Var attacken riktad specifikt mot vissa länder eller organisationer, eller var det en slumpmässig aktion?
– Analysen av attacken befinner sig i ett väldigt tidigt skede, indikationerna än så länge pekar på att det initiala insteget av attacken var så kallade phishing-mail där man skickar epost-meddelande som är framtagna specifikt för att få mottagaren att öppna och köra den skadliga koden som kommer med epost meddelandet på datorn. Därefter sprider sig den skadliga koden automatiskt genom att via instegsdatorn identifiera och attackera andra sårbara datorer både på det interna nätverket och internet, vilket gör det svårt att vid det här skedet avgöra hur riktad attacken varit.

Varför fick just denna attack så stor spridning, jämfört med andra virus som ständigt är i omlopp?
– Förövarna har använt sig av en sårbarhet som drabbar i stort sett alla versioner av operativsystemet Windows, dock inte den senaste, Windows 10. Den 14:e mars släppte Microsoft en uppdatering som åtgärdar sårbarheten, så de drabbade datorerna har antingen använt sig av en version av Windows som inte längre supporteras och därmed inte uppdateras alternativt en senare version som inte uppdaterats på två månader. Efter den här attacken kan man konstatera att det handlar om väldigt många datorer. Microsoft har nu även lagt ut uppdateringar för osupporterade versioner av Windows så som Windows XP för att begränsa spridningen ytterligare.

Hur allvarlig var attacken och hur allvarlig hade den kunnat bli om den inte stoppats relativt snabbt?
– Vi vet redan nu att attacken är väldigt allvarlig när över 200 000 system i 150 länder drabbats, Sverige och Spanien inräknade. Hos spanska Telefonica tex lyckades förövarna ta sig in i 85 procent av alla datorer, vilket givetvis leder till både stora kostnader och driftstörningar oavsett om de har bra och testade backup-restorelösningar implementerade. I Storbritannien har sjukhus drabbats vilket kan få större konsekvenser än ekonomiska om diverse sjukhusapparater är sårbara och uppkopplade på samma nätverk som andra infekterade datorer.

Hur kan enskilda användare skydda sig?
– Hålet täpptes till av Microsoft för två månader sedan, den 14 mars. Använder man sig av senaste versionen av Windows, Windows 10, så är man säker. Windows uppdaterar sig automatiskt om man inte aktivt stänger av den inställningen, så de flesta enskilda användarna är säkra om man inte använder sig av en väldigt gammal version av Windows, som tex Windows XP. I ransomware-fall som detta, då den skadliga koden attackerar filerna som är lagrade på datorn är det bästa sättet att skydda sig genom att ha regelbundna och fungerande backuper som inte lagras lokalt på datorn, så att man snabbt kan återställa de förlorade filerna utan att behöva betala förövarna.

Hade attacken undvikits om alla vore Mac-användare?
– Korta svaret är ja, frågan är snarare om attacken hade utförts om alla vore Mac-användare. Anledningen till att förövare oftare angriper Windows är helt enkelt för att Windows är det absolut mest använda operativsystemet i företagsmiljöer.

Vilket ursprung har viruset?
– Attacken är speciell och till viss del politiskt laddad, i och med att stora delar av den skadliga koden stals från NSA (Nationella säkerhetsmyndigheten i USA) utav en grupp som kallar sig Shadow Brokers. Det var alltså ett okänt säkerhetshål som NSA nyttjade i sin verktygslåda för att ta sig in i datorer under offensiva operationer på internet. Shadow Brokers försökte sedan auktionera ut den skadliga koden för en betydande summa pengar, när de inte lyckades sälja koden bestämde de sig för att lägga ut den gratis på internet.

Är situationen nu under kontroll?
– Det vi har sett hittills är vad vi brukar kalla första vågen. På grund av ett misstag av förövarna så kunde säkerhetsexperter använda sig utav en så kallad ”kill switch” som var inbyggd i den skadliga koden för att stoppa spridningen. Vi har redan sett indikationer på andra vågen, vilket är en modifierad version av den skadliga koden utan ”kill switch”.

Mer information: https://truesec.se