Derfor var WannaCry et opsigtsvækkende cyberangreb

Mens danskerne sidste weekend holdt storebededagsferie, vågnede it-administratorer i Kina og Rusland op til en rød boks på skærmen, som fortalte, at computerens filer var krypteret af ukendte bagmænd, som krævede 300 dollars for at udlevere krypteringsnøglen.

Men det var først, da samme besked dukkede op på en stribe hospitaler i Storbritannien, som måtte afvise patienter på grund af it-problemerne, at ransomware-programmet WannaCry for alvor fik verdens opmærksomhed.

På mange måder er WannaCry en helt triviel trussel. Ransomware har de seneste år været den mest fremtrædende type malware, som virksomheder, myndigheder og helt almindelige forbrugere har måttet kæmpe mod. Der findes en hel undergrundsindustri, som omsætter store summer ved at tage filer som gidsel ved hjælp af kryptering. Men noget var alligevel helt anderledes ved WannaCry.

Klik (ikke) her

Den sædvanlige fremgangsmåde for de kriminelle bag ransomware er at sende e-mails med et link eller en vedhæftet fil. Den kan eksempelvis udgive sig for at være en faktura, og afsenderen kan forfalskes til at se ud til at være en person eller organisation, modtageren stoler på.

Brugeren skal lokkes til at klikke og helst være så motiveret eller skræmt af indholdet, at eventuelle sikkerhedsadvarsler bliver ignoreret. Men brugeren skal altså normalt gøre noget for at aktivere ransomwaren. Det var ikke tilfældet med WannaCry.

WannaCry udnyttede et sikkerhedshul i Windows ved hjælp af såkaldt exploit-kode, som stammede fra et læk af værktøjer, som tilhørte den amerikanske efterretningstjeneste NSA. Exploit-koden havde fået kodenavnet Eternal Blue og udnyttede et sikkerhedshul i den protokol, Windows bruger til at dele filer over et netværk.

Det betød, at en Windows-computer var sårbar, blot den kunne tilgå en netværksprinter, og dermed kunne WannaCry helt uden hjælp fra brugerne sprede sig til alle sårbare Windows-computere på et netværk, når først den var kommet ind.

Sikkerhedshullet, som Eternal Blue udnyttede, blev kendt i februar, efter at det stod klart, at NSA’s viden om sikkerhedshullet var blevet kompromitteret. Microsoft frigav i marts en opdatering, som lukkede hullet i alle versioner af Windows fra Windows Vista og frem.

XP-brugere sårbare

Men det efterlod de resterende Windows XP-brugere sårbare. Sådan da. For de brugere, som efter supporten på det i dag 16 år gamle styresystem udløb, tegnede en særlig supportaftale med Microsoft, fik også en opdatering til Windows XP.

Det britiske hospitalsvæsen havde ikke sådan en aftale. Den ville den britiske sundhedsminister ikke betale for. I Danmark havde blandt andre Region Hovedstaden indgået en aftale til et tocifret millionbeløb for at sikre tusindvis af computere med Windows XP, indtil de fleste af computerne blev opgraderet eller på anden måde sikret.

Region Midtjylland har ifølge dagbladet Information stadig cirka 5.000 computere med Windows XP, som ikke sikres med opdateringer fra Microsoft, men derimod med tredjeparts sikkerhedssoftware.

Siden supporten på Windows XP udløb i april 2014, er der ikke kommet sikkerhedsopdateringer til systemet fra Microsoft. Men da WannaCry begyndte at sprede sig, valgte Microsoft ekstraordinært at stille den opdatering til rådighed, som egentlig kun var tiltænkt de kunder, som havde en særlig aftale på grund af deres særlige behov.

Men på det tidspunkt havde WannaCry inficeret anslået 200.000 computere på verdensplan. Spredningen var dog stoppet, efter at en britisk sikkerhedsekspert havde overtaget et internetdomæne, som WannaCry brugte til at sikre sig, at programmet ikke blev afviklet i et lukket miljø hos et sikkerhedsfirma.

Danmark slap nådigt

Dermed var der sat en foreløbig stopper for WannaCry, og sammenlignet med andre ransomware- angreb ser Danmark ud til at være sluppet nådigt.

Sponseret indhold

Webinar: Det er ikke nok at sikkerhedskopiere din data

It-sikkerhed

Ifølge Head of Security & Tech­nology hos konsulentfirmaet PwC Mads Nørgaard Madsen har Danmark nemlig ikke været ramt på samme måde som andre lande. I hvert fald har meget få af virksomhedens kunder henvendt sig med it-sikkerhedsproblemer i forbindelse med angrebet:

»Det er småting. Det er små instanser, hvor det ikke har givet mening at rykke ud på det. De har genskabt ting fra backup. Det har været en telefonsamtale her og der, men ikke noget, hvor beredskabet har skullet rykke ud,« siger Mads Nørgaard Madsen.

Han mener, at den lave aktivitet kan hænge sammen med, at Danmark blev ramt på en helligdag, og så at det lykkedes førnævnte it-sikkerhedsekspert at bremse spredningen.

Hvad andre ransomware-kampagner angår, så har PwC oplevet, at telefonerne har været ‘rødglødende’, som Mads Nørgaard Madsen udtrykker det.

Men selv om vi i Danmark måske slap nådigt, har WannaCry i it-sikkerhedskredse varslet en ny kategori af ondsindet software ved at kombinere ransomware med en såkaldt ‘orm’.

Det vil sige et ondsindet program, som automatisk kan sprede sig til andre sårbare computere via et netværk. Det var denne type trusler, som i 2004 fik Microsoft til at skrotte den planlagte efterfølger til Windows XP for i stedet at fokusere på at få sikret Windows. Der har været flere opsigtsvækkende orme som eksempelvis Sasser, Slammer og Conficker, men WannaCry dukkede op efter flere års forholdsmæssig stilhed på den front inden for malware.

Det er usikkert, hvor effektiv WannaCrys metode har været. Men ved at kombinere ormen med et program, der krypterer brugerens filer og kræver en løsesum for at udlevere koden har WannaCry kombineret to af de værste typer af malware – og det har vakt opsigt.

Og det er sket ved hjælp af kode stjålet fra en vestlig efterretningstjeneste.