Foto: TT

Unik IT-attack fortsätter att växa

Publicerad

Den senaste dagarnas IT-attack är unik. Inget annat ransomeware-virus har tidigare spridit sig så snabbt. Den skadliga koden sprider sig nu vidare i Kina och ännu vet man inte vem som ligger bakom attacken.

Minst 200.000 företag, sjukhus, regeringsorgan och andra organisationer i omkring 150 länder har drabbats. Virusattacken växer och drabbar nu även Kina.

Hundratusentals kinesiska datorer vid nära 30.000 institutioner ska ha drabbats av den globala IT-attacken, uppger Qihoo 360, ett ledande kinesisk IT-säkerhetsföretag.

Kinesiska myndigheter är fortfarande mycket förtegna, men spridningen ska ännu inte ha stoppats. Det finns relativt lite information om hur attacken påverkat övriga Asien.

LÄS MER: Kriminella kan köpa datavirus för några tusenlappar

IT-attack utan motstycke

Enligt den europeiska polismyndigheten Europol är de senaste dagarnas IT-attack ”utan motstycke”.

– Det är definitivt den största attacken med ransomeware som har förekommit, säger Robert Jonsson, ställföreträdande chef på MSB:s cybersäkerhetsenhet, till SVT Nyheter.

Är det fler som drabbats i Sverige under måndagen?

– Nej, inte så vitt vi känner till. Men vi är intresserad att få reda på det.

Inte säga helt stoppad

Har den skadliga koden tagit ny fart?

– Nej, inte sedan den stoppades i fredags.

Är den skadliga koden helt stoppad nu?

– Det går inte att säga. Det är mycket som är oklart. Det finns fortfarande en risk att drabbas. Detta beror bland annat på hur man är uppkopplad mot internet och flera andra faktorer.

LÄS MER: 300.000 svenskar har fått sina datorer kapade

Flera drabbade även i Sverige

Sedan tidigare är det känt att Timrå kommun och företaget Sandvik ska ha drabbats av den skadliga koden. Nu uppger polisens nationella operativa avdelning, Noa, för SVT Nyheter att även ett spa i Västervik ska ha drabbats av IT-attacken.

En säkerhetslucka i Windows gör att den skadliga koden kan sprida sig från dator till dator.

Microsoft riktar kritik mot myndigheter

Attacken började på fredagen och drabbade banker, sjukhus och myndigheter och utnyttjade svagheter i äldre operativsystem i Microsoftdatorer. Microsoft själva riktar skarp kritik mot de myndigheter som i hemlighet samlar på sig sårbarheter i IT-system. Bolagets chefsjurist kräver ett internationellt avtal som ålägger regeringar att berätta om brister som upptäcks.

Men de senaste dagarnas attack är långt ifrån den första.

– I slutet av 1980-talet tog den så kallade Morrismasken över större delen av internet och kring sekelskiftet fanns flera internetmaskar, bland annat Code Red och Blaster. De slog ut jättemånga datorer, och det finns andra i samma storleksordning. Men det här är det ransomware-virus som har spridit sig snabbast, säger IT-säkerhetsexperten Robert Malmgren, till SVT Nyheter.

LÄS MER: IT-attacker kan användas som terrorvapen

Inte omöjligt att hitta de skyldiga

Ännu vet man inte hur viruset startade, vilken dator som är ”patient noll” och vem som ligger bakom IT-attacken. Men Robert Malmgren tror att det finns möjlighet att hitta de skyldiga.

– Nu när även samhällsviktiga funktioner som till exempel sjukhus har drabbats, så tror jag att polisen och Europol kommer att anstränga sig. Jag tror att det finns flera möjligheter att hitta var det kommer ifrån.

Viruset stals från NSA

Utpressningsviruset Wannacry bygger på en sårbarhet som USA:s underrättelseorgan NSA hittat och utvecklat ett hackerverktyg för att dra nytta av. Men verktyget tros ha stulits och läcktes för en månad sedan av en kriminell hackergrupp.

Eftersom lösensumman för att befria de drabbade datorerna ska betalas i den digitala valutan bitcoin, så går det inte att se vem betalningen går till. Däremot kan det gå att spåra pengarna när någon väl försöker föra över pengarna från digitala bitcoins till det vanliga banknätet. Dessutom går det att spåra personerna bakom IT-attacken när filerna väl ska låsas upp, det är inte något som går automatiskt.

LÄS MER: Så skyddar du dig mot IT-attacken

– Att betala in lösensumman är alltså ingen garanti för att man ska komma åt filerna på sin dator igen. Det är snarare tvärtom, eftersom risken är stor för de kriminella om de kontaktar datorägaren, säger IT-säkerhetsexperten Robert Malmgren.

Han tror att de som ligger bakom de senaste dagarnas IT-attack kommer att ligga lågt.

– De borde göra det, eftersom de har ganska många mäktiga personer som är förbannade på dem.

Wannacry-viruset

Visa

Viruset låser datorena för användarna, genom att kryptera innehållet på hårddiskarna tills en lösesumma har betalats. Utpressningsmasken, kallat Wannacry (benämns även Wcry eller WanaCrypt0r), infekterar Windows-system och krypterar filer både lokalt och på delade nätverk.

Det som gör att viruset Wannacry fått så stor spridning är att det även är en så kallad mask. Om det hade varit ett vanligt virus så hade massor av människor behövt klicka på länkar för att det skulle spridas, nu räcker det att en enda dator på ett företag blir smittat.

Det beror enligt säkerhetsexperter på att hackarna använt ett verktyg som ursprungligen utvecklats av USA:s underrättelseorgan NSA, kallat Eternal Blue, som kan sprida viruset inom ett datanätverk.

Redan den 14 mars släppte Windows en uppdatering, en så kallad patch, som täppte till säkerhetshål som IT-angreppet utnyttjar. Alla Microsoftanvändare uppmanas därför att snarast installera de senaste säkerhetsuppdateringarna.

Att låsa upp en drabbad dator uppges kosta 300–600 dollar, motsvarande cirka 2.500–5.300 kronor, i den digitala valutan bitcoin.

Källor: CERT.se, AFP, Reuters, Romab, The Financial Times, The New York Times

Lokal. Lättanvänd. Opartisk. Ladda ner appen nu!

Hämta SVT Nyheter i App StoreLadda ned SVT Nyheter på Google Play

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer

Dataviruset WannaCry

Mer i ämnet