Foto: Kacper Pempel / Reuters / TT

IT-attack kopplas till NSA – nära 100 länder drabbade

Viruset som drabbat organisationer världen över kopplas till en läcka från det amerikanska underrättelseorganet NSA.
Nära hundra länder har drabbats i IT-attacken. Den europeiska polismyndigheten Europol säger att attacken är den största som skådats.

Rapporterna flödar in från myndigheter och företag i hela världen som drabbats av utpressningsvirus, så kallad ransomware. Det utpressningsvirus som nu spritts så snabbt över världen utnyttjar ett säkerhetshål i operativsystemet Windows – som har gått att täppa till i två månader.

NSA, den amerikanska motsvarigheten till Försvarets radioanstalt (FRA), upptäckte det säkerhetshål i operativsystemet Windows som möjliggjort attacken. Ett verktyg från NSA har sedan stulits av en hackergrupp och använts i attacken, skriver bland andra The Financial Times, med hänvisning till flera IT-säkerhetsexperter.

99 länder drabbade

Sent på fredagen satte sig höga företrädare från de amerikanska underrättelsetjänsterna i möte för att diskutera hur den världsomspännande attacken kunde stoppas, rapporterar ABC.

Enligt IT-säkerhetsföretaget Avast berörs 99 länder. Ryssland, Ukraina och Taiwan ska vara värst drabbade, enligt bolaget. Ryska säkerhetsföretaget Kaspersky Lab har tidigare sagt att organisationer i 74 länder påverkats.

Den europeiska polismyndigheten Europol uppger att virusattacken är av ”en aldrig tidigare skådad omfattning”, enligt nyhetsbyrån AFP.

Enligt Europol kommer det krävas en omfattande internationell utredning för att finna de skyldiga bakom attacken.

LÄS MER: Kriminella går över till utpressningsattacker

Virusattacken riktades mot främst myndigheter och företag men konsekvenserna märks även för människor. Bland annat infekterades IT-system på brittiska sjukhus. Akutmottagningar tvingades säga nej till patienter eftersom datorerna slutat fungera. Den stora spanska teleoperatören Telefonica var en av många drabbade företag. Den amerikanska transportfirman Fedex drabbades via skräppost som skickats till företaget.

Låser upp – mot lösensumma

Även organisationer i Sverige påverkades. Timrå kommun skriver i ett pressmeddelande att datorer angripits och verkstadsbolaget Sandviks datorer infekterades.

Viruset låser datorena genom att kryptera innehållet på hårddiskarna tills en lösesumma har betalats. Utpressningsviruset, kallat Wannacry, har både infekterat enskilda datorer och nätverksdatorer. Det kostar 300 dollar, motsvarande 2 600 kronor, i den digitala valutan Bitcoin att låsa upp en drabbad dator.

Stora summor har betalats ut

IT-säkerhetsexperten Robert Malmgren på företaget Romab hänvisar till kontakter i USA som vittnar om att stora summor i den virtuella kryptovalutan bitcoin har betalats in från de som försöker köpa sig fria.

– Det handlar om sexsiffriga belopp i dollar räknat, så folk är uppenbarligen beredda att betala, säger Robert Malmgren till TT.

Utnyttjar säkerhetshål

Mask sprider viruset

Det som gör att viruset Wannacry fått så stor spridning är att det även är en så kallad mask. Om det hade varit ett vanligt virus så hade massor av människor behövt klicka på länkar för att det skulle spridas, nu räcker det att en enda dator på ett företag blir smittat.

– Nu är det bara en ingångspunkt. Nästa steg är att det använder ett hål i Windows fildelningsteknik, som används av alla moderna organisationer. Viruset kan sedan sprida sig vidare utan mänsklig inblandning till andra datorer inne på företaget, säger Robert Malmgren.

Säkerhetshålet tros ha utvecklats och utnyttjats inom den amerikanska underrättelsetjänsten NSA. För en månad sedan, den 14 april, lades det ut på internet som en del i en stor ”verktygslåda” för hackare, av en grupp som kallar sig Shadow Brokers

Låt bli att klicka

Redan en månad tidigare, den 14 mars, hade Windows släppt en uppdatering, en så kallad patch, som täppte till säkerhetshålet.

– Om man hade lagt på den hade man klarat sig, säger Robert Malmgren.

Han konstaterar att de flesta stora företag har bra rutiner för att skydda sina IT-system.

– Tyvärr finns det ett antal organisationer som är dåliga på det här, inte sällan är det offentliga verksamheter som sjukvårdsinstitutioner och kommuner.

Säkerhetsfirma kan ha stoppat attacken

En IT-säkerhetsfirma hävdar att de stoppat attacken för tillfället – men varnar för att angreppet kan ta ny fart igen.

”Krisen är inte över, de kan alltid ändra koden och försöka igen”, skriver säkerhetsföretaget Malware Tech i ett privat meddelande på Twitter till nyhetsbyrån AFP.

Säkerhetsföretaget säger att det av en slump upptäckte att angreppet gick att stoppa genom att registrera en oanvänd internetdomän som utnyttjats i attacken.

”I huvudsak förlitade de sig på en domän som inte var registrerad och genom att registrera den stoppade vi spridningen av skadlig programvara”, skriver företaget till AFP.

LÄS MER: Så skyddar du dig mot attacken

Så arbetar vi på SVT Nyheter

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer

Dataviruset WannaCry

Mer i ämnet