Det igangværende angreb fra ransomware kriminelle har trukket overskrifter. Og med god grund. Desværre har indholdet af de fleste artikler ikke været særligt præcist, så det har givet anledning til en del forvirring, og for den sags skyld også flere eksperter, der har modsagt hinanden.
Grundlæggende så består ethvert angreb af 3 ting:
- Det indledende gennembrud af din sikkerhed
- Udbredelsesmekanismen
- Skadevolderen.
(2) Det, der har gjort det aktuelle angreb så omfattende er pkt 2: Hvor ransomware hidtil har angrebet den PC som er blevet kompromitteret ved det første angreb og dermed har ramt alle filer, som er til rådighed på den PC (på PCen selv eller på et tilknyttet netværksdrev), så benytter det nuværende angreb en sårbarhed i SMB protokollen (del af Windows fildeling) til at “springe” til andre PC’er, så hvis fx Jensen klikker på en vedhæftet fil, han skulle have holdt sig fra, så kan Hansen og Larsens PC’er også blive ramt. SMB findes i 3 versioner og der har været meget forskellige udmeldinger om, hvilken af disse versioner, der har sårbarheden: Kaspersky sagde SMBv2, mens Microsoft sagde SMBv1. Sandheden er nu nok den, at alle SMB versioner har sårbarheden, men p.g.a. Microsofts opdateringspraksis, så burde SMB2 og SMB3 være blevet rettet med en opdatering, der blev udsendt 14. marts. Efter angrebet satte ind har Microsoft også udsendt en opdatering til Windows XP og Windows Server 2003 som benytter SMBv1 (se henvisningen ovenfor) selv om disse Windows udgaver er udenfor support.
Sammenhængen mellem versioner: SMBv1 benyttes i Windows XP og Windows Server 2008, SMBv2 benyttes i Windows Vista, Win 7 og Windows Server 2008 og 2012, SMBv3 benyttes i Windows 10 og Windows Server 2016. Men alle nyere versioner kan også forbinde til ældre servere så fx Win 7 kan også “snakke” SMBv1 og dermed evt. være offer for fejl i SMBv1 protokollen.
Det ekstra morsomme i sagen er så at udbredelsesmekanismen bygger på EternalBlue, som er udviklet af NSA og blevet “snuppet” fra dem. Denne type udbredelsesmekanisme betegnes en “orm” – SMB findes kun på lokalnet (protokollen anvendes ikke mellem maskiner, der befinder sig på forskellige net), så i princippet burde denne orm kun kunde kravle rundt indenfor det lokalnet, som den er kommet ind på (inkl. fx VPN forbundne netværk. VPN=Virtual Private Net= et lokalnet, der strækker sig over flere fysiske adskilte lokationer), men programkoden kontakter enhver computer over port 445 (SMB porten), så hvis den er åben i din firewall, kan du blive angrebet. Der er lidt mere om EternalBlue her: isc.sans.edu forums ETERNALBLUE Windows SMBv1 Exploit og MalwareBytes har lavet en glimrende detaljeret teknisk gennemgang her: malwarebytes.com threat-analysis the-worm-that-spreads-wanacrypt0r Malwarebytes advarer også mod åbne Fjernskrivebords-sessioner. Og så er der gang i konspirationsteorierne i debatten efter artiklen.
(3) Selve skadevolderen er mere eller mindre en kryptering, som det har været kendt i nogen tid. Den er ny, så der er endnu ikke nogen der har fundet ud af hvordan man kan dekryptere de krypterede filer, men der arbejdes på sagen. Det er ikke alle krypteringsprogrammer, som kan gennemskues til en sådan grad, at der kan laves en modgift. Der har dog også været rygter om, at dette angreb indeholder en ekstra skadevolder: En bagdør (en mulighed for at en hacker nemt kan komme ind på PCen) ved navn DoublePulsar skulle være med i “pakken”.
(1) Selv nu, flere dage efter angrebets start, er der ikke nogen klare meldinger om, hvad det indledende gennembrud består af. Der har været talt meget om hackere, men det er mit indtryk, at det udelukkende er fordi, det er et fængende ord i en overskrift. En hacker er en person, der med sine egne små fingre – og betydelig viden – trænger igennem diverse beskyttelsesmekanismer og “gør noget”. Den almindelige udbredelsesmekanisme for ransomware: En vedlagt fil i en mail eller et link i en mail eller på en hjemmeside til eksekverbar kode et sted ude i verden, har jo vist sig uhyre effektiv, så jeg har lidt svært ved at forestille mig, at de indledende plantninger af programmet skulle være foretaget af hackere. Det kan også tænkes at der er tale om flere metoder og måske får vi på et tidspunkt mere at vide. idg.se har nogle af de bedste artikler om sagen: idg.se wannacry–har-ar-allt-du-behover-veta, og idg.se SMB sikkerhedshullet i Windows
DR.DK har skrevet meget om sagen – men lidt meget i øst og vest, fx: dr.dk ekspert-misforstaaet-gigantisk-cyberangreb-er-afhaengig-af-dit-klik, som indeholder en decideret skadelig udtalelse: “Dermed er der ikke meget, du kan gøre som almindelig medarbejder for at undgå ’WannaCry’ i at angribe din computer, når du møder på arbejde mandag morgen”. Du kan ALTID selv gøre noget og du SKAL altid selv være forsigtig med, hvad du klikker på.
Dansk Wikipedia har en god opdateret artikel: da.wikipedia.org WannaCry_ransomware_angreb
På det mere konspirationsteori-agtige plan, har nogen undret sig over at de kriminelle kræver et så relativt lavt beløb. Er formålet et helt andet end kriminal afpresning? Det er først og fremmest Rusland, der er blevet angrebet men tilsyneladende også alle brugere af Windows XP og Windows Server 2003, som Microsoft gerne vil overbevise folk om, at de bør opgradere til en Windows version, der er indenfor support.
Hvis du bliver ramt: Husk at betaling af løsesum er finansiering af det næste angreb.