlinna.

– Länder som har en lite äldre infrastruktur med till exempel XP har drabbats ganska hårt och de ryska myndigheterna lär nog inte se mellan fingrarna om det skulle vara någon där som ligger bakom.