Den tryckta upplagan av Datormagazin rymmer mycket, till exempel fasta avdelningar där du bland annat återfinner en säkerhetskrönika i varje nummer. Den du kan läsa nedan publicerades i nummer 7-2017.
Under det senaste årtiondet har stater och regeringar i snabb takt ökat vidden av så kallad ”cyberkrigföring” – komplext sammansatta cybervapen som används för att spionera på andra länder eller genomföra riktade attacker mot infrastruktur. En del av de här cybervapnen läcker ut till de ”civila” marknadsplatserna för skadlig kod. Där kan medelmåttiga cyberbrottslingar komma över koden och sårbarheterna för att sedan paketera om det till nya malware som kan användas för personlig vinning.
Wannacry är det senaste exemplet på den typen av beteende. Den 12 maj spreds viruset av en fortfarande oidentifierad grupp hackare och visade sig bli den mest omfattande ransomware-attacken någonsin. Wannacry utnyttjar en dag noll-sårbarhet som har kopplingar till NSA och digital övervakning.
Två veckor efter att Wannacry upptäcktes hade viruset infekterat mer än en halv miljon endpoints i mer än 100 länder och på så sätt stört verksamheten för såväl företag som offentlig sektor och privatpersoner. Hackarna har hittills fått ut runt 120 000 dollar i lösensummor.
Ur ett kommersiellt perspektiv var Wannacrys förmåga att inbringa pengar ett misslyckande, men lärdomarna från attacken är ovärderliga. För vi får inte glömma att själva sårbarheten åtgärdades nästan en månad innan koden för Eternalblue dök upp online, men den omfattande spridningen visar hur många datorer som faktiskt inte installerat den kritiska säkerhetsuppdateringen.
Wannacry är en relativt amatörmässigt kodad malware. Tänk om Eternalblue-sårbarheten istället utnyttjats av cyberbrottslingar som skapat en nyttolast av samma komplexitet som Conficker-masken från 2008. Då hade vi haft en nyttolast med funktionalitet att blockera operativsystemets uppdateringar, förhindra installationen av antivirusprogram och blockera användaren från att nå utvalda webbsidor. Samtidigt som masken kan sprida sig från dator till dator. Det är ett scenario som hade varit oroväckande likt en digital apokalyps och som tagit år att städa upp.
Lyckligtvis har Eternalblue förlorat sitt momentum. Hela världen känner till sårbarheten och det utan att vårt samhälle tvingades till totalt tvärstopp. Men Eternalblue är inte den enda sårbarheten som läckte ut från NSA. Läckan, som kallas ”Lost in translation”, omfattar 30 olika sårbarheter för flera olika operativsystem. Sårbarheter som kan utnyttjas för att bygga mer komplex malware som kan orsaka än mer omfattande samhällsskada än Wannacry.
Vad kan vi förvänta oss nu?
Vi vet fortfarande inte den slutgiltiga omfattningen av Wannacry, men klart är att attacken orsakade ekonomisk skada och påverkade verksamheter världen över. Men framför allt orsakade Wannacry panik när vi återigen blev smärtsamt uppmärksammade på hur sårbart vårt digitala ekosystem är. Branschen är redan under press för att hålla jämna steg med de professionaliserade cyberbrottslingarna. Att då komplexa cybervapen blir brett tillgängliga underlättar inte situationen för någon.
Malware som kombinerar upp till tio olika sårbarheter från NSA-läckan har redan upptäckts i säkerhetsforskares honungsfällor. Även om det fortfarande till stor del är obekräftade uppgifter är det tydligt att idén att skapa kombinerad malware är född. Det är bara en tidsfråga innan hotet blir verklighet. Vi står inför en morgondag där sårbarheter och skadlig kod som utvecklats av statliga aktörer kan nyttjas av cyberbrottslingar för egen vinning. Och de kan rikta sina attacker mot precis vem som helst.
Nya typer av attacker kräver nya typer av försvar
Vi har i flera år arbetat med säkerhetsteknologier som bygger på maskininlärning för att ligga steget före och upptäcka även okända hot. Endpoints som skyddas av säkerhetslösningar som bygger på maskininlärning lyckades stoppa Wannacry, vilket visar att tekniken är användbar oavsett hur komplext hotet är. På kort tid har maskininlärning gått från att vara ett trevligt komplement att testa till att bli företags viktigaste säkerhetslösning.
På Bitdefender är vi övertygade om att säkerhetslösningar som är beteendebaserade eller integrerade på hypervisor-nivå är den nya typ av försvar som behövs för att skydda sig mot nya attacker – såväl för privatpersoner som för företag och offentlig sektor.
Bogdan Botezatu
IT-säkerhetsexpert på Bitdefender