WannaCry – allt du behöver veta

Hot & hack, Livet på F-Secure, Säkerhet & integritet, Tips & tricks

Vad sjutton hände?

Den 12 maj 2017 blev flera organisationer attackerade av ett ransomware vid namn WannaCry. Den som drabbas kan inte längre använda sin dator och får se sina filer krypterade, låsta tills det att de betalar en lösensumma på upp till 300 dollar i Bitcoin. Hotbrevet i WannaCry uppger också att om du är ”för fattig för att betala” lösensumman, så kommer dina filer låsas upp kostnadsfritt…efter 6 månader.

Hur är det här ens möjligt?

Säkerhetsforskarna på F-Secure Labs har varnat om den exponentiella tillväxten av ransomware, samt farorna med statliga övervakningsverktyg som släpps lös till allmänheten. WannaCry tycks vara en kombination av de värsta bakomliggande riskerna med båda dessa varningar.

Vilka har blivit drabbade?

Ett stort antal organisationer har drabbats, tillsammans med olika typer av offentlig infrastruktur – Det här handlar om en global attack som slagit till i över 60 länder – allt från hälso- och sjukvårdsorganisationer, oljebolag och elektronikföretag, samt telekombolag. Ett exempel är den allmänna hälso- och sjukvården i England som drabbades hårt, till exempel tvingades flera sjukhus att stänga och åtskilliga operationer behövdes skjutas upp.

Enligt F-Secure Labs så har Ryssland och Kina drabbats hårdast, följt av Frankrike, Taiwan, USA, Ukraina och Sydkorea.

Hur stort är det här egentligen?

Mikko Hyppönen, forskningschef på F-Secure, kallade händelsen för ”historiens största ransomware-attack” sett till antal drabbade. Men under söndag morgon, dagen efter utbrottet, hade kravbreven bara genererat ynka 25 000 dollar, enligt Andy Patel på F-Secure Labs. Det ser ut som att det här Twitter-kontot håller koll på – och publicerar information om – lösensummor som blivit betalda till Bitcoin-plånboken som är kopplad till WannaCry.

”Spridningen av WannaCry saktades ner av en hjälte som registrerade en ’killswitch’-domän han hittade i koden”, säger Andy Patel. ”Men attacken är inte över för det, det krävs bara en liten ändring i koden – därefter kan spridningen ta fart som en löpeld igen.”

Hur kommer det sig att attacken blivit så omfattande?

WannaCry utnyttjar en lucka i Server Message Block (SMB) i Microsoft Windows som gör det möjligt för hackaren att köra kod på den drabbade maskinen. Microsoft täppte igen säkerhetshålet redan i mars (MS17-010), men många IT-miljöer ligger efter med uppdateringar och/eller använder äldre operativsystem som Windows XP. Dessa operativsystem stöds inte längre av Microsoft, och får således inte tillgång till de senaste säkerhetsuppdateringarna. Det finns även ett stort antal maskiner som använder illegalt nedladdade kopior av Windows (speciellt i Kina och Ryssland) som inte heller får de officiella uppdateringarna – vilket gör dem särskilt utsatta, även om det är mer sentida Windows-versioner.

Men, på grund av omfattningen av WannaCry, har Microsoft valt att släppa en patch för Windows XP och Server 2003.

Hur kunde det här förhindrats?

Storleken på attacken beror mycket på antalet maskiner där ute som inte fått säkerhetsuppdateringar. Det kan finnas tre anledningar till att det är så – patchen som täpper till luckan släpptes i mars:

  • De har inte installerat uppdateringen av någon anledning
  • De använder en piratkopia av Windows (och får därför inte de säkerhetsuppdateringar som betalande användare får)
  • De använder Windows XP, som inte längre stöds och får uppdateringar

Lösningen? Se till att använda uppdaterad mjukvara.

Varför sprids det så fort?

Den snabba spridningen beror i grunden på sårbarheten i MS17-010, som gör det möjligt för den skadliga koden att fungera som en ”mask”: WannaCry kan skanna av anslutna enheter och hitta andra sårbara maskiner där den kan slå fäste och hitta ytterligare enheter att infektera med hjälp av EternalBlue-sårbarheten. Processen kräver ingen som helst inblandning från användaren, kräver inte att man klickar på något – bara att man har en sårbar enhet som är ansluten till en infekterad maskin. Påståenden om att attacken spreds genom skräppost har ännu inte verifierats.

Mask eller trojansk häst?

WannaCry är inte en utpräglad internetmask; Det är en trojansk häst med maskliknande beteende när den väl tagit sig in på nätverket.

Varför känns allt det här så bekant?

”Det här är ett klassiskt sätt att infektera datorer på – det är i grunden inget nytt,” säger Sean Sullivan, Security Advisor på F-Secure. ”Organisationer har under en allt för lång tid ignorerat sitt grundläggande brandväggsskydd – vilket också är skälet till att WannaCry spridits så fort.”

Är jag skyddad mot det här hotet?

Våra kunder är skyddade med F-Secures avancerade endpoint-skydd som erbjuder det allra senaste i teknikväg; F-Secures Deepguard-funktion innehåller värdbaserad beteendeanalys och träder in så fort den identifierar skadligt beteende och därmed proaktivt blockerar ransomware som WannaCry.

Organisationer bör se till att de har en ordentligt konfigurerad brandvägg och verifiera att samtliga klienter har de senaste säkerhetsuppdateringarna för Windows, särskilt MS17-010 för att förhindra spridningen. F-Secure Software Updater hjälper företag att identifiera och uppdatera tredjepartssystem.

Kan jag återfå de krypterade filerna?

Dekryptering är inte tillgänglig just nu, filer som blivit krypterade bör återställas från säkerhetskopior i den mån det är genomförbart.

Var kom attacken från?

WannaCry är ett traditionellt ransomware såtillvida att syftet är att utpressa drabbade på pengar…men det nya är att den utnyttjar en sårbarhet som uppdagades i samband med att The Shadow Brokers (en grupp som allmänt anses ha sitt ursprung i Ryssland) i april i år läckte en samling hackningsverktyg som utvecklats av NSA.

Handlar det om en riktad attack?

Nej, det är det inte. WannaCry är precis som majoriteten av de ransomware-attacker vi sett de senaste åren urskillningslös till sin natur.

Några goda nyheter?

Vi vet att detta är ”crimeware” av tämligen ordinärt snitt. Det är ingen nationalstatsaktör eller terroristgrupp bakom detta. Offer kan betala för att återfå tillgången till sina filer, något som en mer illvillig aktör kanske inte erbjudit som alternativ.

Hur skyddar vi dig mot WannaCrypt?

F-Secures lösningar för klienter sätter proaktivt stopp för alla varianter av WannaCry som vi sett i det vilda. Vi har upptäckt samtliga dessa ransomware-varianter sedan starten, vilket i korthet innebär att alla som använder en av F-Secures Endpoint-lösningar är skyddade.

Skyddet levereras i tre fristående lager, för att säkerställa att det finns flera av varandra oberoende metoder att sätta stopp för attacken:

  • Vår inbyggda lösning för ”patch management”, hantering av uppdateringar för mjukvara – Software Updater – sätter stopp för WannaCrys försök att dra nytta av EternalBlue-sårbarheten genom att automatiskt installera relaterade uppdateringar.
  • F-Secure DeepGuard levererar beteendebaserad analys och ”exploit interception” som blockerar WannaCrypt.
  • F-Secure Firewall är en brandvägg som förhindrar lateral spridning i miljön och sätter därmed stopp för kryptering av filer.

Jag är F-Secure-användare, vad ska jag göra?

  • Säkerställ att DeepGuard och real-time protection är aktiverat på samtliga klienter.
  • Använd Software Updater eller ett annat verktyg för att identifiera klienter som inte har Microsofts patch (4013389).
  • Uppdatera samtliga maskiner omedelbart. Om det inte är möjligt att installera patcharna genom hela nätverket så rekommenderar vi att du följer stegen i Microsoft Knowledge Base Article 2696547för att avaktivera SMBv1, vilket minska attackytan för WannaCry.
  • Konfigurera brandväggen korrekt:
    • Blockera TCP/445-trafik på såväl nätverksbrandväggar som host-baserade brandväggar.
    • Om det går, blockera all inkommande trafik på 445 på samtliga internetuppkopplade Windows-system.
    • Alternativt – sätt policyn i F-Secure Firewall på högsta möjliga nivå, den har fördefinierade regler för att blockera attacken.

Hur gör man för att skydda sig mot alla typer av ransomware?

Här är våra 5 bästa råd för att hålla ransomware borta från era enheter:

Se till att du kör en robust säkerhetslösning som täcker alla enheter (PC-datorer, Mac, smartphones och surfplattor) och skyddar dem. F-Secures säkerhetsprodukter skyddar mot samtliga kända ransomware-varianter där ute och har funktionalitet som kan sätta stopp för helt nya hot, så kallade nolldagarshot. Det är viktigt eftersom det dykt upp en strid ström av nya ransomware-varianter på sistone.

Ta säkerhetskopior regelbundet av alla viktiga filer. Lagra dem på en säker plats i den fysiska världen så att de inte kan bli infekterade. Och testa att återställ dem med regelbundna mellanrum så du är säker på att de alltid fungerar. Med bra säkerhetskopior så spelar det inte så stor roll om du drabbas – du kan snabbt komma tillbaka på fötter utan att behöva lämna över en massa pengar till brottslingarna.

Håll all mjukvara på samtliga enheter uppdaterad för att förhindra att någon drar nytta av en känd säkerhetslucka för att infektera din maskin. Om du är osäker på hur du bäst går tillväga för att göra det så kan det vara idé att använda ett verktyg som identifierar daterad mjukvara och föreslår uppdateringar.

Var särskilt vaksam med e-post-bilagor, särskilt om det är ZIP-arkiv eller Office-dokument (Word, Excel och PowerPoint). Öppna inte filer från någon du inte känner och se till att makron inte är aktiverade på några Office-dokument som du får via e-post.

Begränsa användningen av plugin i webbläsaren. Framförallt handlar det om att stänga av de som oftast utnyttjas och som ofta drabbas av säkerhetsluckor – till exempel Flash Player och Silverlight – när du inte använder dem. Det är en smal sak att göra direkt i webbläsarens inställningsmeny.

En mer utförlig beskrivning – och ännu fler tips – finns i det här blogginlägget: ”Så skyddar du dig själv och din verksamhet mot ransomware

 

Så…handlar det här verkligen om problem med opatchade maskiner, eller om underrättelsetjänster som tjuvhåller på säkerhetsluckor eller vad?

Ja.

”En bra sak om man vill förhindra ’nästa’ attack är att stoppa myndighetsorganisationer från att samla på sig sårbarheter och använda för sina egna syften”, säger Sean Sullivan. ”Den här situationen hade varit betydligt värre om NSA inte hade vetat om att deras verktyg hamnat på villovägar. Om en verkligt destruktiv aktör skulle få tag på dem…det hade varit, ska vi säga dåligt. Förhoppningsvis kommer NSA:s uppdrag att återgå till att främst handla om att skydda nätverk och mindre om att ruva på sårbarheter istället för att rapportera in dem.”

Men det här handlar också verkligen om hur vi blivit alltmer beroende av teknik och de sårbarheter som liksom kommer på köpet i och med det beroendet. Och det handlar om hur detta beroende vuxit snabbare än vi kunnat förbereda oss och säkra våra system.

Hur ser det här ut i verkligheten? Ungefär såhär:

Är det här det värsta tänkbara, eller kunde det varit ännu värre?

Svaret är enligt Sean Sullivan att det absolut kunde ha varit värre: ”Det här var inte en illvillig nationalstatsaktör, eller en terroristattack. Eftersom det bakomliggande motivet var utpressning för ekonomisk vinning så finns det en inbyggd funktion för att efter betalning återfå sina filer – och därför finns det alltså också en möjlighet att få tillbaka sina filer. Men om de inte haft det tidigare så är det här ett utmärkt ”proof of concept” för en nationalstat eller annan illasinnad aktör att göra något som man inte kan återhämta sig från.”

Betygsätt den här artikeln

1 röster

0 kommentarer

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

Du kanske också gillar

%d bloggare gillar detta: