Glem port 445 et øjeblik - WannaCry startede (måske) nok med spam

En del af WannaCry-angrebet er formentligt foregået via almindeligt malware-spam.

WannaCry-angrebet har spredt sig via orme-funktionalitet, men angiveligt startede det med spam-mails. Det mener i hvert fald den rumænske it-sikkerhedsvirksomhed Bitdefender, der også har ros til it-sikkerheden i Danmark.

Som bekendt, så har malwaren haft en indbygget spredningsmekanisme, som har udnyttet en sårbarhed i upatchede udgaver af Microsofts Windows. Nærmere bestemt har der været tale om en svaghed i styresystemets implementering af fildelingsprotokollen SMB.

Fildelingstjenesten bruger port 445. Så hvis en organisation eller en privat-person har haft åben adgang for udefrakommende forbindelser på port 445, så har ormen - som den slags automatiseret malware kaldes - kunnet komme ind på systemet ad den vej. Og herfra har den så kunnet sprede sig på det lokale netværk via SMB-sårbarheden.

Få forsøg i Danmark

Det vides ikke umiddelbart, hvor udbredt kombinationen af sårbare systemer med fri adgang på port 445 har været i Danmark, men ifølge senior E-­Threat Analyst hos Bitdefender, Bogdan Botezatu, så har den rumænske virksomhed registreret ganske få forsøg på WannaCry-inficering i danske systemer.

»Vi så kun 300 forsøg. Det er fantastisk. Det er meget godt.«

Det er ifølge Bogdan Botezatu et ganske lavt tal sammenlignet med andre lande.

»Generelt, som følge af orme-komponenten, så spredte malwaren sig som en steppebrand i forskellige andre områder, dog ikke i Danmark.«

Sikkerhedsanalytikeren mener, som andre også har givet udtryk for, at den begrænsede skade fra WannaCry her til lands hænger sammen med Store Bededag. Altså helligdagen i Danmark, fredag sidste uge, hvor angrebet lige var startet op, men hvor mange danskere ikke var på arbejde, og dermed ikke startede deres arbejdscomputere op, så de blev inficerede. Og da danskerne mødte på arbejde mandag, havde en sikkerhedsforsker kendt som MalwareTech registreret et såkaldt kill-switch-domæne, som forhindrede malwaren i at hærge yderligere.

Men en ting er helligdag og kill-switch-domæner. Faktisk klarer Danmark sig generelt godt i forbindelse med cyberangreb, og det hænger sammen med software-vedligehold, mener den rumænske it-sikkerhedsmand.

»I er altid gode til patching. Danmark rangerer altid lavere end resten af landene ved cyberangreb,« lyder den måske lidt overraskende udmelding fra Bogdan Botezatu.

Præcist hvor mange gange, det er lykkedes WannaCry at inficere computere i Danmark, lader der ikke til at være nogen entydig indikation på. Men både Center for Cybersikkerhed og PWC har overfor Version2 givet udtryk for, at der har været meget få henvendelser fra brugere, der mener, de er blevet ramt i forbindelse med angrebet.

Port 445 og Spam

Bogdan Botezatu fortæller, at malwaren i udgangspunktet finder vej ind via en åben port 445. Og herfra scanner den efter andre ip-adresser og sårbare maskiner internt på netværket i forhold til at sprede sig. Malwaren scanner desuden efter eksterne ip-adresser også - altså sårbare systemer på netværk i andre organisationer.

Udover spredning via SMB-sårbarheden, så mener Bogdan Botezatu også, at WannaCry også skulle have spredt sig via spam-mails, eksempelvis med en ondsindet vedhæftet fil. Det vil umiddelbart også kunne forklare, hvis WannaCry har fundet vej ind i systemer, selvom der har været lukket på port 445 for udefrakommende trafik.

I den forbindelse oplyser Bogdan Botezatu dog, at det kun er en formodning, at WannaCry også er blevet spredt via mail.

Bitdefender har således ikke været i stand til at opstøve et eneste eksempel på, at WannaCry også er blevet spredt via mails.

»Det er den eneste måde, den oprindelige angrebsbølge kan være startet, selvom, når vi kigger i historikken over strømmen af spam-beskeder, så har vi ikke været i stand til at isolere den endnu,« oplyser Bogdan Botezatu i et opfølgende skriftligt svar med henvisning til et eksempel på en WannaCry-spambesked.

Han tilføjer med henvisning til spredning af malwaren via spam:

»Det er vores nuværende arbejdsteori, og vi har endnu ikke en besked til at bevise det.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (4)

Kommentarer (4)
Gorm Jensen

Jeg vil gætte på, at langt de fleste PC'er står bag en firewall, som blokerer for trafik på port 445. WannaCry skal derfor indenfor én gang, måske via spam-mail. Dem er der så ikke set nogen af?

En anden ting at undres over er, at helligdagen har gjort, at der er meget få tilfælde i Danmark. Betyder det, at private PC'er er bedre beskyttede end arbejds-PC'er?

Og sundhedsvæsenet var vel ikke lukket (med reference til det britiske)?

Mark Klitgaard

En anden ting at undres over er, at helligdagen har gjort, at der er meget få tilfælde i Danmark. Betyder det, at private PC'er er bedre beskyttede end arbejds-PC'er?

Det kan måske forklares med der er færre og færre private PC'er som kører gamle uspporterede Windows versioner, og generelt mindes jeg at Windows bliver brugt mindre i privaten end tidligere.

Bente Hansen

Windows bliver brugt mindre i privaten end tidligere.


Ja det ser jeg også. Der er mange Mac og forskellige formere for tablet.
Ved private.

Men der køre også gammel software, på meget af det som er tilbage. Da mange lader deres gamle PC'er leve, da det for mange jo kun er nettet som den skal bruges til. Når den/de engang bliver teknisk ødelagt, ikke teknologisk forældet, altså at hardwaren siger fra. Tingene går i stykker. Så kommer der heller ikke en ny Windows ind, men noget af ovenstående, eller bare en lidt større telefon.

Desktoppen er helt død til private, med undtagelse af gamer PC. Men i princippet kunne de fleste mennesker også klare sig med en PC/Andriod på en stik, Chromecast eller lignende "små bokse".
Jeg ser også mange som køber brugt udstyr, eller overtager/aver ældre udstyr, da det meste PC udstyr som er lavet de sidste 10 år, er "godt nok" til nettet.
Eller bliver det, med en SDD og/eller en Linux distribution.

Igen vil jeg også gerne igen, igen, igen slå på tromme for, hvis muligt, at man skifter gamle PC ud til tablet eller lignende. Især hvis gamle hardware som desktop, står tændt 24/7. Så kan de i et nyt Energihus stå for næsten halvdelen af Energiforbruget. Så gamle Windows Desktop, er ikke godt for miljøet.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017