Expert: Ny typ av destruktiva it-attacker på gång

2017-07-24 14:00  
Såväl det nya datorviruset Nyetya som Wannacry utnyttjar ett verktyg kallat Eternal blue, som av experter anses ha utvecklats av USA:s underrättelseorgan NSA. Foto: TT

Efter it-angreppen Wannacry och Nyetya förutspår säkerhetsexperter nu en ny slags sabotageattacker som är betydligt mer destruktiva än tidigare.

(Texten har uppdaterats)

Under våren har it-system världen över skakats av två storskaliga attacker. Först Wannacry, och nu senaste Nyetya. Bland de som drabbades hårt i den senaste attacken fanns bland annat fraktjätten A.P. Moller-Maersk och företag i Göteborgs hamn.

Såväl det nya datorviruset Nyetya som Wannacry utnyttjar ett verktyg kallat Eternal blue, som av experter anses ha utvecklats av USA:s underrättelseorgan NSA.

Verktyget utnyttjar en sårbarhet i ett protokoll (Server Message Block, smb) som Windows använder för att datorer ska kunna dela diskar med varandra i ett nätverk – till exempel via gemensamma servrar. På sätt blir det möjligt att sprida datorviruset inom ett datanätverk. Men Eternal blue kan också missbruka legitima adminstrationsverktyg från Windows, vilket är en säkerhetslucka som företagen inte kan skydda sig mot på samma sätt som smb-svagheten, vilket kan åtgärdas med en säkerhetsuppdatering.

Både Wannacry och Nyetya kan ses på som tydliga tecken på att en ny form av sabotageattacker är på gång, enligt Cisco. I en färsk rapport förutser it-säkerhetsföretaget framväxten av ett nytt slags hot som kallas DeOS (Destruction of Service).

Till skillnad från traditionella utpressningsattacker, där angriparna använder gisslanprogram för att kryptera data hos användarna, är dessa nya angrepp betydligt mer destruktiva.

Målet med attackerna är istället att helt förstöra informtion, inklusive säkerhetssystem och backuper, vilket i praktiken gör det omöjligt för ett företag att få tillbaka sin information.

– Dessa datorvirus ser till ytan ut som ett så kallad ransomware-program, men är egentligen konstruerade på så sätt att det inte ska gå att få tillbaka sin data efter ett angrepp, säger Henrik Bergqvist, cybersecuritychef hos Cisco i Sverige.

Wannacry och Nyetya visar också på en utveckling där it-angriparna har hittat en väg in i datasystem som inte är uppkopplade direkt mot nätet, enligt Henrik Bergqvist. Detta är i synnerhet allvarligt för industrin.

– Dessa virus sprids inte bara utifrån utan också mellan maskiner. En vanlig industridator är inte uppkopplad, men det räcker med att angriparna kommer åt en annan dator hos företaget för att smittan ska kunna spridas till andra maskiner i nätverket.

Lösningen enligt Cisco är att segmentera sina system, det vill säga att skapa vattentäta skott mellan datorer som finns i kontors- och fabriksmiljö på företagen.
– Viktigt är också att hela tiden övervaka trafiken i sina nätverk som bara släppa igenom sådan som är korrekt.

DeOS-attacker visar på en helt ny agenda hos angriparna. Vad vet ni om vilka det är som ligger bakom denna nya typ av attacker?
– Vi kan konstatera att hotet har konstruerats av organisationer, men vi vill inte spekulera i vilka dessa kan vara.

Kalle Wiklund

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Debatt

COMSOL