Svenska företag utsatta för nytt it-angrepp

2017-06-02 10:02  
Här är listan över de svenska verksamheter som fått flest varningsmejl från krisskyddsmyndigheten om it-attacker de senaste åren. Grafik: Jonas Askergren Foto: Diagram över varningar från MSB

Var femte svenskt företag är utsatt för ett angrepp av skadlig datorkod. Koden kan i hemlighet hämta kredituppgifter och filer. 250 miljoner datorer världen över beräknas ha drabbats.

– Vi upptäckte att det var en stor spridning. Det är inte en attack på samma sätt som den man läst om nyligen med ransomware, utan det här är mer att användare har laddat ner gratisprogram till sina datorer. Det har nog pågått under en längre tid, kanske flera år, säger Fredrik Johansson, säkerhetsexpert på it-företaget Check Point.

Den skadliga koden ”Fireball” kommer från så kallade ”plugins”, eller tillägg, till datorns webbläsare som skapats av ett kinesiskt reklamföretag vid namn Rafotech.

Tilläggen laddas ned av användaren själv, men bakom den ursprungliga funktionen döljer sig kod som sparar användarens information och gör att datorn kan bli ett vapen i en storskalig överbelastningsattack. Koden har inbäddat i sig en funktion som försöker kringgå datorns säkerhetsfunktioner.

– Det ger full tillgång till datorn, som filer, vilka sidor du besöker, kreditkortsinformation som du matar in på en hemsida. Den kan också ladda ner nya malwares till din dator, säger Fredrik Johansson.

Läs mer:

Läs mer: Kartläggning: De utsätts för flest it-attacker i Sverige

250 miljoner datorer över hela världen och 20 procent av alla företagsnätverk är infekterade, enligt Check Point. Värst drabbat är Indien och Brasilien med tillsammans 50 miljoner datorer.

Som tur är vet man vilka datorerna är genom att sökmotorn byts ut till en kinesisk variant. Men eftersom angreppet är så tydligt är det förvånande att så många är drabbade, enligt Fredrik Johansson.

21 procent av svenska företagsnätverk är infekterade, vilket kan leda till att företagens domäner och ip-adresser i förlängningen blir svartlistade och utgående mejl hamnar i spam-korgar. Även privatpersoner kan ha drabbats.

Läs mer:

Läs mer: Lösenord läckte från partimedarbetares jobbdatorer

För att bli av med den skadliga koden ska man avinstallera tilläggen direkt på datorn, men också i webbläsaren – en funktion som finns inbyggd i de populäraste varianterna – och köra sitt antivirusprogram.

Fredrik Johansson ser en stor potentiell risk i hur spridd den skadliga koden är.

– Det kan vara att det inte finns något ont uppsåt. Men det räcker att någon kommer åt deras nät så kan man använda 250 miljoner datorer i en icke önskvärd attack.

”Så varnas svenska medier, företag och myndigheter”

Uppgifter om sårbarheter rörande svenska datorer och nät, får Cet.se via stiftelser, organisationer eller företag såsom Shadowserver, Zeustracker, Malwarepatrol, DroneBL och Autoshon. 

De mejlas vidare till ägarna av de berörda ip–adresserna. Det sker form av så kallade säkerhetsmeddelanden, som antingen sänds automatiskt via systemet Megatrone eller manuellt av MSB–anställda, och når kontaktpersoner på exempelvis statliga myndigheter, banker, kommuner, webbhotell, samhällsviktiga företag, mediehus, landsting, riksdagspartierna eller internetleverantörer.

Det finns i dag ip–adresser som hör till omkring 700 svenska verksamheter inlagda i Megatrone.

 

Exempel på säkerhetsmeddelande:

---

Det tyska företaget Nextcloud GmbH har utfört skanningar efter installationer med gamla versioner av ownCloud som finns öppet tillgängliga på Internet. ownCloud är en programsvit för att köra egna instanser av molntjänster för synkronisering och delning av data.

Den innehåller sårbarheter som kan utnyttjas för att få obehörig åtkomst till data som lagras i systemet.

En angripare kan potentiellt få tillgång till känslig information så som privata dokument, bilder eller kunddata från företag.

Säkerhetsbristerna kan även utnyttjas för att exekvera godtycklig kod på molnservern vilket potentiellt leda till en full kompromettering av systemet.

Nedan listas de system som påträffats i ert nätverk.

Tidsstämpeln (tidszon UTC) visar när den sårbara installationen identifierades. Dessutom visas även en angiven risknivå för varje påträffat system. Sårbara installationer i ert nät:

P-adress: IP-ADRESS

Port: 80

Datornamn: XXX

Alt. datornamn: XXX.XXX

Tidsstämpel: 2017–04–03 01:54:49 UTC

Installerad version: 6.0.2.2

Risknivå: critical

Kontakta oss gärna vid frågor.

Vanliga frågor och svar

–-

CERT–SE har funnit att en eller flera datorer i ert nätverk finns med i en RBL–lista (realtime blacklist).

En IP–adress kan hamna i en RBL–lista om skräppost (spam) har skickats från adressen eller om e–postservern är felkonfigurerad.

I vissa fall rör det sig om infekterade klientdatorer som ingår i ett botnät, men i allvarligare fall kan e–postservern ha tagits över av "spammare".

Det kan också röra sig om så kallat "backscatter" då även korrekt konfigurerade e–postservrar kan hamna i en RBL–lista.

Mer info: Wikipedia.  http://en.wikipedia.org/wiki/Backscatter_%28e–mail%29.

Det finns en antal webbplatser där en IP–adress kan kontrolleras mot ett flertal RBL-listor: Mtoolbox och Antiabuse.

IP-block: XXXX

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt