Nätattacken sprider sig till fler länder – "Vi är i en ny fas av nätattacker"

Cyberattacken som spred sig snabbt i flera länder på tisdagen ser ut att ha haft Ukraina som sitt främsta mål, uppger säkerhetsexperter. Attacken utnyttjade det redan färdigt sårbara Windows-operativsystemet.

Nätattackerna började i går i Ryssland och Ukraina och fortsatte spridas till övriga Europa och till USA. Enligt Kommunikationsverket riktades attacken också mot Finland.

– Våra inledande analyser visar att utpressningsviruset använder flera olika tekniker för att spridas, bland annat en som åtgärdats i en uppdatering för alla plattformar från Windows XP till Windows 10 (MS17–010), säger en talesperson för Microsoft till AFP.

De första anmälningarna om cyberattacken kom från banker i Ukraina och från Kievs största flygplats.

Oljejätten Rosneft uppgav också att bolaget drabbats av cyberattacken. Rosneft sade att bolaget hoppas att attacken inte har kopplingar till rättegången med Sisteman.

Senare på tisdagen uppgav flera multinationella företag i Europa och det amerikanska läkemedelsföretaget Merck att också de drabbats av cyberattacken.

Ny fas av nätattacker

Svenska säkerhetsexperten Ola Rehnberg säger att vi är i en ny fas av nätattacker.

– Det är oerhört mycket mer avancerade verktyg man använder sig av, vilket gör att man får en större spridning på attackerna och många fler drabbas.

Cyberattacken är av samma variant som utpressningsviruset "Wannacry" som spreds i mitten av maj – den som drabbas måste betala för att komma åt sina egna filer som har låsts av viruset. Det nya viruset, som kallas Petya, verkar spridas åtminstone delvis via mejl. Efter Wannacry-viruset uppmanade Microsoft användare att installera de senaste säkerhetsuppdateringarna.

– Wannacry var första gången som vi såg att kriminella använde de här statligt utvecklade vapnen som läckte ut tidigare under året. Det är väldigt avancerade vapen, och det vi sett nu är egentligen andra gången vi ser det användas, säger Ola Rehnberg på Symantec till TT.

Rehnberg syftar på det så kallade Eternal blue, ett cybervapen som anses ha utvecklats av USA:s underrättelseorgan NSA, som Symantec också kunnat se finns i Petyas kod.

Liksom vid Wannacryattacken utnyttjas en sårbarhet i Windows fildelningsprogram SMB, en sårbarhet som Windows täppt igen i en uppdatering tidigare i år.

– Jag blev lite överraskad över att det händer så snart igen, i och med att det fick så pass stort genomslag där i maj så trodde man att världen hade vaknat upp, säger Rehnberg.

Startade i Ukraina

Förutom Ukraina och Ryssland, har även fler länder i Europa drabbas av viruset. USA har också drabbats, men där uppges spridningen gå långsammare. I Australien rapporteras en chokladfabrik ha blivit det första företaget som har drabbats.

Den danska fraktbjässen A P Møller–Mærsk är hårt drabbad. Stora hamnterminaler i exempelvis Göteborg och Indien har tvingats stänga.

Att just Ukraina är drabbat behöver inte ha någon betydelse, enligt Ola Rehnberg.

– Ukraina har varit drabbat tidigare, där vi sett tidigare exempel mot kraftstationer förra året. Det är kanske delvis beroende på vad man använder sig för skyddsfunktioner, hur avancerat internetskydd man använder.

Hittills har man inte hittat något sätt att stoppa spridningen.

– Det finns attacker runt om i hela världen egentligen. Men på samma sätt som med Wannacry så ser vi att de organisationer, privatpersoner och företag som har ett ordentligt säkerhetsskydd inte blivit särskilt drabbade.

Svårt låsa upp

Förutom att låsa filerna på datorn hindrar Petya datorerna från att starta om.

– Den förstör datorn ordentligt och förstör möjligheterna att komma åt ens filer. Vissa forskare på internet pratar om att det finns sätt att hitta nycklarna, som alltid i sådana här sammanhang. Men generellt är det svårt med dagens krypteringsteknik, säger Rehnberg.

Han uppmanar att om möjligt inte betala, utan skydda sig via säkerhetskopiering, uppdaterat säkerhetsskydd och att vara försiktig med att klicka i mejl. Enligt honom har det hittills inte heller kommit in särskilt mycket pengar till de konton som drabbade sätter in pengar på, för att få nyckeln som låser upp datorn.

– Men det är väldigt få som betalar så här pass tidigt, säger han.

Fakta

Wannacry-viruset

Den förra stora attacken slog till den 12 maj och låste datorena för hundratusentals användare, genom att kryptera innehållet på hårddiskarna tills en lösesumma har betalats. Utpressningsmasken, kallat Wannacry (benämns även Wcry eller WanaCrypt0r eller Wannacrypt), infekterade Windows-system och krypterade filer både lokalt och på delade nätverk.

Om Wannacry varit ett vanligt datorvirus hade massor av människor behövt klicka på länkar för att det skulle spridas, men med en så kallad mask räcker det att en enda dator i ett nätverk blir smittad.

Masken utnyttjade en säkerhetslucka i ett protokoll kallat SMB som används för att exempelvis skrivare och servrar ska kunna kommunicera med varandra inom ett nätverk.

Det berodde enligt säkerhetsexperter på att hackarna använt ett verktyg som ursprungligen utvecklats av USA:s underrättelseorgan NSA, kallat Eternal Blue, som kan sprida viruset inom ett datanätverk.

Redan den 14 mars hade Windows släppt en uppdatering, en så kallad patch, som täppte till säkerhetshålet. Viruset drabbade därför bara användare som inte uppdaterat.

Att låsa upp en drabbad dator kostade 300–600 dollar i den digitala valutan bitcoin.

Källor: CERT.se, AFP, Reuters, Romab, The Financial Times, The New York Times.

Hur du hittar det bästa lånet för dig

Den som någonsin har tecknat ett lån är förmodligen plågsamt medveten om hur svårt det kan tyckas vara att hitta rätt lån. Vad är det då som avgör om ett lån är bra eller inte? 17.9.2018 - 00.00