Sådan er NotPetya-malwaren skruet sammen
Opdateret klokken 12:58 Der kommer løbende nye informationer om det seneste cyberangreb, som nogen kalder NotPetya. Her er et foreløbigt indblik, som vi forventer at opdatere.
Malwaren ser ud til at være i familie med en i forvejen kendt ransomware-variant, kaldet Petya, men har en række markante forskelle, især fordi den er i stand til at sprede sig automatisk på flere måder og dermed inficere andre Windows-maskiner på samme netværk.
Ifølge Microsoft tyder de foreløbige analyser på, at opdateringsfunktionen til et stykke ukrainsk software til skatteindrapportering er blevet misbrugt til de første infektioner, men den har også brugt samme sikkerhedshul i Windows, som Wannacry-ormen i maj. Microsoft udsendte en sikkerhedsopdatering, som lukkede sikkerhedshullet i marts.
Derudover forsøger malwaren at stjæle loginoplysninger fra den inficerede pc og bruge dem til at få adgang til andre maskiner på samme netværk ved hjælp af to Windows-værktøjer.
Ifølge et indlæg hos MalwareTech bruger malwaren login-oplysningerne til at sprede sig på netværket via WMIC (Windows Management Instrumentation Commandline). McAfee Enterprise oplyser i et blogindlæg, at loginoplysninger bliver indsamlet fra klienten via et værktøj, der minder om open source-programmet Mimikatz.
Ransomware-delen krypterer den inficerede pc ved først at skrive til master boot record (MBR) og sætter samtidig maskinen til at genstarte automatisk efter 10 minutter plus et tilfældigt antal sekunder. Derefter går programmet i gang med at kryptere udvalgte filer. Mens den gør det, viser den et forfalsket skærmbillede, som ligner Microsofts Checkdisk-værktøj til at finde og rette diskfejl.
Når maskinen genstarter, vises et krav om betaling af en løsesum på 300 dollars i bitcoins. For at få udleveret sin krypteringsnøgle, skal man sende en e-mail, og det kan vise sig at være problematisk, fordi den pågældende mailadresse blev lukket ned, skriver Bleeping Computer.
Ifølge sikkerhedsekspert Nicholas Weaver er det også en usædvanlig fremgangsmåde at benytte én mailadresse og én bitcoin-adresse til alle ofre, skriver sikkerhedsblogger Brian Krebs.
Vaccinér din pc
Ved Wannacry-angrebet blev en del af skaden begrænset ved, at en sikkerhedsekspert registrerede et domæne, som malwaren forsøgte at kontakte. Det stoppede ormens spredning.
Den nye NotPetya indeholder ikke en lignende 'killswitch' eller nødstop, men der er dog en mulighed for at forhindre selve krypteringen i at blive afviklet, hvis ormen inficerer en pc. Malwaren tjekker nemlig for, om pc'en allerede er inficeret ved at se, om der findes en bestemt fil. Hvis filen eksisterer, lukker programmet.
Pc'en er dermed stadig inficeret og kan potentielt inficere andre på netværket, men filerne bliver ikke krypteret. Derfor kan man så at sige vaccinere en pc ved at oprette en fil med det pågældende navn, foreslår blandt andet sikkerhedsfirmaet Symantec:
#Petya checks for preexisting infection by looking for its own filename,usually C:\windows\perfc.Creating this file may help as a killswitch pic.twitter.com/yh8O1v6CzB
For at beskytte sig mod NotPetya gælder der de samme anbefalinger som med Wannacry. Først og fremmest bør man installere den tilgængelige Windows-sikkerhedsopdatering. Dernæst kan man opdatere sine netværkspolitikker og eksempelvis slå brugen af SMBv1 fra, foreslår Microsoft.
Derudover kan Snort og andre værktøjer til netværksovervågning benyttes til at opdage, at malwaren forsøger at sprede sig i organisationen. Endelig bør man sikre sig mod ransomware ved at sørge for en backupstrategi, som gør det muligt at gendanne vigtige data, selvom systemerne skulle blive kompromitteret og krypteret.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
