Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - ransomware, utpressningsprogram, petya

Nytt angrepp av utpressningsprogram

Vad har hänt

Under eftermiddagen den 27 juni började en ny typ av utpressningsprogram snabbt sprida sig globalt. Ett tidigare känt utpressningsprogram vid namn Petya har uppdaterats med ny funktionalitet för att snabbt kunna sprida sig till andra nätverksansluta Windows-datorer, liknande WannaCry.

Andra namn på samma utpressningsprogram är GoldenEye, NotPetya, Petrwrap, Nyetya.
I denna text används namnet Petya.

Efter hand har det allt mer ifrågasatts ifall det primärt rör sig om ett utpressningsprogram eller om syftet främst har varit att skapa samhällsstörningar.

Infektionsvektorer och spridningsmetoder

En av de initiala infektionsvektorerna är en uppdatering till skatteberäkningsprogrammet MEDoc från ett ukrainskt mjukvarubolag vid namn M.E.Doc. Enligt Microsoft[1] har ett antal infektioner skett via legitima uppdateringsprocesser tillhörande MEDoc.

Petya sprider sig över nätverk på flera sätt.
Petya extraherar autentiseringsuppgifter som den använder sig av för att sprida sig i det lokala nätverket via WMIC och PSEXEC. Den kan också utnyttja sårbarheter i SMB-protokollet på samma sätt som WannaCry.

Råd

  • Håll mjukvara, antivirusprogram och operativsystem uppdaterade
  • Säkerhetskopiera
    *Säkerställ att ni har fungerade säkerhetskopierings- och återställningsrutiner genom att öva dessa.

Vi har även tidigare skrivit generella rekommendationer kring ransomware och hur det går att minimera effekterna samt hur en organisation kan förbereda sig[2].

CERT-SE uppmanar att man inte betalar lösensumman. Även om man betalar kommer man inte få en dekrypteringsnyckel då e-postadressen (wowsmith123456@posteo[.]net) är blockerad av den tyska e-posttjänsten Posteo vilket innebär att aktören som ligger bakom inte kan leverera någon dekrypteringsnyckel.[3]

Om ni drabbats av detta hör gärna av er till oss på cert@cert.se. Ju mer information CERT-SE får om drabbade aktörer desto snabbare kan CERT-SE få en tydlig bild av konsekvenserna.

Ytterligare läsning:

Microsoft har publicerat en detaljerade analys av hur Petya fungerar. CERT-SE rekommenderar starkt att man läser denna:
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

Från CERT-EU kommer Security Advisory 2017-014:
https://cert.europa.eu/static/SecurityAdvisories/2017/CERT-EU-SA2017-014.pdf

Källor:

[1] https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
[2] https://www.cert.se/2015/11/cert-se-informerar-med-anledning-av-mangden-aokade-ransomware-attacker
[3] https://posteo.de/en/blog/info-on-the-petrwrappetya-ransomware-email-account-in-question-already-blocked-since-midday

Vi hanterar mediafrågor via MSB:s presstjänst
E-post: kommunikation@msb.se
Telefon: 070-321 88 74