Cyberkriminelle har opdateret skadelig kode: Nu angriber den igen

Det lykkedes at få dræbt den skadelige ransomware ”WannaCry” i første omgang. Men en ny version inficerer nu på livet løs.

Den skadelige WannaCry-kode har ramt op mod 250.000 computere på verdensplan. Når computeren bliver inficeret, bliver filerne låst, og kan kun åbnes, hvis man betaler mellem 2.000 og 4.000 kroner til de ukendte gerningsmænd. (Foto: RITCHIE B. TONGO © Scanpix)

Da det i weekenden lykkedes en anonym sikkerhedsekspert at dræbe den skadelige kode – kaldet ransomware – der i øjeblikket spreder sig på internettet, åndede en del professionelle it-folk lettede op.

Manden havde købt et domæne – altså en hjemmesideadresse – som fik ”WannaCry”-koden til at stoppe med at angribe nye mål.

For i koden var der indbygget en såkaldt ”killswitch” – en slags funktion til at selvdestruere den skadelige kode, og dermed hæmme eksperter og myndigheders forsøg på at forstå koden og dermed forhindre den i at sprede sig yderligere.

Nu har de ukendte cyberkriminelle, der står bag ”WannaCry” nu opdateret koden til en ny version uden nogen selvdestruktionsfunktion. Dermed fungerer den skadelige kode igen.

Bogdan Botezatu, der er senior e-Threat Analyst hos anti-virusvirksomheden Bitdefender, der blandt andet har den danske stat som kunde, har analyseret angrebet indgående.

- Der er faktisk kun tale om én eneste ændring, men den ændring er stor nok til, det ser ud som om, der er kommet en ny version, siger han.

Andre grupper har kopieret kode

I den nye version af WannaCry er der ændret to såkaldte bytes, hvilket er en minimal ændring. Til sammenligning fylder et typisk tekstdokument i Word 15.000 byte. Ifølge Bogdan Botezatu tyder det på, at de cyberkriminelle ikke er særligt professionelle.

- De fjernede blot to bytes i koden, så den fortsatte uden selvdestruktionsmekanismen. De har ikke skrevet koden om. De gad ikke engang skrive deres eget program, så det her viser, der er tale om uprofessionelle folk, siger han.

It-sikkerhedsekspert og partner i CSIS Peter Kruse vurderer, at flere andre hackergrupper er hoppet med på kodevognen og har lavet deres egne versioner af koden, siden sårbarheden i Windows-systemet blev kendt.

- Der er både kommet nye varianter, som indeholder en ny såkaldt selvdestruktionsfunktion, og så er der kommet nogen, hvor den selvdestruktionsfunktion er blevet fjernet, siger han.

I skrivende stund er mindst 300 Windows-maskiner ramt herhjemme. Hvilken kan du se på kortet herunder, som er i anonymiseret form. De ukendte gerningsmænd bag angrebet har indtil videre tjent over 40.000 amerikanske dollars svarende til 272.000 danske kroner på at låse computere, ifølge Costin Raiu, der er leder af forskningsenheden hos antivirusvirksomheden Kaspersky.

https://twitter.com/peterkruse/status/864052670994276352

Facebook
Twitter