Utrikes

Foto: TT

Expert: Nya cyberattacken svår att stoppa

Uppdaterad
Publicerad

En helt ny typ av utpressningsvirus sprider sig just nu över världen och orsakar stora problem för myndigheter och företag. Enligt experter har det förmågan att sprida sig själv och är inte längre beroende av att aningslösa datoranvändare klickar på bilagor eller länkar. En egenskap som gör viruset mycket svårt att stoppa.

Det började i tisdags i Ukraina i samband med att Medoc, ett företag som utvecklar och säljer bokföringssystem, skickade ut en uppdatering av sin programvara. Sedan dess har ett nytt utpressningsviruset spridit sig: Banker, reklambyråer, advokatfirmor och statliga myndigheter -  alla har de fått sina verksamheter mer eller mindre lamslagna när den skadliga koden krypterat filer och gjort dem oläsliga och på samma gång låst deras datorer och nätverk.

Petya – tills vidare

Något namn på det nya utpressningsviruset är ännu inte etablerat – det har både kallats Petya och NotPetya (det senare då ett annat Petya slog till redan förra året). Ett annat namn som förekommit är Goldeneye. 

Oavsett namn är viruset det senaste exemplet på att en ny fas av cyberattacker har börjat. Det menar säkerhetsexperten Ola Rehnberg på Symantec: 

– Det är oerhört mycket mer avancerade verktyg man använder sig av, vilket gör att man får en större spridning på attackerna och många fler drabbas.

En drabbad dator i Kiev. Foto: TT

Jorden runt

USA, Storbritannien, Schweiz, Tyskland, Australien med flera – listan över virusdrabbade länder är lång. Störst har problemen dock varit i Ryssland och Ukraina. Bland annat har den största flygplatsen i Kiev drabbats, liksom ryska oljeföretaget Rosneft.

LÄS MER: Containrar sköts manuellt i Göteborgs hamn

Danska fraktbjässen A P Møller/Mærsks system har också drabbats, något som tvingat hamnterminaler i bland annat Göteborg och Indien att hålla stängt.

Sprider sig själv

Det nya med Petya är att det till skillnad från tidigare utpressningsvirus inte nödvändigtvis behöver kryphål i datorernas operativsystem eller fildelningsprogram för att slå till. I stället utnyttjar det administratörsverktyget i en redan infekterad dator för att sprida sig. Viruset skaffar sig helt enkelt rättigheten att installera sig själv på andra datorer i nätverket. En spridningsmetod som är mycket svår att skydda sig mot.

LÄS MER: Säkerhetshål bakom utpressningsvirus

Tidigare ransomware, som till exempel Wannacry-attacken i maj, har spridits via mejl som innehållit länkar eller bilagor. Aningslösa mottagare har lurats att klicka - och därmed laddat ned den skadliga koden från internet. För att slippa drabbas har det räckt med att ha systemet uppdaterat med den senaste mjukvaran, men detta hjälper alltså inte mot Petya som har verktyg att sprida sig själv.

Svårbedömt läge

Det nya viruset sprider sig till stor del internt inom företag och organisationer, vilket gör det svårt att uppskatta hur många som drabbats och om det fortsätter att sprida sig. Denna nya skadliga kod nöjer sig inte heller med att enbart kryptera och låsa filerna på datorn. Den hindrar också de smittade datorerna från att startas om. 

– Den förstör datorn ordentligt och förstör möjligheterna att komma åt ens filer. Vissa forskare på internet pratar om att det finns sätt att hitta nycklarna, som alltid i sådana här sammanhang. Men generellt är det svårt med dagens krypteringsteknik, säger Ola Rehnberg.

Ola Rehnberg på datasäkerhetsföretaget Symantec. Foto: TT

LÄS MER: Banktrojan riktar in sig på kunder i Norden

Precis som vid tidigare attacker med utpressningsvirus, så kallad ransomware, kräver hackarna pengar för att låsa upp datorerna och de krypterade filerna. I detta fall vill man ha motsvarande knappt 3.000 kronor i kryptovalutan Bitcoin. 

Meningslöst att betala

Hittills har dock inte särskilt många insättningar gjorts, vilket kanske är lika bra. Datasäkerhetsföretaget Digital Shadows avråder drabbade från att betala  eftersom det inte skulle hjälpa. Detta eftersom den mejladress som är kopplad till kontot dit hackarna vill ha pengarna har blockerats. Det finns med andra ord inte något sätt för utpressarna att skicka en dekrypteringsnyckel till rätt person – ens om de skulle vilja.

Cyberattacken: Det vet vi

Vad gör viruset?

Viruset låser din dator, krypterar filerna och hindrar omstart. Du möts av ett meddelande att du måste betala in motsvarande 300 dollar i den digitala valutan bitcoin för att kunna låsa upp datorn.

Varifrån kommer det?

Attacken började den 27:e juni i Ukraina. Den ukrainska mjukvaruutvecklaren Medoc, som tillverkar ekonomiprogram, ska ha skickat ut en uppdatering. Uppdateringen verkar ha innehållit den skadliga koden.

Hur sprids viruset?

När viruset väl kommit in i systemet försöker det på flera sätt att spridas inom nätverket. Bland annat letar det efter administratörsrättigheter, och använder sig sedan av dem för att skicka ut uppdateringar till andra datorer i nätverket, som på så sätt installerar viruset.

Ska man betala?

Experter och polis säger nej. Enligt Digital Shadows är också det mejlkonto som är kopplat till kontot dit pengarna ska betalas in låst, vilket gör att det inte finns något sätt för utpressarna att skicka ut krypteringsnyckeln till rätt person.

Vilka ligger bakom?

Ännu så länge okända utpressare. Båda det nya viruset och Wannacry, som började spridas i mitten av maj, utnyttjar ett verktyg som kallas Eternal blue, som av experter anses ha utvecklats av USA:s underrättelseorgan NSA, som kan sprida viruset inom ett datanätverk.

Hur skyddar man sig?

Uppdatera operativsystem och program, ha ett uppdatera säkerhetsskydd, använd säkerhetskopiering och klicka inte på filer via mejl om du inte säker på att de är osmittade.

Källor: Cert-SE, Digital Shadows, Symantec, Cisco

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.