WannaCry ransomware kampanje

Publisert: 15.05.2017

En infisering fører til at filer på systemet vil bli kryptert og man vil bli spurt om å betale penger for å få de dekryptert. Kampanjen har infisert veldig mange maskiner på veldig kort tid.

En omfattende ransomware kampanje har infisert flere store europeiske selskaper [1][2][3], hvor noen er norske selskaper. Kampanjen er rapportert om i media som 'WannaCry' eller 'WanaCrypt0r'. En infisering fører til at filer på systemet vil bli kryptert og man vil bli spurt om å betale penger for å få de dekryptert. Det spesielle med denne kampanjen er at den har infisert veldig mange maskiner på veldig kort tid. Det ble gjort med å utnytte en sårbarhet i Microsoft SMB [4] for å kompromittere andre maskiner i nettverket.

Skadevarens omfang

Skadevaren sprer seg automatisk og går derfor ikke mot en spesifikk sektor. Norske bedrifter er rammet i begrenset omfang per nå.

Infeksjonsvektor

Initiell infeksjonsvektor er rapportert å være phishing epost med PDF-vedlegg. Men dette kan være en sammenblanding med ett annet nylig ransomware. Skadevaren spres også over SMB protokollen på lokalt nettverk og internett.

Teknisk beskrivelse av skadevare [6][7][8][9] 

Først vil skadevaren sjekke om den får kontakt med www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (Killswitch-domenet). Om den får kontakt så vil skadevaren avsluttes og ikke infisere klienter videre eller kryptere filer. Domenet er blitt registrert av ett sikkerhetsselskap [5] omtrent 12.05.2017 kl 15:00.

Vi ønsker å spesifisere at domenet nevnt over ikke bør blokkeres i brannmur e.l., da dette benyttes som killswitch for skadevaren.

Skadevaren vil først sjekke om en bakdør kalt 'DoublePulsar' er installert på maskinen den vil infisere. Hvis DoublePulsar er installert vil skadevaren bruke bakdøren til å installere krypteringsprogrammet. Hvis ikke vil den forsøke å benytte seg av sårbarheten i SMB. Sårbarheten, kalt 'EternalBlue', er det sluppet en sikkerhetsoppdatering den 14.03.2017. Dersom maskinen er sårbar vil DoublePulsar bli installert og krypteringsprogrammet vil bli kjørt. En Tor klient vil også bli lastet ned og brukt for å sjekke om beløpet for å dekryptere filene blir betalt. Skadevaren vil så tilslutt søke etter lokalt og på internett etter andre sårbare maskiner å infisere.

Microsoft har publisert en artikkel som adresserer WannaCrypt angrepet [11]. Der peker de på at denne type angrep kan utvikle seg over tid. Microsoft har også gitt ut sikkerhetsoppdatering for eldre Windows-versjoner som ikke lengre får det. Som Windows XP, Windows 8 og Windows Server 2003[11].

Tiltak vi anbefaler

  • Installer sikkerhetsoppdateringene fra Microsoft.
  • Ha backup av viktige dokumenter. Disse bør også være på et isolert system.
  • Ikke betal løsepenger, da det er med på å finansiere denne type angrep.

Les også NSMs utdypende artikkel om beskyttelse mot løsepengevirus/ransomware


Indikatorer:

www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Aksesseres gjennom Tor for å sjekke om betaling er gjennomført.
gx7ekbenv2riucmf[.]onion
57g7spgrzlojinas[.]onion
Xxlvbrloxvriy2c5[.]onion
76jdd2ir2embyv47[.]onion
cwwnhwhlz52maqm7[.]onion
sqjolphimrr7jqw6[.]onion

URL hvor Tor hentes ned. Legitim nettside.
https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip


NorCERT ønsker gjerne å bli informert om bedrifter som har blitt infisert og vi følger saken tett.

  1. https://uk.reuters.com/article/us-spain-cyber-idUKKBN1881TJ
  2. https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#65da45f4e599
  3. http://www.vg.no/nyheter/utenriks/hackerangrep-rammer-74-land/a/23997276/
  4. https://technet.microsoft.com/library/security/MS17-010.aspx
  5. https://intel.malwaretech.com/botnet/wcrypt
  6. http://blog.talosintelligence.com/2017/05/wannacry.html
  7. https://www.bleepingcomputer.com/news/security/wana-decryptor-wanacrypt0r-technical-nose-dive/
  8. https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
  9. https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
  10. https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
  11. https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/