Artikel top billede

Ingen nødbremse og flere spredningsmekanismer: Derfor er nyt Petya værre end WannaCry

Ransomware-ormen Petya inficerer i øjeblikket virksomheder i hele verden, og malwaren benytter det samme NSA-exploit som WannaCry. Men Petya begår ikke de fejl, som gjorde det let at stoppe WannaCry-angrebet.

Store virksomheder over hele verden rammes i øjeblikket af ransomware-ormen Petya, og angrebet minder på flere måder om WannaCry, der i sidste måned hærgede systemer i mere end 150 lande.

Men hvor WannaCry var forholdsvis let at stoppe på grund af amatøragtig kodning, er Petya anderledes professionel.

En af de vigtigste forskelle på de to ransomware-typer er, at der tilsyneladende ikke er nogen såkaldt ”killswitch” indbygget i Petya.

Spredningen af WannaCry blev standset forholdsvis hurtigt, fordi en snarrådig sikkerhedsekspert opdagede, at malwaren hele tiden forsøgte at skabe kontakt til et specifikt inaktivt domæne.

Så længe domænet forblev inaktivt fortsatte WannaCry med at sprede sig, men da sikkerhedseksperten registrerede domænet, standsede det.

Desværre er der ingen tegn på, at hackerne bag Petya begår den slags fejl.

Spredt med ukrainsk skatte-software

En anden forskel, der gør Petya værre end WannaCry, er, at den nye ransomware-orm kan sprede sig på flere forskellige måder.

WannaCry var afhængig af det lækkede NSA-exploit EternalBlue, der udnytter en sårbarhed i SMB-protokollen på ikke-patchede Windows-systemer. Hvis du var sikret mod EternalBlue, var du i princippet sikret mod WannaCry.

Petya-ransomwaren gør også brug af NSA-værktøjet, men den kan også sprede sig uden.

Sikkerhedseksperter fra både Cisco og Kaspersky Lab har bekræftet, at Petya er blevet spredt via opdateringsfunktionen i et stykke regnskabs-software fra den Ukrainske virksomhed MeDoc.

Programmet bruges blandt andet til skatteindberetninger i Ukraine og er obligatorisk for registrerede virksomheder i landet, der derfor er hårdt ramt.

Derudover anvender Petya også et andet NSA-exploit – EternalRomance – til fjernadgang, og så snart ransomwaren har inficeret et system, går den i gang med at indsamle kodeord og brugeroplysninger for at opnå administrator-rettigheder.

På den inficerede maskine overtager Petya styringen af værktøjer som Windows Management Instrumentation, og når malwaren har skaffet sig tilstrækkeligt med rettigheder, beder den alle maskiner, den er forbundet med, om også at installere og køre Petya.

Også selvom de er patchede.

Læs også: Kæmpe ransomware-angreb spreder sig over hele verden: Ransomwaren Petya udnytter Windows-hul

Hvad er motivet?

Selvom Petya er teknisk bedre udført og derfor på sin vis farligere end WannaCry, er der stadig ridser i lakken.

Hackerne bag ransomwaren har konstrueret betalingsfunktionen således at alle ofre skal indbetale løsesum til den samme bitcoin-wallet, ligesom alle skal indsende dokumentation for betalingen til en mailadresse.

Således er hele mekanismen afhængig af den ene mailadresse - som mail-leverandøren nu har lukket. Derfor er "ransom"-delen af ransomwaren i praksis sat ud af spillet, og flere danske sikkerhedseksperter vurderer overfor Computerworld, at motivet derfor er noget andet end økonomisk vinding.

Jens Monrad fra FireEye vurderer, at det kan være politisk, mens Peter Kruse mener, at det kan være en test for at se, hvor meget ødelæggelse man kan skabe med et enkelt angreb.

Det kan du læse mere om her: Petya er ikke ransomware, det er meget værre og langt mere alvorligt