Cyberattacken: Det vet vi

UTRIKES

IT-attacken. Vad gör viruset?

Viruset låser din dator, krypterar filerna och hindrar omstart. Du möts av ett meddelande att du måste betala in motsvarande 300 dollar i den digitala valutan bitcoin för att kunna låsa upp datorn.

Varifrån kommer viruset?

Attacken började den 27:e juni i Ukraina. Den ukrainska mjukvaruutvecklaren Medoc, som tillverkar ekonomiprogram, ska ha skickat ut en uppdatering. Uppdateringen verkar ha innehållit den skadliga koden.

Hur sprids viruset?

När viruset väl kommit in i systemet försöker det på flera sätt att spridas inom nätverket. Bland annat letar det efter administratörsrättigheter, och använder sig sedan av dem för att skicka ut uppdateringar till andra datorer i nätverket, som på så sätt installerar viruset.

– Det sprider sig som en löpeld i de nätverk som datorn har tillgång till, säger Becky Pickard vid IT-säkerhetsföretaget Digital Shadows.

Att viruset använder administratörsuppgifter gör att den sprids som en så kallad mask från dator till dator, enligt Henrik Bergqvist, områdeschef cybersäkerhet på Cisco.

– Det här är något som kan sprida sig bara genom att man sätter sig på ett internetkafé.

Enligt säkerhetsföretaget Symantec sprids också viruset genom filer som skickas via mejl, vilket ifrågasatts av andra.

Fortsätter det att spridas?

Om Medoc var källan bör den största spridningen redan skett, vilket gör att den bör stanna av. Om andra spridningsmetoder är inblandade kan den fortsätta. Enligt Cisco fortsätter viruset att spridas.

– Det här viruset jobbar mycket mer internt inom företagen, så det är svårare att se utifrån hur utbrottet sprider sig, säger Henrik Bergqvist.

Vad kallas det?

Många kallar viruset Petya. Men ett annat virus som spreds förra året bar samma namn, och då det nu rör sig om ett nytt virus tycker säkerhetsfirman Kaspersky att det bör kallas NotPetya. Ett annat namn som förekommit är Goldeneye.

Vad är kopplingen till Wannacry?

Båda det nya viruset och Wannacry, som började spridas i mitten av maj, utnyttjar ett verktyg som kallas Eternal blue, som av experter anses ha utvecklats av USA:s underrättelseorgan NSA, som kan sprida viruset inom ett datanätverk. Båda virusen låste också användarnas datorer, krypterade filerna och krävde lösensumma för att ge nyckeln. Det nya virusets spridning är dock mer sofistikerat.

Vad är motivet?

Utpressarna kräver 300 dollar, vilket i sammanhanget är en relativt låg summa. Men det kan bli mycket pengar om många betalar. Men den låga summan kan också vara en indikation på att det i stället rör sig om politiska motiv, exempelvis riktat mot Ukraina. Spridningen startade också dagen innan en ukrainsk helgdag.

Ska man betala?

Experter och polis säger nej. Enligt Digital Shadows är också det mejlkonto som är kopplat till kontot dit pengarna ska betalas in låst, vilket gör att det inte finns något sätt för utpressarna att skicka ut krypteringsnyckeln till rätt person.

Hur skyddar man sig?

Uppdatera operativsystem och program, ha ett uppdatera säkerhetsskydd, använd säkerhetskopiering och klicka inte på filer via mejl om du inte säker på att de är osmittade.

– Företagsnätverk måste försöka att införa nätverkssegmentering, så att inte en användardator kan nå en annan användardator via administratörsverktyg, säger Henrik Bergqvist.

Källor: Cert-SE, Digital Shadows, Symantec, Cisco

TT

ARTIKELN HANDLAR OM