Ett skript kallat Trojan Powershell infekterar Windows-system. I mitten av förra veckan började vissa antivirusprodukter känna igen signaturen och blockera infektionen. Bara vissa antivirusprodukter kan dock rensa bort infektionen, och inte ens de med säkerhet.
Den initiala infektionsvektorn är ännu inte känd. Det är i dagsläget heller inte klarlagt vad det slutgiltiga målet med angreppet är.
Powershell-skripet, som kan men inte behöver heta cred.ps1, innehåller sannolikt en så kallad Mimikatz-funktionalitet för att extrahera lösenord och lösenordshashar ur minnet samt en downloader. Det ger funktionalitet för att sprida sig genom det lokala nätverket, att försöka knäcka lösenord samt att ladda nya moduler av kod. Smittade datorer kommer att försöka knäcka lösenord genom en råstyrkeattack mot Active Directory.
CERT-SE, som drivs av MSB, menar att det är viktigt att tillgängliga säkerhetsuppdateringar från Microsoft installeras.
"Uppdateringarna från mars 2019[2] ser ut att stoppa infektionen varför dessa bör installeras omgående. Att uppdatera är det enskilt bästa sättet att skydda sig mot infektion", skriver CERT-SE på sin hemsida.
Preventiva skyddsåtgärder för liknande hot:
- Säkerställ att processen för säkerhetsuppdateringar fungerar både för operativsystem och övrig mjukvara.
- Installera säkerhetsuppdateringar för Windows och se till att uppdateringen MS17-010[3] är tillagd i alla system.
- Stäng av SMBv1.
- Tillåt inte åtkomst via SMB-protokollet direkt från internet, dvs stäng i brandväggar för 445/tcp, både ingress och egress.
- Även 139/tcp kan vara värt att stänga då det finns indikationer på att även denna utnyttjas.
- Använd istället VPN-anslutning för åtkomst till sådana tjänster.
- Säkerställ att ni har fungerade säkerhetskopierings- och återställningsrutiner genom att öva dessa.
- Segmentera nätet. Genom att inte tillåta klienter att kommunicera med andra klienter så minimeras skadeverkningarna.
- Använd långa och komplexa lösenord för konton i AD.
Sverige
