"WannaCry"-ransomware. Cyberattack i 74 länder

SVT skriver om samma sak ; "Minst 74 länder har drabbats av en omfattande cyberattack."

https://www.svt.se/nyheter/utrikes/brittiska-sjukhus-utsatta-...

Företag är långsamma, många enheter, halvdant skydd osv..

Varför har man inte sådan här infrastruktur i eget VLAN?

Verkar som viruset är inte riktat mot Windows 10 användare. Bara äldre versioner av Windows.

Om man läser första länken som plunn gav från microsoft verkar det gälla win10 med, men sen i andra säger de att det inte gör det - förvirrande

Går det ens att skjuta upp den automatiska uppdatering så länge att Windows 10 drabbas, förutsatt att man använt datorn regelbundet? Patchen släpptes väl för två månader sedan.

Det spelar i princip ingen roll vilka rutiner eller verktyg man har. I en större org. får man aldrig tag i 100% av datorerna vid patchning, några har trasig uppdateringsagent, andra ligger hemma hos nån med semester osv.

Ang Sandvik så är just frågan om hur många smittade datorer de fick den mest intresanta, någon enstaka % eller ett massivt utbrott?

Viruset uttnytjar en svaghet som finns i SMB i alla versioner utom 10.
Hålet patchades i senaste windows updaten.
Microsoft har också släppt patchar till XP, 8, 8.1 och server 2003.
Svagheten har uttnyttjats av NSA i flera år. Läckte nyligen ut.

Är ju alltid lite vanskligt med Microsoft patchar. Har hänt mer än en gång att applikationer som är kritiska för ett företag går sönder av en patch.

Är det foliehatten på eller har du faktiska källor som backar upp "Svagheten har...."?

https://arstechnica.com/security/2017/05/an-nsa-derived-ranso...

Nu verkar det iofs som det är dödat:
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-...

Sårbarheten i SMBv1 gäller visserligen Windows 10 med, men attacken gäller inte Windows 10. Microsoft skriver att Wannacrypt inte är designad för Windows 10.

Sammanfattning av CERT.

https://cert.se/2017/05/pagaende-ransomware-kampanj-wannacry-...

Med andra ord så kunde ha blivit mycket, mycket värre om man inte hittade 'kill-switch' så tidigt i denna kampanj som man ändå gjorde. - dock förutsätter det att alla angripna datorer kommer åt aktuella domänen i början av sin exekution och ligger man bakom proxy etc. så kan det härja på fritt fortfarande - vilket mycket väl kan ske fortfarande i olika mer eller mindre slutna företagsnätverk.

Och det verkar allt mer vara samstämmig åsikt att infektionsvägen var enbart via NSA-hacket mot SMB-port ensamt och inte via någon 'som borde veta bättre' klickade på en bilaga i en phishing-mejl - det räckte med att en enda ej uppdaterad win-dator hade sina SMB-portar synliga över Internet i någon organisation/företag med tillräcklig stor nätverk bakom sig (med läckor utåt) och letar man tillräckligt så hittar man alltid någon som har det...

Nu kommer både antivirusföretagen/företagen (speciellt de som redan är drabbade) och de som tillverka ransomware dra lärdom av det här (bla. att kampanjen nog avbröts lite för tidigt för att ge full utdelning pga. den lätthittade kill-switchen/den enkla sandboxdetektor-algoritmen) och nästa version kommer inte att vara lika lätt att stoppa.

Om man tittar på BC-länkarna så verkar 12-15 BC betalats totalt (mer kommer dock förmodligen under veckan som kommer) - det är förvisso en del pengar men som operation med kanske 10-tal personer bakom så är det nog att betrakta som ganska misslyckad kampanj då det potential kanske var både 10 -100 faldigt värt mera i pengar om det kunde fortsätta 1-2 dagar längre tid.