NotPetya ser ud til at have spredt sig fra Ukraine via VPN
Alt tyder lige nu på, at det opsigtsvækkende cyberangreb med malwaren NotPetya er startet i Ukraine og har spredt sig via VPN-forbindelser hos globale virksomheder som Mærsk, Merck, FedEx og WPP til kontorer i andre lande, heriblandt Danmark.
Ifølge Bitdefender, ESET, Kaspersky, Malwaretech og Microsoft er der ikke fundet klar dokumentation for, at malwaren skulle have spredt sig på andre måder end via opdateringsfunktionen i software fra ukrainske Medoc.
Medoc har selv afvist, at selskabets software skulle have noget med sagen at gøre, men ifølge sikkerhedsfirmaerne har NotPetya i hvert fald udnyttet en eksekverbar fil, som bruges af Medocs software til at installere opdateringer på Windows, til at afvikle selve malwaren, som i sig selv ikke blev downloadet som en eksekverbar fil.
Medocs software bruges af virksomheder og organisationer, som eksempelvis skal indberette skatteoplysninger i Ukraine, og softwaren betegnes visse steder som 'obligatorisk', hvis man vil drive forretning i Ukraine.
Dermed er det også sandsynligt, at de store globale virksomheder, som er blevet ramt, og alle har kontorer i Ukraine, også har benyttet softwaren. Malwaren kan således være kommet ind på en Windows-pc hos den ukrainske afdeling.
Spreder sig ved at stjæle identiteter
Når malwaren har inficeret en Windows-pc, så forsøger den at sprede sig over lokalnetværket via et Windows-sikkerhedshul, som også Wannacry udnyttede. I modsætning til Wannacry-ormen, så forsøger NotPetya ikke at inficere IP-adresser på internettet, men kigger kun på de maskiner, der findes på lokalnetværket.
Samtidig er den i stand til at stjæle identitetsoplysninger i hukommelsen på den inficerede Windows-maskine. Disse oplysninger bliver brugt til at forsøge at tilgå andre enheder på netværket, og hvis det lykkes, kan ormen sprede sig.
Det er altså muligt for en organisation at blive ramt, selvom sikkerhedshullet, som Wannacry også udnyttede, er lukket med den opdatering, Microsoft frigav i marts.
Det er således også muligt for NotPetya at sprede sig til andre afdelinger af en global virksomhed, hvis der eksempelvis er en VPN-forbindelse mellem lokalnetværket i den ukrainske afdeling og hovedsædet.
I forbindelse med angrebet har der også været meldinger om, at en offentlig hjemmeside i Ukraine skulle være blevet brugt som et 'watering hole' - altså et angreb, der går målrettet efter de brugere, som besøger en bestemt hjemmeside.
Det ser dog ud til at være en variant af den rigtige Petya-ransomware, som har været benyttet og ikke NotPetya, der skiller sig ud med en defekt krypteringsmekanisme og automatisk spredning.
Der har også været forlydender om spredning via e-mail, men det ser ud til at være en phishing-kampagne med en variant af ransomware-familien Loki, som blot tidsmæssigt er faldet sammen med NotPetya-angrebet.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
