Microsoft: Cyberangreb startede via opdateringsfunktion i skattesoftware - leverandør benægter

Ifølge Microsoft er der beviser for, at i hvert fald nogle af de første infektioner med den nye ransomware-orm blev spredt via opdateringsfunktionen i et stykke ukrainsk software.

Ransomware-angrebet, som tirsdag ramte en række globale virksomheder, heriblandt Mærsk, kan meget vel være startet i Ukraine. Ifølge Microsofts analyse af angrebet er der dokumentation for, at i hvert fald nogle af de første infektioner skete gennem et stykke ukrainsk software.

Det drejer sig om software fra ukrainske Medoc, der blandt andet laver software til at håndtere skatteindberetninger i Ukraine. Selskabet selv afviser med henvisning til, at alle filer, som distribueres, bliver scannet og analyseret for malware, inden de distribueres.

Ifølge Microsoft skulle der være afviklet en ondsindet kommando gennem Medocs opdateringsfunktion, men Medoc hævder, at det er et sammentræf, at angrebet er sket samtidig med en planlagt udrulning af opdateringer.

Microsoft henviser også til, at Ukraines egen cyberpolitienhed i første omgang havde peget på Medoc-softwaren som en angrebsvektor.

Tvivl om arnestedet

Ligesom det var tilfældet med Wannacry-ormen, så er der tvivl om, hvordan de første infektioner har fundet sted, men her peger Microsoft altså på, at Medocs opdateringsproces var kompromitteret og blev brugt til at ramme de første mål i Ukraine.

Fra de første inficerede Windows-computere har ormen brugt flere metoder til at sprede sig inden for et netværk. Den har blandt andet brugt et exploit, som udnytter det samme Windows-sikkerhedshul, som Wannacry også brugte.

Men derudover har den nye ransomware, der lige nu går under forskellige navne som NotPetya og Nyetya, også stjålet loginoplysninger fra de inficerede Windows-computere. Det vil sige, at når den har inficeret en pc, så har den forsøgt at udnytte loginoplysningerne fra de brugere, der har været logget ind, til at få adgang til andre maskiner på netværket.

Dermed har det altså været muligt for NotPetya at sprede sig på netværket, selvom Windows-maskinerne er blevet opdateret med den sikkerhedsopdatering, Microsoft frigav i marts.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere