Tidernas mest snabbspridda Ransomware - WannaCry

Tidernas mest snabbspridda Ransomware – WannaCry

På morgonen fredagen den 12e maj började WannaCry (eller WannaCrypt / WannaCryptor) spridas som en löpeld världen över. WannaCry är ett ransomware, alltså ett program som krypterar filer och begär en lösensumma för att återställa dem, som sprider sig som en mask helt automatiskt. WannaCry riktar bara in sig på Windows-system.

Hur spridningen går till

När WannaCry körs på en dator så börjar den med att installera sig själv i systemet, och installerar även anonymiseringsprogrammet Tor, för att kunna prata anonymt med servrarna som styr masken.

Därefter börjar masken använda sig av den inbyggda fil- och skrivardelningen i Windows, för att sprida sig vidare både i det lokala nätverket, och över internet. Masken utnyttjar ett säkerhetshål i Windows som gör att den kan automatiskt köra skadlig kod på andra datorer, bara genom att ansluta till dem.

Om säkerhetshålet

Säkerhetshålet som WannaCry använder sig av finns i alla Windows-versioner, från Windows XP till Windows 10, och Windows Server. Det upptäcktes i samband med att hackergruppen Shadow Brokers släppte säkerhetsverktyg som de stulit från Equation Group i april 2017. Equation Group är en grupp som misstänks ligga bakom masken Stuxnet, och det finns flera exempel på Equation Groups kopplingar till amerikanska myndigheten NSA (National Security Agency).

Redan i augusti 2016 berättade Shadow Brokers att de hade verktyg och information om säkerhetshål som de kommit över från Equation Group, och ville ha betalt för att släppa verktygen. Bland det de kommit över, fanns flera så kallade zero-day-säkerhetshål, alltså aktuella sårbarheter som det inte släppts uppdateringar för. Ett av verktygen de kommit över kallades EternalBlue, som utnyttjar ett säkerhetshål i Windows fil- och skrivardelning för att köra skadlig kod. Microsoft släppte en uppdatering som täppte till hålet den 14e mars 2017, innan EternalBlue hade släppts publikt. Exakt en månad senare, den 14e april, valde Shadow Brokers att släppa ett par av de verktyg de kommit över, däribland EternalBlue. Vissa funderar på om de valde att släppa det, för att Microsoft nu hade patchat säkerhetshålet, även om hackergruppen hade tillgång till det över ett halvår tidigare, och Equation Group (NSA) långt tidigare än så.

Stora störningar världen över

WannaCry spreds snabbt över världen, och drabbade flera olika företag och myndigheter, som fick sina filer krypterade. Ett av de värsta exemplen verkar vara brittiska National Health Service (NHS), som ansvarar för den offentliga sjukvården i Storbrittanien. Det finns siffror som säger att över 40 brittiska sjukhus drabbades av infekterade datorer och medicinsk utrustning, vilket lett till stora förseningar, och att akutsjukvård blivit omdirigerat till andra platser.

Enligt Europol har över 200.000 datorer smittats i fler än 150 länder.

Utöver det har vi även sett bland annat tyska tågstationer

och köpcenter i Singapore bli drabbade.

Även FedEx, Nissan, Renault, Telefonica, och flera stora universitet hör också till de som fått datorer infekterade, och filer krypterade.

Drabbade i Sverige

I Sverige har jag bara hört talas om två drabbade, Sandvik, och Timrå kommun. Det innebär alltså att de har haft sårbara, icke-uppdaterade, Windows-installationer, förmodligen kopplade direkt mot Internet. Rent generellt har de nordiska länderna varit relativt förskonade. Förhoppningsvis för att de varit bra på att hålla system uppdaterade, och att de inte tillåter fil- och skrivardelning på datorer som är anslutna till internet. Man kan ju i allafall alltid hoppas..

Spridningen stoppas – av en slump

När IT-säkerhetsföretag får tag på ny okänd skadlig kod, behöver de analysera den för att se vad den gör. Det sker både manuellt, och helt automatiskt. Oftast används så kallade sandlådor (sandboxes) för att köra den skadliga koden, och se vad den gör. Sandlådan är en kontrollerad del av ett system, och på så sätt får filen som analyseras “leka i en sandlåda” och göra vad den vill, försöka sprida sig, kryptera filer och liknande. Sedan försöker man se vad den gjort, och tar beslut om det var ny skadlig kod som ska stoppas, eller kanske bara ett vanligt “snällt program” man aldrig sett förut.

Många av de som skapar skadlig kod, brukar lägga till programkod för att försöka upptäcka att den körs i en sandlåda, och alltså håller på att analyseras. Om den upptäcker att någon försöker “se vad koden gör”, så brukar den bara avsluta, eller “låtsas vara ett snällt program”. Det finns flera sätt att försöka upptäcka att koden inte körs på ett riktigt system, till exempel kan koden vänta på att användaren ska göra någonting särskilt, eller på annat sätt försöka se om datorn verkar användas normalt. Om programmet som analyseras försöker ansluta till webbplatser, brukar vissa sandlådor låtsas svara, istället för att skicka det vidare till den riktiga webbplatsen. Detta för att att se vad som händer, och för att de inte ska råka “göra något dumt” mot den riktiga webbplatsen.

Det finns flera exempel på skadlig kod som försöker ansluta ut mot slumpade icke-existerande domännamn, och om de lyckas ansluta, så antar de att de analyseras i en sandlåda, och avbryter. Detta sker innan den har visat andra tecken på “dum aktivitet”, som att sprida sig, eller kryptera filer. I fallet WannaCry så försöker den ansluta till domänen “iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”, och om den svarar, så antar den att koden analyseras och avbryter, innan den infekterar systemet eller krypterar några filer. En IT-säkerhetsexpert märkte att WannaCry försökte ansluta till den servern, och registrerade domänen, bara för att kunna spåra hur många datorer som drabbades av infektionen. Genom att äga domänen kunde han se varje gång masken kördes, och kunde se var i världen den infekterade datorn fanns. Tanken bakom det var bara att kunna få statistik om infektionen, men det ledde alltså till att masken trodde den kördes i en sandlåda, eftersom domänen helt plötsligt fanns, och den slutade infektera systemet!

ESET-användare skyddade redan från början

I april, när Shadow Brokers släppte de hackade verktygen som utnyttjade både fixade, och ofixade, sårbarheter i olika system, analyserade vi på ESET vad verktygen gjorde, och la till skydd mot det i våra antiviruslösningar. Sedan över en månad tillbaka stoppar ESET nätverksattacken som utnyttjas som “EternalBlue network attack”, och användaren är alltså skyddad, även om man inte har uppdaterat Windows.

Vi stoppar även flera versioner av WannaCry, och användare som har ESET Live Grid aktiverat, vår molnbaserade säkerhetslösning (aktiverat som standard), var skyddad redan tidigt på fredag morgon, innan spridningen hade tagit fart.

Håll systemen uppdaterade

När masken WannaCry började spridas, så hade en säkerhetsuppdatering som täppte till hålet funnits tillgängligt redan i två månader! Den 14e mars släppte Microsoft MS17-010 (KB4013389) som täppte till hålet. Alla de som har blivit drabbade har alltså inte installerat de uppdateringarna, även fast vi under april såg tusentals datorer bli infekterade, dock inte med ransomware, utan “vanliga” bakdörrar.

Microsoft har även släppt en uppdatering till Windows XP som täpper till hålet, för att så många blivit drabbade har kvar XP, även fast Microsoft slutat stödja det operativsystemet sedan länge.

Detta leder oss osökt in på nästa del…

Sluta använd gamla protokoll

Säkerhetshålet som utnyttjas finns i Windows fil- och skrivardelning. Microsoft har flera olika versioner av det protokollet, och det var SMBv1 som drabbades, ett protokoll som är flera decennier gammalt, och inte används alls av nyare operativsystem. Det har hittats flera säkerhetshål i SMBv1 som gjort att man kan ta över systemet, och till och med de hos Microsoft som jobbar med det, rekommenderar att man stänger av det! Det är lätt att stänga av, och har man relativt nya operativsystem i nätverket, så blir det mycket säkrare av att inte stödja det längre. Rådet som alltid gäller, är att minska den potentiella attackytan, och inte använda funktioner och protokoll man inte har behov av, och att inte låta saker vara nåbara från internet i onödan. Personligen tycker jag att Microsoft borde ha inaktiverat SMBv1 sedan länge som standard, med möjlighet att slå på det om man har uråldriga enheter i nätverket som kräver det.

Det finns fortfarande pengar att tjäna på ransomware

Om man drabbats av WannaCry, och fått sina filer krypterade, så ska man betala $300 för att få tillbaka filerna, det vill säga cirka 2700 kronor. Kanske ett billigt pris om personliga bilder, eller företagets ekonomiservrar eller e-postservrar är krypterade. Man bör alltid ha säkerhetskopior, och bör inte betala de lösensummor som de begär. Man kan inte garantera att filerna blir dekrypterade även om man betalar, och genom att betala stödjer man brottsligheten, och de har ett bra incitament att fortsätta.

Om filerna blir krypterade begär WannaCry betalt i Bitcoin, en virtuell valuta, där det kan vara svårt, eller rent av omöjligt, att spåra vem som betalat vad till vem.

När detta skrivs har flera betalningar gjorts till bitcoin-adresserna som används av WannaCry, och just nu uppgår det till över 29 bitcoin, vilket motsvarar nästan 500.000 kronor.

Microsofts ställningstagande mot NSA

I samband med den här incidenten har Microsoft gjort ett uttalande med sin syn på det hela. Om en amerikansk myndighet vetat om den här sårbarheten länge, utnyttjat den själv för att ta över system, och inte rapporterat det till Microsoft, så är ju de delvis ansvariga för att detta har hänt. Speciellt när system har tagits över av deras egna verktyg, som de “förlorat till hackare”.

Detta är definitivt den ransomware-attack som har fått störst och snabbast spridning, men jag tror absolut inte det är den sista. Oavsett om man hackas för att få in en bakdörr, eller få ransomware installerad så finns det fortfarande massa pengar för de kriminella att tjäna på det hela.

Missa inget!

Prenumerera på Säkerhetsbloggen via e-post!

No comments

Your email address will not be published.