Digitalisering
Expertens analys: Så är Wannacry konstruerat

Vi har inte sett slutet av Wannacry än, menar säkerhetsexperten Joachim Strömbergson. I framtiden kan det dyka upp nya versioner av masken som för med sig annan skadlig kod än just gisslanprogram, visar hans analys.
På fredagen 12 maj började en så kallad datormask att sprida sig som en löpeld runt om i världen. Masken attackerar via Microsofts server message back-protokoll (smb), som används för att dela diskar i ett gemensamt nätverk. Wannacry, som är en trojan, attackerar flera av de versioner som finns av smb-protokollet, och installerar sedan ett gisslanprogram på de angripnas datorer.
Att angriparna har valt smb-protokollet som attackväg är intressant, säger Joachim Strömbergson, säkerhetsexpert hos Assured. Smb-sårbarheten öppnar bland annat för scenarier där någon har använt ett öppet trådlöst nätverk på exempelvis ett kafé och på sätt har exponerat sin smb-port.
– När Wannacry-masken väl har infekterat systemet kan den sedan sprida sig på ett företag när den smittade datorn ansluter till det gemensamma nätverket. Om någon kopplar upp en dator som har smittats i ett öppet nätverk hjälper inte heller brandväggarna som har satts upp inom företaget, säger Joachim Strömbergson till Ny Teknik.
Läs mer:
Spridningen av Wannacry-viruset har hittills varit ”högst begränsad”, uppger polisen. Men Joachim Strömbergson befarar att vi ännu inte har sett slutet på attacken.
Hans analys visar att masken har tre beståndsdelar. Den första består av kod som utnyttjar själva smb-svagheten för att ta sig in i systemen. Den delen utgörs av en så kallad dropper, ett slags program som designat för att installera malware, det vill säga skadlig kod. I fallet med Wannacry består malware-koden av ransomware, alltså ett gisslanprogram som kapar och krypterar användarens dator.
– Det finns inget som säger att droppern behöver installera just ett ransomware-program. Det innebär att vi kan komma att få se ”syskon” till det första Wannacry-masken – nya versionen av trojanen som utnyttjar samma sårbarhet, men som bär med sig och installerar en helt annan skadlig kod.
Sårbarheten i Microsofts smb-protokoll upptäcktes av NSA, USA:s underrättelseorgan. Men i stället för att rapportera det till Microsoft så byggde NSA ett cybervapen som drog nytta av svagheten. Koden som användes för att bygga verktygen stals sedan från NSA. Efter det har någon byggt en mask som utnyttjar sårbarheten, uppger Microsoft i ett uppmärksammat blogginlägg.
Det är inte första gången något sådant sker – tidigare har bland annat det italienska it-företaget Hacking Team hackats, vilket ledde till att flera nolldag-sårbarheter läckte ut, säger Joachim Strömbergson.
– De som skriver den här typen av skadlig kod är ofta yrkeskriminella. Ransomware är en stor marknad som omsätter stora summor pengar.
Han fortsätter:
– Datormaskar av det här slaget har en stor spridningsförmåga. Av allt att döma handlar det inte om en riktad attack. I stället slår masken mot allt det kan. Microsoft täppte till säkerhetsluckan i mars, men alla har inte uppdaterat till den senaste Windows-versionen.
Läs mer: