Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 15 May 2017

2017.05.15 - Nyhetsbrev

Hundretusener av Windows-maskiner rammet av ransomware-orm. Ukrainske soldater får propaganda-meldinger via SMS.

Hundretusener av Windows-maskiner rammet av ransomware-orm

Et større antall selskaper har blitt rammet av ransomware som har spredd seg over hele verden. I Storbrittania har blant annet mange sykehus blitt rammet. I Norge er spredningen heldigvis liten, og det er kun meldt om et fåtall smittede maskiner.

Ransomwaren er en variant av tidligere observert ransomware med navn Wanna Decryptor. Ransomwaren sprer seg fra maskin til maskin ved å utnytte en svakhet i Windows SMB service, som Windows maskiner trenger for å dele filer og printere over et lokalt nettverk. Normalt skal ikke denne tjenesten eksponeres ut på Internett, men mange bedrifter har dessverre hatt én eller flere maskiner med denne tjenesten eksponert mot Internett. Ormene har brukt disse maskinene til å komme seg på innsiden av nettet, og så spredd seg i høy hastighet.

Microsoft ga ut oppdateringer den 14 mars for å fikse svakheten som utnyttes. Oppdateringer har nå også blitt gitt ut for eldre versjoner av Windows som normalt ikke patches. Exploiten og bakdøren som blir installert kalles henholdsvis Eternal Blue og Double Pulsar. Disse verktøyene har opprinnelig blitt utviklet av NSA for intern bruk, men ble sluppet av grupperingen Shadow Brokers 14. april. Mange mistenker Russland for å stå bak Shadow Brokers. Microsoft har i dag gått ut mot NSA og andre lands hemmelige tjenester for deres praksis med å finne og kjøpe inn kritiske sårbarheter for intern bruk, uten å varsle leverandørene om disse.

Antall infiserte maskiner er nå på vei ned. Det er svært viktig å få patchet alle Windows-systemer da nye ormer som bruker den samme svakheten kan dukke opp.

Det anbefales ikke å betale løsepenger. Mye tyder også på at krypterte filer ikke vil bli låst opp, selv om pengene betales. Det rapporteres at opplåsing er planlagt gjort manuelt av bakmennene, men at disse ikke svarer på henvendelser. Dersom du er rammet er det tryggest å bygge opp systemet på nytt fra backup. Dersom backup ikke finnes, kan det lønne seg å ta vare på filene i tilfelle en metode for å dekryptere filene blir oppdaget senere.
Referanser
https://www.theguardian.com/society/2017/may/[...]
https://arstechnica.co.uk/information-technol[...]
https://krebsonsecurity.com/2017/05/u-k-hospi[...]
https://threatpost.com/leaked-nsa-exploit-spr[...]
http://blog.checkpoint.com/2017/05/14/wannacr[...]

Ukrainske soldater får propaganda-meldinger via SMS

Ukrainske soldater får stadig propaganda-meldinger via SMS. Meldingene blir antakeligvis sendt ut av russere ved hjelp av falske basestasjoner, såkalte IMSI-catchere.
Referanser
https://www.theregister.co.uk/2017/05/12/some[...]

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.