Skip to main content

Nyetya tar ransomware till nästa nivå, men det är bara början

Blogginlägg   •   Jun 28, 2017 16:18 CEST

Utpressad. Möts du av denna skärm när du startar datorn har utpressningsprogramvara Nyetya tagit över dina dokument.

En ny variant av utpressningsprogramvara började plåga företag över hela världen igår och det finns tyvärr inga tecken på att denna utveckling kommer att avstanna. Denna gång är det delvis nya tekniker som används, men det går att skydda sig och förbereda sig för att möta denna typ av okända hot, skriver Henrik Bergqvist, Cybersecuritychef, Cisco AB.

Cyberbrottslingarna har blivit inspirerade av Wannacry som drabbade världen i maj 2017 och tagit fram ny variant som kallas Nyetya (Njetja). Detta är en Ransomware-mask vilket betyder att den krypterar filer och dokument och begär sedan pengar för att låsa upp dem. Ransomware är tyvärr inget nytt fenomen, skillnaden nu är att den sprider sig direkt mellan datorer som en mask utan att behöva gå via Internet vilket gör att den sprider sig mycket snabbt och gör den svårare att skydda sig mot. Vi tror att detta kommer inspirera till fler liknande attacker.

Har man fått in programvara på sin dator så börjar den att kryptera dokument och delar av operativsystemet. När den är klar startar den om datorn och visar då upp en skärm som berättar att datorn och innehållet är låst och att man kan låsa upp den ifall man betalar en lösensumma. Så vitt vi kan bedöma kommer man inte få någon nyckel för att låsa upp filerna även om man betalar eftersom mailadressen dit man meddelar att man betalat har stängts ned av den internetoperatören.

Attacken verkar ha börjat med en infektion i en skatteprogramvara i Ukraina. Timingmässigt kan attacken vara gjord för att sammanträffa med att det är Ukrainas konstitutionsdag och helgdag där den 28 Juni.

Attacken använder tre olika separata mekanismer för att sprida sig - en är samma som Wannacry och använder en sårbarhet. De andra två missbrukar legitima Windows administrationsverktyg. Den första finns det en patch mot, men de andra två hjälper det inte att patcha mot.

De flesta säkerhetslösningar fokuserar på nord-syd trafik, dvs skydd mot att farliga saker på internet når användardatorer och interna system. Nyetya visar att det också behövs bra säkerhet för öst-väst trafik, dvs skydd mot att farliga saker sprider sig mellan användare. Nyetya visar också på behovet av att inte bara fokusera på lösningar för att förhindra attacker, utan också ha processer och lösningar för att märka och stoppa med attacker medan de händer. Samt inte minst för att se vad som hänt efteråt. Before-During-After.

En organisation skyddar sig bäst med ett segmenterat nätverk som förhindrar eller åtminstone begränsar hur sådant här sprider sig. Nätverket skall segmenteras intelligent så att en användardator inte kan nå en annan användardator med administrationsverktyg. Detta skall vara förbehållet IT-personal. Segmentering är också det effektivaste sättet att skydda IoT enheter som kameror och medicinsk utrustning.

Ett avancerat och uppdaterat Malware Protection-system på datorn skyddar också, men man måste se till att det hela tiden kan uppdateras med aktuella profiler för att upptäcka nya hot så snabbt som möjligt.

Sedan kommer man tillbaks till grunden för all informationssäkerhet; backup. Se till att ha ett fungerande backup system för att kunna återställa informationen – tyvärr är det så i många fall av ransomware att det bästa alternativet är att radera informationen på persondatorn och sedan återställa den från en så aktuell backupkopia som möjligt. Om man har en regelbunden rutin för detta kan man minimera dataförlust och stillestånd.

För detaljerad och uppdaterad information om detta utbrott är TALOS blog en utmärkt källa. 
http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html#more

Bra produkter och lösningar att titta mer på från Cisco

Henrik Bergqvist, Cybersecuritychef, Cisco AB
Mail: hbergqvi@cisco.com
Mobil: +46 70 5449622

Kommentarer (0)

Lägg till kommentar

Kommentera