Wannacry

utpressningstrojan som i maj 2017 gjorde den dittills kanske mest omfattande attacken mot datorer i hela världen. Den utnyttjade en sårbarhet i Windows. Vilka som låg bakom attacken var länge okänt, men i juni 2017 uppgavs att NSA anser att Nordkorea ligger bakom, se denna artikel. – Attacken inleddes den 12 maj, och hade samma dag drabbat uppskattningsvis 230 000 datorer i 150 länder. De drabbade uppmanades i ett budskap på datorns bildskärm att betala motsvarande 300 dollar i bitcoin för att kunna an­vända sina datorer igen. – Spridningen av Wanna­cry bromsades den 13 maj av en pro­gram­me­r­are som upptäckte att Wanna­cry hade en inbyggd avstängningsmekanism, som pro­gram­me­ra­ren framgångs­rikt använde – se denna artikelMalwareTech. (Samma programmer­are greps i augusti 2017 i USA misstänkt för att ha sålt banktrojanen Kronos.) – Sår­bar­heten i Windows upptäcktes först av NSA, som hem­lig­höll den, även för Micro­soft, och i stället utvecklade attackmetoden EternalBlue för att kunna göra intrång i Windows-system. Hackargruppen Shadow Brokers kom över koden till EternalBlue och släppte den i april 2017. Det är troligen den koden som har använts i attacken. Micro­soft hade också upptäckt sår­bar­heten, och hade redan i mars 2017 skickat ut en patch som oskad­lig­gjorde EternalBlue, men många organisationer hade inte in­stal­le­rat den. Dess­utom använder många företag fortfarande Windows XP, som Microsoft inte längre underhåller, och alltså inte heller skickar ut patchar till. (Fast Microsoft gjorde ett undantag och skickade efter attacken ut en patch mot Wannacry för Windows XP.) Microsoft har riktat hård kritik mot NSA för att NSA hemlighöll sårbarheten, se detta inlägg på Micro­softs officiella blogg. – Wannacry spreds på flera sätt: som virus och genom nätfiske. När det har in­fek­te­rat ett it‑system sprids det som en mask. – Wannacry kallas också för Wannacrypt, WannaCrypt0r, Wanna Decryptor och WCRY.

[attacker] [skadeprogram] [ändrad 8 augusti 2017]