Vi er opplært til ikke å åpne usikre vedlegg i mailboksen. Men dataangrepet som har herjet bedrifter og privatpersoner over hele verden siden fredag, kommer ikke via mailen, men via en sårbarhet i Microsofts fildelingsprotokoll.
For å finne ut mer om viruset og hva man som bedrift kan gjøre for å minimere egen sårbarhet, tok Defo en prat med Chris Culina, sjef for computer emergency response team (CERT) i konsulentselskapet BDO.
– Rent funksjonelt er den aktuelle skadevaren – «WannaCry», eller «viruset» – klassisk ransomware: den krypterer filer på datamaskinen og tilgjengelige nettverksressurser, og krever løsepenger for å dekryptere dem igjen, forklarer Culina.
– I tillegg har WannaCry funksjonalitet for å spre seg til andre maskiner (det vi kaller orm-funksjonalitet). Denne funksjonaliteten er årsaken til bredden i spredningen, og utnytter en sårbarhet i Windows.
Chris Culina er sjef for CERT i konsulentsselskapet BDO. Foto: BDO None
Løsepenger?
Bortsett fra Choice Hotels og billettsystemet i Eliteserien i fotball har viruset, ifølge Nasjonal sikkerhetsmyndighet, foreløpig ikke gjort stor skade i Norge. Likevel er det all grunn for norske selskaper til å være på vakt.
NSM startet søndag et arbeid overfor departementer, offentlige etater og eiere av kritisk infrastruktur for å varsle om eventuelle hull i deres brannmurer. Culina tror ikke problemet nødvendigvis løser seg så lenge man betaler det hackerne krever.
– Løsepenger bør vi naturligvis ikke betale. Her er det to hovedgrunner. For det første finansierer det kriminell virksomhet, og for det andre er det ingen garanti at de løser opp systemet om de får betalt, sier Culina, og forklarer at de rammede bedriftene typisk har blitt bedt om å betale løsepenger i størrelsesorden 300 til 600 dollar per PC. Løsepengene justeres angivelig etter hvor sterk økonomi de ulike bedriftene har.
– Det er også en risiko å la hackerne låse filene opp igjen, all den stund det krever at det må installeres et program for dekryptering. Her må man følgelig stole på kjeltringene, hvilket i seg selv naturligvis er en utfordring, fortsetter Culina.
Ikke trygt offline
Culina forklarer at kompromitterte datamaskiner vil vise løsepengekrav på skjermen. Dersom man har god nettverksovervåking vil man i tillegg kunne se kommunikasjon mellom de kompromitterte datamaskinene og trusselaktørens infrastruktur (kommando- og kontrollservere).
– Det er viktig å være klar over at det ikke kun er datamaskiner med tilgang til Internett som må oppdateres. En oppdatert arbeidsstasjon i kontornettverket vil kunne spre WannaCry til datamaskiner lenger inn i nettverket, som ikke nødvendigvis er direkte eksponert for trusselen via Internett, sier Culina.
Klare råd
Til medlemsbedrifter og lesere av Defo.no har Culina klare råd.
– Dersom du ikke enda er rammet, bør du snarest installere Microsoft sine sikkerhetsoppdateringer, mer spesifikt oppdateringene i varselet kalt «MS17-010». Rask installasjon av sikkerhetsoppdateringer er Nasjonal sikkerhetsmyndighets fremste råd for hvordan man stopper dataangrep, sier Culina.
Hvis du imidlertid har blitt rammet av WannaCry, anbefaler Culina at du:
- Skaffer deg oversikt over situasjonen.
- Isolerer datamaskiner som har blitt kompromittert, slik at de ikke kan spre skadevaren videre til andre.
- Isolerer Windows-datamaskiner av høy verdi, f.eks. filservere, backup eller maskiner som inngår i kritiske prosesser, slik at de ikke kan nås av kompromitterte datamaskiner.
- Begrenser tilgang til nettverkslagring for å hindre kryptering av fellesområder og liknende.
- Installerer sikkerhetsoppdateringer på alle Windows-maskiner som ikke er rammet.
- Starter på oppryddingen og re-installerer kompromitterte datamaskiner (Pass på at Windows er oppdatert! Husk å installere sikkerhetsoppdateringene!)
Vil du lese mer om IKT-sikkerhet og viktigheten av gode rutiner i energibransjen? Se her