Løsepengeviruset WannaCry spredte seg raskt i helgen ved å utnytte en farlig sårbarhet. Sårbarheten blir ikke borte av at WannaCry forsvinner, og nye typer angrep som bruker den samme sårbarheten har blitt observert. Et av dem er skadevaren "Adylkuzz".
Sårbarheten i SMB finnes fortsatt
WannaCry utnyttet en sårbarhet i tjenesteprotokollen SMB for å spre seg fra Windows-maskin til Windows-maskin. Det var noe av grunnen til at angrepet rammet så stort.
WannaCry-angrepet har nå bremset ned, men sårbarheten i SMB finnes fortsatt, og kan fortsatt utnyttes i nye angrep. Derfor er det veldig viktig at alle PC-er og servere med den sårbare SMB-versjonen oppdateres.
Microsoft har til og med gitt ut sikkerhetsoppdateringer for gamle Windows-versjoner som XP og Server 2003, de finnes her.
Siste ukes hendelser er en viktig påminnelse om at It-systemer må oppdateres kontinuerlig. I Norge ble ikke omfanget av viruset så stort, mest sannsynlig fordi vi er et rikt land med relativt ny maskinpark som til stor grad kan oppdateres automatisk. It-avdelingene gjør en god jobb med å holde programmer og systemer oppdatert. Det må vi fortsatt ha fokus på.
Skadevaren “Adylkuzz”
Nylig har det blitt oppdaget en ny type skadevare som sprer seg på samme måte som WannaCry. Skadevaren “Adylkuzz”, har ingen annen kobling til WannaCry enn at den sprer seg ved å utnytte den samme sårbarheten i SMB. Denne stenger også port 445 etter infisering, så det at port 445 er stengt betyr ikke at du er sikker, det kan tvert om bety at du er infisert. Det er i det hele tatt mye vanskeligere å oppdage at man har blitt infisert med skadevare som “Adylkuzz” siden symptomene er vage. Man vil kanskje merke at alt går litt tregere når skadevaren utnytter datakraften i systemene til å lage krypto-valuta i form av Monero.
Her er en artikkel om Adylkuzz fra sikkerhetsselskapet Proofpoint.
Adylkuzz er langt mindre farlig en WannaCry, siden det kun er snakk om en såkalt “cryptocurrency miner”. Alt den tar er datakraft, det er plagsomt og kan ha innvirkning på drift, men er ikke like ødeleggende som et løsepengevirus. Det er imidlertid veldig viktig å være klar over at nye typer skadevare som bruker samme sårbarhet kan, og mest sannsynligvis vil, fortsette å dukke opp. Og det er ingen garanti for at nye typer skadevare ikke vil være like ødeleggende som WannaCry. Derfor er det viktig å fjerne sårbarheten ved å oppdatere.
NorSIS anbefaler:
Hold servere og datamaskiner oppdatert.
Ha gode rutiner for sikkerhetskopi og sørg for at gjenoppretting er mulig.