WannaCry-angrebet har spredt sig via orme-funktionalitet, men angiveligt startede det med spam-mails. Det mener i hvert fald den rumænske it-sikkerhedsvirksomhed Bitdefender, der også har ros til it-sikkerheden i Danmark.
Som bekendt, så har malwaren haft en indbygget spredningsmekanisme, som har udnyttet en sårbarhed i upatchede udgaver af Microsofts Windows. Nærmere bestemt har der været tale om en svaghed i styresystemets implementering af fildelingsprotokollen SMB.
Fildelingstjenesten bruger port 445. Så hvis en organisation eller en privat-person har haft åben adgang for udefrakommende forbindelser på port 445, så har ormen - som den slags automatiseret malware kaldes - kunnet komme ind på systemet ad den vej. Og herfra har den så kunnet sprede sig på det lokale netværk via SMB-sårbarheden.
Få forsøg i Danmark
Det vides ikke umiddelbart, hvor udbredt kombinationen af sårbare systemer med fri adgang på port 445 har været i Danmark, men ifølge senior E-Threat Analyst hos Bitdefender, Bogdan Botezatu, så har den rumænske virksomhed registreret ganske få forsøg på WannaCry-inficering i danske systemer.
»Vi så kun 300 forsøg. Det er fantastisk. Det er meget godt.«
Det er ifølge Bogdan Botezatu et ganske lavt tal sammenlignet med andre lande.
»Generelt, som følge af orme-komponenten, så spredte malwaren sig som en steppebrand i forskellige andre områder, dog ikke i Danmark.«
Sikkerhedsanalytikeren mener, som andre også har givet udtryk for, at den begrænsede skade fra WannaCry her til lands hænger sammen med Store Bededag. Altså helligdagen i Danmark, fredag sidste uge, hvor angrebet lige var startet op, men hvor mange danskere ikke var på arbejde, og dermed ikke startede deres arbejdscomputere op, så de blev inficerede. Og da danskerne mødte på arbejde mandag, havde en sikkerhedsforsker kendt som MalwareTech registreret et såkaldt kill-switch-domæne, som forhindrede malwaren i at hærge yderligere.
Men en ting er helligdag og kill-switch-domæner. Faktisk klarer Danmark sig generelt godt i forbindelse med cyberangreb, og det hænger sammen med software-vedligehold, mener den rumænske it-sikkerhedsmand.
»I er altid gode til patching. Danmark rangerer altid lavere end resten af landene ved cyberangreb,« lyder den måske lidt overraskende udmelding fra Bogdan Botezatu.
Præcist hvor mange gange, det er lykkedes WannaCry at inficere computere i Danmark, lader der ikke til at være nogen entydig indikation på. Men både Center for Cybersikkerhed og PWC har overfor Version2 givet udtryk for, at der har været meget få henvendelser fra brugere, der mener, de er blevet ramt i forbindelse med angrebet.
Port 445 og Spam
Bogdan Botezatu fortæller, at malwaren i udgangspunktet finder vej ind via en åben port 445. Og herfra scanner den efter andre ip-adresser og sårbare maskiner internt på netværket i forhold til at sprede sig. Malwaren scanner desuden efter eksterne ip-adresser også - altså sårbare systemer på netværk i andre organisationer.
Udover spredning via SMB-sårbarheden, så mener Bogdan Botezatu også, at WannaCry også skulle have spredt sig via spam-mails, eksempelvis med en ondsindet vedhæftet fil. Det vil umiddelbart også kunne forklare, hvis WannaCry har fundet vej ind i systemer, selvom der har været lukket på port 445 for udefrakommende trafik.
I den forbindelse oplyser Bogdan Botezatu dog, at det kun er en formodning, at WannaCry også er blevet spredt via mail.
Bitdefender har således ikke været i stand til at opstøve et eneste eksempel på, at WannaCry også er blevet spredt via mails.
»Det er den eneste måde, den oprindelige angrebsbølge kan være startet, selvom, når vi kigger i historikken over strømmen af spam-beskeder, så har vi ikke været i stand til at isolere den endnu,« oplyser Bogdan Botezatu i et opfølgende skriftligt svar med henvisning til et eksempel på en WannaCry-spambesked.
Han tilføjer med henvisning til spredning af malwaren via spam:
»Det er vores nuværende arbejdsteori, og vi har endnu ikke en besked til at bevise det.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
