Digitalisering

Expertens analys: Så är Wannacry konstruerat

Joachim Strömbergson, säkerhetsexpert hos Assured. Foto: Assured
Joachim Strömbergson, säkerhetsexpert hos Assured. Foto: Assured

Vi har inte sett slutet av Wannacry än, menar säkerhetsexperten Joachim Strömbergson. I framtiden kan det dyka upp nya versioner av masken som för med sig annan skadlig kod än just gisslanprogram, visar hans analys.

Publicerad

På fredagen 12 maj började en så kallad datormask att sprida sig som en löpeld runt om i världen. Masken attackerar via Microsofts server message back-protokoll (smb), som används för att dela diskar i ett gemensamt nätverk. Wannacry, som är en trojan, attackerar flera av de versioner som finns av smb-protokollet, och installerar sedan ett gisslanprogram på de angripnas datorer.

Att angriparna har valt smb-protokollet som attackväg är intressant, säger Joachim Strömbergson, säkerhetsexpert hos Assured. Smb-sårbarheten öppnar bland annat för scenarier där någon har använt ett öppet trådlöst nätverk på exempelvis ett kafé och på sätt har exponerat sin smb-port.

– När Wannacry-masken väl har infekterat systemet kan den sedan sprida sig på ett företag när den smittade datorn ansluter till det gemensamma nätverket. Om någon kopplar upp en dator som har smittats i ett öppet nätverk hjälper inte heller brandväggarna som har satts upp inom företaget, säger Joachim Strömbergson till Ny Teknik.

Läs mer:

Spridningen av Wannacry-viruset har hittills varit ”högst begränsad”, uppger polisen. Men Joachim Strömbergson befarar att vi ännu inte har sett slutet på attacken.

Hans analys visar att masken har tre beståndsdelar. Den första består av kod som utnyttjar själva smb-svagheten för att ta sig in i systemen. Den delen utgörs av en så kallad dropper, ett slags program som designat för att installera malware, det vill säga skadlig kod. I fallet med Wannacry består malware-koden av ransomware, alltså ett gisslanprogram som kapar och krypterar användarens dator.

– Det finns inget som säger att droppern behöver installera just ett ransomware-program. Det innebär att vi kan komma att få se ”syskon” till det första Wannacry-masken – nya versionen av trojanen som utnyttjar samma sårbarhet, men som bär med sig och installerar en helt annan skadlig kod.

Sårbarheten i Microsofts smb-protokoll upptäcktes av NSA, USA:s underrättelseorgan. Men i stället för att rapportera det till Microsoft så byggde NSA ett cybervapen som drog nytta av svagheten. Koden som användes för att bygga verktygen stals sedan från NSA. Efter det har någon byggt en mask som utnyttjar sårbarheten, uppger Microsoft i ett uppmärksammat blogginlägg.

Det är inte första gången något sådant sker – tidigare har bland annat det italienska it-företaget Hacking Team hackats, vilket ledde till att flera nolldag-sårbarheter läckte ut, säger Joachim Strömbergson.

– De som skriver den här typen av skadlig kod är ofta yrkeskriminella. Ransomware är en stor marknad som omsätter stora summor pengar.

Han fortsätter:

– Datormaskar av det här slaget har en stor spridningsförmåga. Av allt att döma handlar det inte om en riktad attack. I stället slår masken mot allt det kan. Microsoft täppte till säkerhetsluckan i mars, men alla har inte uppdaterat till den senaste Windows-versionen.

Läs mer:

Expertens tips: Så skyddar dig mot Wannacry

Vilket är bästa sätten att skydda sig som privatperson?

-Se till att aktivera automatisk uppdatering av ditt operativsystem. Tänk också på att använda långa och komplexa lösenord, Joachim Strömbergson.

-Kontrollera att bredbandsroutern hemma inte använder ett standardlösenord som tillverkaren har satt utan byt till ett eget. Det finns oftast information om hur du gör det i manualen som kommer med routern. Om du har en bärbar dator som du brukar använda utanför hemmet kan det vara bra att installera ett vpn-program som skyddar din data när du ansluter till ett öppet nätverk på ett café, till exempel.

Hur kan proffsen skydda sig?

-Se till att stänga av SMB-protokollet om det inte använda. Spärra också brandväggen eller bredbandsroutern för access mot smb-portarna 139 och 445. Det gäller egentligen både för företag och hemmaanvändare.

-Viktigt är också att sätta upp en separat brandvägg som skyddar internetnätverken som finns på ditt företag eller organisation.

-Se till att hela tiden övervaka trafiken som flödar i nätverken – på så sätt kan ni snabbt upptäcka om det förekommer några märkligheter.

-Gör en rejäl genomsyn på företaget. Vad har ni för maskiner i nätverken? Många stora kopiatorer och andra uppkopplade kontorsmaskiner körs exempelvis med Windows XP.

-”Bring your own device” är en trend som vi ser i dag. Som teknisk chef eller systemadministratör är det bra att fundera på om detta kan utsätta nätverken för onödiga risker. Det kan också vara bra att utbilda medarbetarna i hur man säkrar sina hemmanätverk på ett bättre sätt, för att förhindra att datorer smittas där och sedan tar med sig masken innanför era brandväggar på kontoret.