Telenor frykter nye dataangrep

Telenor frykter at programvaren som låser datamaskiner vil spres ytterligere mandag, og er i beredskap etter et globalt dataangrep som rammet 200.000 datamaskiner.


<p><b>FØLGER MED:</b> Telenors sikkerhetssenter i Arendal overvåker datatrafikk for å kunne varsle bedrifter tidlig om eventuelle angrep eller trusler. Nå frykter selskapet en ny runde med dataangrep mandag, enten ved at folk åpner epostvedlegg med utpressingsprogramvare, eller ved at utviklerne av programvaren lager en ny versjon.</p>

FØLGER MED: Telenors sikkerhetssenter i Arendal overvåker datatrafikk for å kunne varsle bedrifter tidlig om eventuelle angrep eller trusler. Nå frykter selskapet en ny runde med dataangrep mandag, enten ved at folk åpner epostvedlegg med utpressingsprogramvare, eller ved at utviklerne av programvaren lager en ny versjon.

Lederen av Telenors sikkerhetssenter i Arendal følger med på datatrafikken.

I flere måneder har leder Gunnar Ugland visst om sikkerhetshullet i Microsoft Windows som ble utnyttet i et massivt dataangrep fredag.

Telenor advarte også bedrifter om det på forhånd, så de kunne lukke sikkerhetshullet.

Ifølge Europol skal angrepet ha rammet 200.000 maskiner i 150 land.

Den skadelige programvaren utnytter en svakhet i Windows og låser filene i datamaskiner. For å få låst dem opp må man betale mellom 300 og 600 dollar i den digitale valutaen Bitcoin.

Nå frykter Telenor en andre bølge i angrepet, for eksempel ved at folk kommer på jobb mandag og åpner epostvedlegg, eller ved at en ny versjon av programvaren blir sendt ut.

Søndag var det fortsatt uklart hvordan programvaren sprer seg.

– I første omgang er vi veldig spent på mandagen, når folk begynner å komme på jobb, sier Gunnar Ugland i Telenor til E24.

– Det er fortsatt usikkerhet på om utpressingsprogramvaren utelukkende spres av seg selv som en orm, eller om den også spres når folk åpner epostvedlegg, sier han.

– Ligger sårbarhet her

Telenors sikkerhetssenter overvåker datatrafikken døgnet rundt for å avdekke sikkerhetshendelser, trusler og tjenestenektangrep. Ugland er i beredskap også på mandag.

– Det er typisk mandagene at vi ser en økning i dataangrep, for da har folk mye epost å gå gjennom. Ofte har de bare myst litt kjapt på telefonen i helgen, og så begynner de å gå gjennom eposter og vedlegg når de kommer på jobb mandag, sier han.

– Det ligger en stor sårbarhet her, så lenge virksomheter ikke har fått tettet dette sikkerhetshullet. Utvikleren av den skadelige programvaren kan oppdatere sin kode for å utnytte hullene enda en gang, eller det kan komme nye trusler som utnytter samme svakhet, sier han.

 <p><b>I BEREDSKAP:</b> Gunnar Ugland er leder for Telenors sikkerhetssenter (TSOC)</p>

I BEREDSKAP: Gunnar Ugland er leder for Telenors sikkerhetssenter (TSOC)

Lukket sikkerhetshull i mars

I to måneder har Microsoft hatt tilgjengelig en oppdatering som lukket sikkerhetshullet. De som rammes har trolig ikke oppdatert maskinene sine, eller brukt eldre versjoner av Microsofts operativsystem som ikke lenger oppdateres, som Windows XP, ifølge Ugland.

Han sier at slik utpressing ikke er noe nytt, men at svaret fra Microsoft er svært uvanlig. Selskapet har nemlig lagt ut oppdateringer til gamle operativsystemer, noe det nesten aldri gjør.

– Det som understreker alvoret er at Microsoft selv har tatt initiativ til å oppdatere programvare som egentlig er gått ut av salg og ikke lenger oppdateres. Det er nettopp fordi dette er blitt et så stort angrep, sier Ugland.

Var forberedt

Norske bedrifter er generelt flinke til å oppdatere systemene sine, noe som trolig bidro til at angrepet har rammet nokså få. Telenor gjorde også kunder oppmerksomme på sikkerhetshull før fredagens angrep, sier Ugland.

– Vi var klar over og advarte på forhånd norske bedrifter mot sårbarheten i SMB-protokollen, der svakheten ligger, sier han.

SMB-protokollen brukes særlig av bedrifter for å dele filer internt på et nettverk.

– Vi har hatt et veldig begrenset sett med kunder som vi har hatt dialog med om dette. Vi hadde en runde i forkant med kunder som hadde sårbare servere, som vi fikk fikset i tide, før angrepet. Så hadde vi et par-tre tilfeller av kunder som ble omfattet i denne bølgen, sier han.

 <p><b>LÅSER MASKINEN:</b> Slik ser utpressingsprogramvaren ut på en infisert datamaskin. Programvaren går under navnet WannaCry, WannaCrypt eller WannaDecryptor.</p>

LÅSER MASKINEN: Slik ser utpressingsprogramvaren ut på en infisert datamaskin. Programvaren går under navnet WannaCry, WannaCrypt eller WannaDecryptor.

Har betalt løsepenger

Eksperter anslår ifølge CNN at hackerne har fått utbetalt rundt 20.000 dollar i Bitcoin så langt, men tror dette kan stige når folk kommer tilbake på jobb mandag og oppdager låste maskiner.

– De rammede maskinene har seks timer på seg til å betale, og løsepengene går opp etter noen timer, sier Kurt Baumgartner i sikkerhetsselskapet Kaspersky Lab til CNN.

Ugland anbefaler likevel ikke folk å betale løsepengene hvis de har fått datamaskinen sin låst.

– Absolutt ikke. Det er litt som med piratvirksomhet til sjøs. Vi ønsker ikke å åpne for finansiering av denne typen aktører, sier han.

Mange ble rammet

Disse virksomhetene er blant dem som fikk datamaskiner låst av utpressingsprogramvaren, ifølge norske og internasjonale medier:

  • Nordic Choice Hotels
  • Flere norske eliteserieklubber
  • Det britiske helsevesenet, NHS
  • Den franske bilprodusenten Renault
  • Den japanske bilprodusenten Nissans fabrikk i Sunderland
  • Det spanske teleselskapet Telefonica
  • Det russiske teleselskapet Megafon
  • Det portugisiske teleselskapet Portugal Telecom
  • Det amerikanske budfirmaet FedEx
  • Det tyske jernbaneselskapet Deutsche Bahn
  • Det spanske energiselskapet Iberdrola
  • Den spanske gassleverandøren Gas Natural
Vis kommentarer

Kjære kommentarfeltbruker!

Vi ønsker dine argumenter og meninger velkommen. Vær saklig og vis omtanke, mange leser det du skriver. Gjør debatten til en bedre opplevelse for både andre og deg selv.

Les mer om våre regler her.

Per Valebrokk, ansvarlig redaktør E24

På forsiden nå