Vi støtter nettlesere, ikke dinosaurer. Oppdater nettleseren hvis du vil se innholdet på dette nettstedet riktig.

Er du ikke sikker på hvilken løsning som passer best for bedriften?
Hjelp meg med å velge
Skip to main content
  1. For bedrifter
  2. Ressurser
  3. Hva er WannaCry

Hva er WannaCry-løsepengevirus?

WannaCry-løsepengeviruset kan kryptere filer, mapper og programmer på enheten din, slik at du ikke får tilgang til dem før du betaler løsepenger. Antall angrep med løsepengevirus mot bedrifter øker stadig, og her kan du finne ut mer om hvem som laget WannaCry, hvordan det infiserer nettverk og hvordan du kan beskytte systemene mot slike angrep.

Hva er angrep med WannaCry-løsepengevirus?

WannaCry er en type løsepengevirus (skadelig programvare) som krypterer data, enten det er spesifikke filer eller hele datasystemer, for deretter å be om løsepenger for å dekryptere dem igjen. WannaCry infiserer enheter ved å utnytte en sårbarhet i Windows-programvare som har forårsaket omfattende skade både økonomisk og omdømmemessig.

WannaCry ble utviklet fra en exploit med kodenavn EternalBlue som ble stjålet fra det amerikanske National Security Agency (NSA) av hackergruppen The Shadow Brokers. Gruppen brukte den til å angripe Windows-operativsystemer som ikke var oppdatert eller var utdaterte. Selv om Microsoft hadde levert oppdateringer for å styrke programvaren, var det mange bedrifter og organisasjoner som ikke hadde installert dem, og det gjorde det mulig for hackere å utnytte sårbarhetene og gjennomføre angrep.

Den 12. mai 2017 skjedde et av de mest betydelige angrepene med WannaCry hittil. Det spredde seg til over 230 000 Windows-PC-er i over 150 land på bare én dag og skapte store problemer for bedrifter, myndigheter og helsesektoren. Flere kjente bedrifter ble utsatt for det, for eksempel Telefonica, Deutsche Bahn, LATAM Airlines Group, FedEx, Hitachi, Renault og Honda.

Det nasjonale helsevesenet i Storbritannia var en av mange helseleverandører som ble påvirket fordi Windows-programvare ikke var oppdatert, slik at mange enheter ble kryptert og dermed utilgjengelige. Angrepet forårsaket skade for flere milliarder dollar over hele verden, og det er kjent som et av de største tilfellene av løsepengevirus noensinne.

WannaCry-løsepengeviruset ble til slutt stoppet av datasikkerhetseksperten Marcus Hutchins. I løpet av den samme måneden opprettet han et domenenavn som i praksis fungerte som en nødstoppknapp (killswitch) for å stoppe den skadelig programvaren på stedet og hindret alle forsøk på å fjerne det.

Mange virksomheter er nå klar over viktigheten av oppdateringer, men ondsinnede aktører bruker mange forskjellige metoder for å få tilgang til bedrifters systemer. Løsepengevirus fortsetter å være en betydelig fare av flere grunner:

  • De kan resultere i store økonomiske tap og omfattende skade på omdømme.
  • Gjennomsnittlig opplever bedrifter en nedetid etter angrep med løsepengevirus på 21 dager.
  • Etterlevelse kan vise seg å bli en utfordring, slik at bedriften utsetter seg for ytterligere negative følger.

Hvem laget WannaCry?

Selv om The Shadow Brokers stjal EternalBlue fra NSA, ble koden videreutviklet til et angrepsvåpen av andre hackergrupper. Både britiske og amerikanske myndigheter har uttalt at de har grunn til å tro at den nordkoreanske hackergruppen Lazarus stod bak WannaCry.

I februar i 2021 bekreftet justisdepartementet i USA at tre nordkoreanske dataprogrammerere var blitt tiltalt for å ha laget og distribuert WannaCry-løsepengeviruset, pengeutpressing av ofte og tyveri av sensitive data.

Hvordan infiserer WannaCry nettverk?

WannaCry-løsepengeviruset leter etter sårbarheter i Windows-operativsystemer ved hjelp av EternalBlue-koden som utnytter sikkerhetshull. Dette innebærer å skaffe seg tilgang til SMB-protokollen som gjør det mulig å få tilgang til delte filer og tjenester, kryptere filer og deretter forlange løsepenger. Det ligner på Phobos-løsepengeviruset, som er en eldre type løsepengevirus som leter etter porter for Remote Desktop Protocol (RDP).

Ved angrep med WannaCry sender utnyttelseskoden en SMB ECHO-forespørsel til SMB-protokollen som brukes av enheter med Microsoft Windows. Hvis det ikke kommer noe svar på forespørselen, etableres det en bakdør (en vei inn i systemet som unngår autentiserings- og godkjenningstiltak).

Ved bruk av bakdørverktøyet DoublePulsar til å kjøre WannaCry-løsepengeviruset kan hackere opprette en tilkobling som gjør det mulig å hente ut informasjon eller sette inn skadelig programvare som WannaCry i systemet.

Verktøyet gir hackere mulighet til å sette opp en forbindelse mellom protokollene SMB (TCP-port 445) eller RDP (TCP-port 3389) og sende et asynkront prosedyrekall (APC). Dette trinnet gjør at verktøyet kan slippe en DLL inn i Local Security Authority Subsystem Service (Lsass.exe), som er ansvarlig for sikkerhetspolicyer i Windows-operativsystemet, slik som passordendringer, autentiseringstjenester og programvarereplikering. Når dette er utført, kan shell-kode settes inn i systemene, noe som også er kjent som «heap spraying», og den eksisterende bakdørkoden kan fjernes.

Når WannaCry-løsepengeviruset trenger inn i en enhet, bruker det ormlignende egenskaper til også å skanne nettverket etter andre enheter som har manglende oppdateringer, utdatert programvare eller svakheter, og det kopierer så den skadelige koden til disse enhetene.

WannaCry skiller seg fra andre typer løsepengevirusangrep ved at det tydelig viser sin tilstedeværelse ved å vise en melding som den nedenfor, hvor det forlanger løsepenger.

Når enheter er infisert, er den eneste måten å få tilgang til filene på dem å bruke en ekstern sikkerhetskopi av filer og mapper eller å betale løsepengene. Det anbefales ikke å betale, for det er ingen garanti for at du får tilbake tilgangen til operativsystemet.

Windows-oppdateringer

Etter angrepene fra WannaCry-løsepengeviruset i 2017 utviklet Microsoft sikkerhetsoppdateringer for alle Windows-systemer, inkludert Windows XP, Windows Vista, Windows 8 og tidligere Windows Server-utgaver. Microsoft kungjorde at hvis kunder hadde automatiske oppdateringer aktivert, ville de være beskyttet, og kunder med oppdateringsinnstillinger satt til manuelt ble oppfordret til å installere oppdateringen så raskt som mulig.

Angrep med løsepengevirus fortsetter å utvikle seg, og de øker både i hyppighet og kompleksitet. Gjennomsnittlig løsepengebeløp har økt fra 5000 dollar i 2018 til rundt 200 000 dollar i 2020 ifølge National Security Institute. I 2021 ble en utbetaling på 40 millioner dollar gjort av et forsikringsselskap, og det er verdensrekord for største løsepengebetaling.

Skadelig programvare er en lønnsom virksomhet for nettkriminelle, og svært få versjoner av løsepengevirus har offentlig tilgjengelige dekrypteringsnøkler. Det betyr at fjerning av løsepengevirus fra PC-er og tilknyttede enheter er komplisert, og det kan være umulig å gjenopprette filene (selv om bedriften betaler løsepengene). Det er derfor helt avgjørende å sette i verk tiltak for å forebygge angrep med løsepengevirus. Dette omfatter programvareoppdatering for å sikre at bedriften er trygg mot fremtidige nettangrep.

Er WannaCry fortsatt aktivt?

Et nødstopp klarte å stoppe WannaCry-angrepet i mai i 2017, og Microsoft ga ut et oppdatering for å sikre sårbare operativsystemer mot EternalBlue. Likevel er løsepengeviruset fortsatt en aktiv trussel.

WannaCry oppdateres fortsatt av hackergrupper og utgjør en betydelig trussel mot bedrifter. Avanserte løsepengevirus som Petya og NotPetya hentet inspirasjon fra WannaCry og innehar lignende egenskaper for å søke etter samme sårbarhet i mange Windows-programmer. Andelen virksomheter over hele verden som har blitt offer for angrep med løsepengevirus har også økt fra 55,1 % i 2018 til 68,5 % i 2021.

Siden det finnes så mange trusler mot datasikkerheten i dagens digitale verden, er det helt nødvendig med installasjon av beskyttelse mot løsepengevirus.

Hindre angrep med løsepengevirus

Det er helt avgjørende å gjøre aktive tiltak for å forebygge angrep med løsepengevirus, for å sikre bedriftens digitale ressurser.

  • Gjennomfør regelmessige nettverksinspeksjoner: Rutinemessige inspeksjoner av forretningsaktiviteter bør inkludere sårbarhetsvurderinger basert på skanninger av enhetene som er koblet til nettverket, for å lete etter sårbarheter i programvare som kan utnyttes i et angrep eller datasikkerhetsbrudd.
  • Øk bevisstheten om nettsikkerhet med opplæring: Sikkerhetsstrategier bør inneholde opplæring i nettsikkerhet. Målet er å øke de ansattes bevissthet rundt vanlige angrepsmetoder, som for eksempel å motta e-post fra en ukjent avsender og bli offer for phishing-svindel eller klikke på et vedlegg som inneholder skadelig programvare i form av en trojaner.
  • Retningslinjer for passord: Ved å innføre retningslinjer for passord oppfordres ansatte til å bruke sterke passord som sikrer organisasjonen mot eksterne trusler. I tillegg bør det brukes rollebasert tilgangskontroll for å beskytte data og sensitive filer.
  • Oppdater operativsystem og programvare: Forebygging av trusler som kan påvirke driften og sikring av viktige filer og programmer er helt avgjørende. Dette innebærer at systemene oppdateres jevnlig ved bruk av verktøy som automatisk oppdaterer alle sårbarheter i programvaren.

Beskytte mot angrep med WannaCry-løsepengevirus

Avast har blokkert over 170 millioner angrep med WannaCry siden 2017. Finn ut hvordan løsningene våre for småbedrifter kan gi bedriften din enkle og kraftige beskyttelsesverktøy som sikrer enheter og data mot skadelig programvare, phishing, løsepengevirus og andre avanserte angrep mot datasikkerheten.

Lær mer
Lukk

Nesten ferdig!

Fullfør installasjonen ved å klikke på den nedlastede filen og følge veiledningen på skjermen.

Starter nedlasting …
Merk: Hvis nedlastingen ikke startet automatisk, klikker du her.
Klikk på denne filen for å starte installasjonen av Avast.
Norge
Privat
Bedrifter
For partnere
Firma
© 2024 Gen Digital Inc. Med enerett.
Personvernerklæring Produktpolicy Juridisk Rapporter sårbarhet Kontakt oss om sikkerhet Erklæring om moderne slaveri Abonnementsinformasjon