Under tisdagen drabbades en mängd datorer inom stora företag världen över av en sofistikerad ransomware-attack. Trojanen låser de infekterade datorerna, krypterar filer på dem och visar ett meddelande som talar om att du behöver betala motsvarande 2600 kronor för att få krypteringsnyckeln.
Experter säger nu att arbetssättet påminner till stort om WannaCry, den ransomware-trojan som i maj infekterade och låste mängder av datorer. En av likheterna är att även den här attacken, baserad på en trojan vid namn Petya, sprider sig genom att utnyttja läckt teknik från amerikanska NSA.
Tekniken (kallad för EternalBlue) från den amerikanska statliga säkerhetsorganisationen NSA används för att infektera datorer genom att bland annat utnyttja ett säkerhetshål i Windows fildelningsprotokoll SMB. NSA har känt till säkerhetshålet rätt länge, men de har valt att inte informera Microsoft om problemet för att själva kunna använda sig av lösningen.
Läs mer om vad ransomware är
Men så läckte alltså NSA:s kod ut på nätet, vilket nätkriminella var snabba att ta del av för eget bruk. WannaCry innehöll kod från NSA som gjorde det möjligt att effektivt infektera datorer med ransomware-trojanen. Microsoft har varit väldigt kritiska mot att statliga organisationer håller tyst om allvarliga säkerhetshål som de hittat.
Attacken möjlig tack vare NSA-teknik
Säkerhetsexperter har analyserat koden för den nya ransomware-trojanen som började spridas igår, och kommit fram till att det rör sig om en ny variant av en tidigare känd trojan vid namn Petya. Koden innehåller även NSA-tekniken.
Petya verkar också vara mer sofistikerad än WannaCry:
”Detta är ytterligare en allvarlig ransomware-attack med global påverkan, även om antalet offer ännu inte är känd. Det finns tydliga likheter med Wannacry-attacken, men också indikationer på en mer sofistikerad kapacitet, som syftar till att utnyttja en rad sårbarheter”, säger Rob Wainwright på Europol. [Källa: DN]
När WannaCry spreds, och det stod klart att många infekterade datorer körde det utgångna operativsystemet Windows XP, släppte Microsoft en patch som täpper igen säkerhetshålet. Tyvärr verkar det som om användare inte brytt sig om att installera uppdateringen (vilket inte är speciellt förvånande, eftersom de som fortfarande kör Windows XP knappast bryr sig om att uppdatera).
Gissningsvis fler attacker framöver
Vem som ligger bakom Petya är ännu inte klart. När det gäller WannaCry fanns det tecken på att det var hackare i Nordkorea som var skyldiga.
Ukraina, som varit hårt drabbade av gårdagens attack, påstår att det är Ryssland, men det är oklart vad de baserar det på. Även stora företag i Ryssland har infekterats.
Förmodligen kommer vi att få se fler liknande attacker framöver. Begreppet ransomware lär lämna ett stort fotavtryck i 2017.
Läs vidare: Ny ransomware-attack låser företagsdatorer
♥ Gillade du artikeln? ⇨ Bjud på kaffe – Swisha 25 kr till 070-3321680!
Inlägget NSA-verktyg och trojanen Petya i tisdagens ransomware-attack dök först upp på TkJ. se - En av Sveriges ledande teknikbloggar!.