Uvanlig at en skadevare sprer seg på denne måten, sier Nasjonal sikkerhetsmyndighet.
Nasjonal Sikkerhetsmyndighet (NSM), skriver følgende i en presseoppdatering om løsepengviruset “WannaCrypt”:
“Denne kampanjen brukte uvanlig kort tid på å infisere en stor mengde datasystemer. Kampanjen utnyttet en sårbarhet i Microsofts fildelingsprotokoll (SMBv1.0) for å kompromittere andre maskiner i nettverket og over Internett. Skadevaren spredde seg automatisk, og gikk derfor ikke målrettet mot en spesifikk sektor eller region. De aller fleste land rapporterer om infeksjoner.
Det sikreste tiltaket for å stå i mot dette angrepet, og eventuelle nye versjoner av skadevaren, er å installere sikkerhetsoppdateringer fra Microsoft for å hindre spredning og infeksjoner.”
Ifølge Europol rammet dataangrepet fredag 200.000 i over 150 land og flere enn 100.000 organisasjoner. I Norge er så langt få virksomheter rammet.
Telenor sikkerhetssenter forklarer hendelsen slik: “Ransomwaren er en variant av tidligere observert ransomware med navn Wanna Decryptor. Ransomwaren sprer seg fra maskin til maskin ved å utnytte en svakhet i Windows SMB service, som Windows maskiner trenger for å dele filer og printere over et lokalt nettverk. Normalt skal ikke denne tjenesten eksponeres ut på Internett, men mange bedrifter har dessverre hatt én eller flere maskiner med denne tjenesten eksponert mot Internett. Ormene har brukt disse maskinene til å komme seg på innsiden av nettet, og så spredd seg i høy hastighet.
Microsoft ga ut oppdateringer den 14 mars for å fikse svakheten som utnyttes. Oppdateringer har nå også blitt gitt ut for eldre versjoner av Windows som normalt ikke patches”
Mer oppdatert informasjon finner du på nettsidene til:
- Nasjonal sikkerhetsmyndighet.
- Europol.
- Microsoft.
- Råd og veiledning – se NettVett.no
- Artikkel på NRK.no