"Petya" del i ny våg av svåra nätattacker

UTRIKES

Brott. Säkerhetsexperter försöker att ta reda på hur den nya nätattacken som lamslagit stora företag världen över fungerar, och vad som ligger bakom.

– Spridningen fortsätter. Det har inte stannat av, säger Henrik Bergqvist vid IT-företaget Cisco.

Den stora datorattacken ställer till problem världen över. Banker, hamnar, oljebolag och en chokladfabrik i Australien har fått se sin verksamhet drabbad av det nya viruset.

Viruset låser användarnas datorer, liksom "Wannacry" som spreds i mitten av maj, och den som drabbas krävs på pengar för att komma åt sina egna filer. Viruset har fått olika namn, bland annat "Petya". Typen av virus för att säkerhetsexperten Ola Rehnberg på Symantec säger att vi trätt in i en ny fas av cyberattacker.

– Det är oerhört mycket mer avancerade verktyg man använder sig av, vilket gör att man får en större spridning på attackerna och många fler drabbas.

Liksom vid Wannacryattacken utnyttjas en sårbarhet i Windows fildelningsprogram SMB, ett hål som Windows täppt igen i en uppdatering tidigare i år. Men Petya använder också Windows administratörsverktyg för att spridas, vilket gör det svårare att skydda sig mot.

Bara början

– Med Wannacry räckte det att ha ditt system uppdaterat med senaste mjukvaran så klarade du dig, men det hjälper inte här. För det utnyttjar inte sårbarheter, utan missbrukar administrationsverktyg, säger Henrik Bergqvist vid IT-företaget Cisco.

Han tror liksom Rehnberg att den här typen av attacker bara är början.

– Det är en ny metod som man har kommit på som vi kommer att få se fler varianter av. Det sprids från dator till dator, till skillnad från klassisk ransomware som laddas ner från internet, säger Bergqvist.

Startade i Ukraina

Attacken startade i Ukraina i samband med att det ukrainska företaget Medoc, som tillverkar bokföringssystem, skickade ut en programuppdatering.

– Det verkar som att uppdateringsmekanismen spred ut infektionen, säger Becky Pinkard, vid IT-säkerhetsföretaget Digital Shadows.

De första rapporterna om problem kom från banker i Ukraina, Kievs största flygplats och den ryska oljejätten Rosneft. Sedan har även viruset spridits till många andra länder.

Den danska fraktbjässen A P Møller-Mærsk är hårt drabbad. Stora hamnterminaler i exempelvis Göteborg och Indien har tvingats stänga.

Kan vara politiskt

Hackarna kräver motsvarande 300 dollar för att låsa upp datorer. Hittills har dock inte särskilt många insättningar gjorts, enligt Digital Shadows och Symantec. Attacken sammanfaller också med att det i dag är helgdag i Ukraina, vilket skulle kunna innebära att motivet i stället är politiskt.

– Absolut, det kommer att vara en av dagens hypoteser, säger Pinkard.

Men enligt Ola Rehnberg är det inte säkert att det har någon betydelse.

– Ukraina har varit drabbat tidigare, där vi sett tidigare exempel mot kraftstationer förra året. Det är kanske delvis beroende på vad man använder sig av för skyddsfunktioner, hur avancerat internetskydd man använder.

Svårt låsa upp

Förutom att låsa filerna på datorn hindrar Petya datorerna från att starta om.

– Den förstör datorn ordentligt och förstör möjligheterna att komma åt ens filer. Vissa forskare på internet pratar om att det finns sätt att hitta nycklarna, som alltid i sådana här sammanhang. Men generellt är det svårt med dagens krypteringsteknik, säger Rehnberg.

FAKTA

Wannacry-viruset

Den förra stora attacken skedde 12 maj. Då låste sig datorer för hundratusentals användare, genom att kryptera innehållet på hårddiskarna med krav på lösesummor.

Utpressningsmasken, kallat Wannacry (benämns även Wcry eller WanaCrypt0r eller Wannacrypt), infekterade Windows-system och krypterade filer både lokalt och på delade nätverk.

Om Wannacry varit ett vanligt datorvirus hade massor av människor behövt klicka på länkar för att det skulle spridas, men med en så kallad mask räcker det att en enda dator i ett nätverk blir smittad.

Masken utnyttjade en säkerhetslucka i ett protokoll kallat SMB som används för att exempelvis skrivare och servrar ska kunna kommunicera med varandra inom ett nätverk.

Det berodde enligt säkerhetsexperter på att hackarna använt ett verktyg som ursprungligen utvecklats av USA:s underrättelseorgan NSA, kallat Eternal Blue, som kan sprida viruset inom ett datanätverk.

Redan den 14 mars hade Windows släppt en uppdatering, en så kallad patch, som täppte till säkerhetshålet. Viruset drabbade därför bara användare som inte uppdaterat.

Att låsa upp en drabbad dator kostade 300-600 dollar, motsvarande cirka 2 500-5 300 kronor, i den digitala valutan bitcoin.

Källor: CERT.se, AFP, Reuters, Romab, The Financial Times, The New York Times

TT

ARTIKELN HANDLAR OM