Nye varianter af ransomwaren WannaCrypt i omløb

Illustration: WannaCry
Udbredelsen af de nye varianter er dog usikker, men Microsoft oplyser, at der er rapporter om nye angreb.

Den første udgave af ransomware-ormen WannaCrypt blev stoppet, da et domæne, ormen forsøgte at kontakte, blev registreret af en sikkerhedsekspert. Men der er nye varianter i omløb. Det mener i hvert fald det danske sikkerhedsfirma Heimdal, som er en del af CSIS.

Ifølge Heimdal indeholder den nye variant ikke den samme 'killswitch'-funktion, som gjorde WannaCrypt sårbar, og Heimdal har døbt den nye variant Uiwix, da der kan være tale om en ny familie af ransomware, som blot udnytter samme sikkerhedshul som WannaCrypt.

I en mere end to timer lang Q&A har Microsofts europæiske sikkerhedsansvarlige Henk van Roest svaret på spørgsmål fra kunder og partnere om ransomware-angrebet.

Angrebet sker nemlig gennem et sikkerhedshul, som Microsoft i marts udsendte opdateringer mod, men sikkerhedshullet har gjort det muligt at inficere ikke-opdaterede Windows-maskiner via netværksprotokollen SMB.

Læs også: Derfor var WannaCrypt særlig farlig - og sådan blev den slået ihjel

Microsoft påpeger dog, at Windows 10 ikke er sårbar over for det exploit, WannaCrypt udnytter til at sprede sig. Windows 10 indeholder ifølge Microsoft ikke SMBv1, som var den version, WannaCrypt angriber.

Advarslen om en ny variant fra Heimdal Security nævner dog, at den også angriber SMBv2, men Windows 10 benytter den nyere SMBv3.

Læs også: Alvorlig ransomware-orm: Microsoft lukker sikkerhedshul i Windows XP

Allerede søndag rapporterede Matthieu Suiche fra Comae om nye varianter, hvoraf den ene stadig indeholdt en killswitch i stil med den første variant. Senere rapporter om nye varianter forlød, at killswitch-delen helt var fjernet fra nyere udgaver.

Det er uklart, hvorvidt der er tale om nye varianter af samme familie, og altså fra de samme bagmænd, eller om det er nye familier skabt af nye bagmænd, som blot udnytter samme sikkerhedshul.

Den første WannaCrypt blev ifølge Microsoft registreret fredag morgen europæisk tid, hvor det var store bededag i Danmark, hvorfor færre virksomheders pc'er må formodes at have været eksponeret. Sikkerhedshullet findes dog også i serverudgaver af Windows, og ormen kræver ingen interaktion fra en bruger for at inficere en sårbar Windows-maskine, hvis SMB er tilgængelig via internettet.

Ifølge CSIS var der mandag morgen registreret cirka 300 hændelser i Danmark med WannaCrypt, og Rigspolitiet oplyser, at der er modtaget enkelte anmeldelser om angreb. Det er usikkert hvor mange ransomware-angreb, som normalt rammer Danmark på en mandag.

Region Sjælland blev eksempelvis ramt af en massiv kampagne af phishing-mails, som var relateret til ransomware-angreb. Ifølge sn.dk modtog regionen i løbet af weekenden mere end 60.000 phishing-mails. Det er dog tvivlsomt, at denne kampagne er direkte relateret til WannaCrypt, i det den spreder sig via netværket og ikke umiddelbart via e-mail.

Microsoft påpeger dog, at selvom Windows 10 ikke er direkte sårbar over for angrebet via SMB-protokollen, så kan selve malwaren stadig afvikles på Windows og kryptere filerne. Men så er der tale om en mere velkendt angrebsmetode for ransomware, hvor de bedste råd til beskyttelse er backup af vigtige filer og opdatering af både software og antivirus.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere