Laddar meny

Sikkerhetsekspert: – Petya angriper på tre ulike måter

Nyhet 2017-06-28
I tillegg til å utnytte den samme sårbarheten som «WannaCry»-utbruddet gjorde, hadde utviklerne av Petya gitt løsepengeviruset to andre angrepsmetoder.

Det kan sikkerhetsekspert Thomas Tømmernes i Atea konkludere med et drøyt døgn etter det ble kjent at løsepengeviruset «WannaCry» hadde fått sin etterfølger. 

  • Trusselen er i aller høyeste grad reell og kan få betydelige konsekvenser for de som blir infisert. Selv med en stor mengde varslinger hittil i år er det fortsatt viktig å ta angrep som dette veldig seriøst, sier Tømmernes.

Løspengeviruset Petya, med ulike varianter kalt NotPetya, SortaPetya og Petna, starter maskiner som er infisert på nytt, for deretter å gi seg til kjenne med et skjermbilde med krav om løsepenger. Da har viruset allerede kryptert det som gir operativsystemet oversikt over hvor ulike filer befinner seg på maskinen, og den infiserte brukeren vil ha store vanskeligheter med å komme videre fra det skremmende skjermbildet uten profesjonell hjelp.

  • Det er mulig, men i det du får opp operativsystemet igjen, vil det fortsatt være krypterte filer på selve PCen som PDF-filer og Office-dokumenter. For brukere som lagrer dokumenter lokalt vil dette være spesielt risikofylt, sier Tømmernes.

Begrenset infisert målgruppe

Han forteller at spredningen til nå har vært begrenset, selv om viruset etter hvert har beveget seg over store deler av verden. Det startet med lokale bedrifter i Ukraina og internasjonale selskaper med tilhørighet til disse.

Noen av de første sporene etter Petya har vist seg i den automatiske oppdateringsfunksjonen i skatteregnskapsprogramvaren MEDOC, som er utviklet av det Ukraina-baserte selskapet M.E.Doc. Infeksjonen kom i forbindelse med en programvareoppdatering tirsdag, som kom automatisk fra programvareprodusenten. 

  • Dette betyr at om din bedrift har kontor i Ukraina og du benytter programvare fra M.E.Doc, så er du i faresonen. Men ut over oppdateringsfunksjonen, har sannsynligvis ikke viruset noen eksterne måter å spre seg på, sier Tømmernes. 

Tre angrepsmetoder

Men Petya har, sammenlignet med WannaCry, tre måter fremfor bare én å spre seg på. 

  1. Viruset benytter den samme sårbarheten i Microsoft som WannaCry gjorde. Utførte du sikkerhetsoppdatering i etterkant av WannaCry-utbruddet er du dermed bedre sikret.
  2. Viruset sjekker om brukeren er logget på den infiserte maskinen og om den har tilgang til andre maskiner i nettverket, slik at det kan spres videre. Dette gjelder særlig i miljøer hvor det ikke er personlige datamaskiner, men fellesmaskiner. Merk at det hender det er gitt tilgang til hverandres arbeidsstasjoner uten at det er behov for dette. Det kan forverre situasjonen ytterligere dersom en domeneadministrator har vært innlogget på en arbeidsstasjon, fordi passordet blir da lagret på denne maskinen, og skadevaren kan få tak i domeneadministrator-passordet for å spre seg videre. Denne har tilgang til alle klienter og servere som standardinnstilling.
  3. Relativt lik metode som punkt to, men det benyttes et annet administrativt verktøy.

Tømmernes sier man bør være oppmerksom på at punkt to og tre ikke kan fikses med en oppdatering, fordi denne spredningen ikke skyldes sikkerhetshull, men at produsenten har designet systemet slik.

– Ha derfor kontroll på hvem som har tilgang til hvilke maskiner og at du ikke logger på med domeneadministratorer på klientmaskiner, da kan man få tilgang på alt, avslutter Tømmernes.

Ateas råd:

  • Ha god og fungerende back-up
  • Ikke lagre dokumenter lokalt på PC
  • Sørg for å ha sikkerhetsoppdatering og oppdater all programvare
Atea.no oppfattes bedre hvis du oppdaterer nettleseren din. Her finner du en ny versjon av Internet Explorer