Lørdag 13. mai gikk Nasjonal sikkerhetsmyndighet ut med informasjon om den omfattende ransomware (løsepengevirus) kampanjen som har infisert flere store europeiske selskaper. Noen selskaper med tilknytninger til Norge har også blitt rammet, men i begrenset omfang. I media kan man lese at Choice Hotels kjeden og billettsystemet til Eliteserien i fotball er noen av de berørte bedriftene. Kampanjen er dekket av flere medier under navnet 'WannaCry' eller 'WanaCrypt0r'. Denne kampanjen brukte uvanlig kort tid på å infisere en stor mengde datasystemer. Kampanjen utnyttet en sårbarhet i Microsofts fildelingsprotokoll (SMBv1.0) for å kompromittere andre maskiner i nettverket og over Internett.

Omfang
Skadevaren spredde seg automatisk, og gikk derfor ikke målrettet mot en spesifikk sektor eller region. De aller fleste land rapporterer om infeksjoner.

Infeksjonsmetode
Det har vært store uklarheter og spekulasjoner om den opprinnelige infeksjonsmetoden - infeksjonsvektoren. Det var først rapportert om å være phishing e-post med PDF vedlegg. Usikkerheten kommer av at denne kampanjen kan være sammenblandet med en ransomware kampanje tidligere i uken, kalt Jaff. Det som kan sies med stor sannsynlighet er at WannaCry har mulighet til automatisk å spre seg selv til maskiner som har åpnet for fildelingsprotollen der denne ikke er oppdatert. Det er svært uvanlig at en skadevare sprer seg uten menneskelig innblanding, f.eks når man trykker på en lenke eller e-post.   

Denne skadevaren oppfører seg slik at den først vil sjekke om en bakdør kalt 'DoublePulsar' er installert på maskinen den vil infisere. Hvis DoublePulsar er installert vil skadevaren bruke bakdøren til å installere krypteringsprogrammet. Hvis ikke vil den forsøke å benytte seg av sårbarheten i fildelingsprotokollen (SMBv1.0).

Microsoft har sluppet en sikkerhetsoppdatering om denne sårbarheten i midten av mars. Microsoft har publisert en artikkel som adresserer 'WannaCry' kampanjen. Der peker de også på at denne type angrep kan utvikle seg over tid.

Det sikreste tiltaket for å stå i mot dette angrepet, og eventuelle nye versjoner av skadevaren, er å installere sikkerhetsoppdateringer fra Microsoft for å hindre spredning og infeksjoner.

Tekniske tiltak som NSM anbefaler:

  • Installer sikkerhetsoppdateringene fra Microsoft og oppdater antivirus signaturer.
  • Ha backup av viktige dokumenter. Disse bør også være på et isolert system.

Nasjonal sikkerhetsmyndighet anbefaler ikke å betale løsepenger, da dette er med på å finansiere denne type angrep.

Tiltak for å tette hull i brannmur

NSM startet søndag et arbeid overfor departementer, offentlige etater og eiere av kritisk infrastruktur for å varsle om eventuelle hull i deres brannmurer. Dette arbeidet vil fortsette i tiden fremover. Arbeidet krever samtykke og vi tar fortløpende kontakt med relevante virksomheter. Det er ingen brannmurer som er sårbare hvis bakenforliggende systemer er oppdatert.

Kontaktpersoner:

Kommunikasjonsdirektør Mona Strøm Arnøy, mobil 917 53 843.
Avdelingsdirektør IKT-sikkerhet, Hans Christian Pretorius, mobil 908 79 077

Driftspersonell bør kontakte sine sektorvise responsmiljøer der dette finnes eller ta kontakt med NSM NorCERT.