Artikel top billede

Ingen nødbremse og flere spredningsmekanismer: Derfor er nyt Petya værre end WannaCry

Ransomware-ormen Petya inficerer i øjeblikket virksomheder i hele verden, og malwaren benytter det samme NSA-exploit som WannaCry. Men Petya begår ikke de fejl, som gjorde det let at stoppe WannaCry-angrebet.

Store virksomheder over hele verden rammes i øjeblikket af ransomware-ormen Petya, og angrebet minder på flere måder om WannaCry, der i sidste måned hærgede systemer i mere end 150 lande.

Men hvor WannaCry var forholdsvis let at stoppe på grund af amatøragtig kodning, er Petya anderledes professionel.

En af de vigtigste forskelle på de to ransomware-typer er, at der tilsyneladende ikke er nogen såkaldt ”killswitch” indbygget i Petya.

Spredningen af WannaCry blev standset forholdsvis hurtigt, fordi en snarrådig sikkerhedsekspert opdagede, at malwaren hele tiden forsøgte at skabe kontakt til et specifikt inaktivt domæne.

Så længe domænet forblev inaktivt fortsatte WannaCry med at sprede sig, men da sikkerhedseksperten registrerede domænet, standsede det.

Desværre er der ingen tegn på, at hackerne bag Petya begår den slags fejl.

Spredt med ukrainsk skatte-software

En anden forskel, der gør Petya værre end WannaCry, er, at den nye ransomware-orm kan sprede sig på flere forskellige måder.

WannaCry var afhængig af det lækkede NSA-exploit EternalBlue, der udnytter en sårbarhed i SMB-protokollen på ikke-patchede Windows-systemer. Hvis du var sikret mod EternalBlue, var du i princippet sikret mod WannaCry.

Petya-ransomwaren gør også brug af NSA-værktøjet, men den kan også sprede sig uden.

Sikkerhedseksperter fra både Cisco og Kaspersky Lab har bekræftet, at Petya er blevet spredt via opdateringsfunktionen i et stykke regnskabs-software fra den Ukrainske virksomhed MeDoc.

Programmet bruges blandt andet til skatteindberetninger i Ukraine og er obligatorisk for registrerede virksomheder i landet, der derfor er hårdt ramt.

Derudover anvender Petya også et andet NSA-exploit – EternalRomance – til fjernadgang, og så snart ransomwaren har inficeret et system, går den i gang med at indsamle kodeord og brugeroplysninger for at opnå administrator-rettigheder.

På den inficerede maskine overtager Petya styringen af værktøjer som Windows Management Instrumentation, og når malwaren har skaffet sig tilstrækkeligt med rettigheder, beder den alle maskiner, den er forbundet med, om også at installere og køre Petya.

Også selvom de er patchede.

Læs også: Kæmpe ransomware-angreb spreder sig over hele verden: Ransomwaren Petya udnytter Windows-hul

Hvad er motivet?

Selvom Petya er teknisk bedre udført og derfor på sin vis farligere end WannaCry, er der stadig ridser i lakken.

Hackerne bag ransomwaren har konstrueret betalingsfunktionen således at alle ofre skal indbetale løsesum til den samme bitcoin-wallet, ligesom alle skal indsende dokumentation for betalingen til en mailadresse.

Således er hele mekanismen afhængig af den ene mailadresse - som mail-leverandøren nu har lukket. Derfor er "ransom"-delen af ransomwaren i praksis sat ud af spillet, og flere danske sikkerhedseksperter vurderer overfor Computerworld, at motivet derfor er noget andet end økonomisk vinding.

Jens Monrad fra FireEye vurderer, at det kan være politisk, mens Peter Kruse mener, at det kan være en test for at se, hvor meget ødelæggelse man kan skabe med et enkelt angreb.

Det kan du læse mere om her: Petya er ikke ransomware, det er meget værre og langt mere alvorligt




Premium
TDC Group nedlægger jobbet som CIO: “Vi har valgt at fremtidssikre det organisatoriske split ved at flytte rollen”
Der kommer ikke en afløser på posten som CIO for TDC Group efter Antonietta Mastroianni tidligere på året forlod den danske telegigant.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Sådan outsourcer du effektivt – og undgår fælderne
Nogle outsourcer for at minimere omkostningsniveauet, andre for at skaffe ressourcer og spidskompetencer, der er svære at skaffe lokalt – eller af en helt tredje årsag. Der er dog talrige forhold, der er gode at afdække, før man overhovedet begynder at lede en outsourcingudbyder. Man skal klarlægge egne projektbehov samt de spørgsmål og krav, man vil stille samt indsamle viden og erfaringer om, hvordan samarbejdet indledes, drives og styres optimalt. Dertil skal man kende til de hyppigste faldgruber, der kan få et ellers lovende outsourcingsamarbejde til at køre i grøften.