Hackerangrebene mod danske mål er taget til, siden en række offentlige myndigheder og virksomheder mandag blev ofre for ransomware-angreb, hvor hackerne krypterede vigtige data og afkrævede løsepenge for at låse dem op igen.
Klokken 16.10 torsdag væltede det ind med nye angreb.
»De kører igen og skyder mod vilkårlige mål ligesom det, der gav problemer i mandags. Det er helt vilkårlige mål. De skyder mod alt og alle,« siger it-sikkerhedsekspert fra CSIS Peter Kruse til Politiken.
Der er ifølge CSIS igen tale om et angreb med Cryptowall, som er den software, hackerne bruger til at ‘kidnappe’ og kryptere ofrenes filer med.
»Krypteringen er så kraftig, at reetablering af data stort set er umulig, hvorfor vi indtrængende opfordrer alle til at sikre, at der er forsvarlig backup og incident response-procedurer på plads. Vi vurderer denne trussel som høj, idet kørsel af koden af en uforsigtig modtager kan føre til alvorlige og uoprettelige skader, såfremt der ikke er etableret en backup-procedure,« advarer CSIS.
Cryptowall gennemsøger systematisk alle datafiler lokalt og på alle tilgængelige fællesdrev og krypterer disse med en unik nøgle RSA2054, ifølge CSIS.
Hackerne får adgang til ofrenes computere ved at sende e-mails ud med zip-filer, der indeholder en binær fil, som kopierer sig selv til harddisken, når brugeren aktiverer den.
Filen lægger sig i Windows-mappen "%brugerprofil%]\Application Data[vilkårligt filnavn].exe". Derudover bliver en sekundær kode også kopieret ind i startmappen.
Efterfølgende kontakter Cryptowall-softwaren en række blokerede domæner, som genererer en nøgle, hvorefter de lokale filer bliver krypteret.
Samtidig bliver den inficerede computer en del af et botnet, der registrerer infektionen og danner en unik krypteringsnøgle som anvendes til at kryptere data på maskinen og tilgængelige servere.