Nasservirus veksler stjålne computerkræfter til rigdom

En ny virus, der muligvis også trækker spor til Nordkorea, tjener flere penge til sine bagmænd end Wannacry, der hærgede i weekenden, selv om den kun stjæler computerkræfter for at lave penge.

Blandt de mange ofre for weekendens hackerangreb med Wannacry-virussen var Deutsche Bahn, det tyske svar på DSB, hvis skilte på perronerne blev ramt og derfor ikke kunne vise, hvornår næste tog afgik. Arkivfoto: Gernot Hensel, EPA/Scanpix Fold sammen
Læs mere
Foto: GERNOT HENSEL

Mens hele verdens fokus i snart en uge har ligget på den frygtede Wannacry-computervirus, som koder folks vigtige filer og kræver løsesum udbetalt, hvis de igen vil have adgang til dem, har andre hackere tjent endnu mere ved at bruge det samme smuthul til noget helt andet.

De har nemlig udformet en virus, der i det skjulte også installerer sig på folks computere ved at bruge samme sikkerhedshul i Windows som Wannacry-virussen, men i stedet for at hærge og skabe panik, når vigtige dokumenter, film, billeder og musik pludselig er krypteret - altså kodet - og dermed ikke kan åbnes, stjæler den computerens kræfter.

Bedre indtjening i det skjulte

Den installerer nemlig et program, Adylkuzz, som sætter computeren i gang med at foretage de udregninger, som bruges, når man vil optjene penge i virtuel valutaer - på engelsk fagjargon »mine«, altså grave guld ud.

Hvor Wannacry-bagmændene krævede betaling fra de ramte med bitcoins, som er meget svær at spore, fordi det går uden om de normale banksystemer, forsøger den nye computervirus i stedet at skaffe sine bagmænd en formue i den virtuelle valuta Monero.

Og det går tilsyneladende ret godt. Faktisk mener eksperter hos IT-sikkerhedsfirmaet Proofpoint at kunne se, at den nye virus' bagmænd har tjent mere, end Wannacry-bagmændene har fået ind, skriver nyhedsbureauet Reuters.

Virussen begyndte at sprede sig allerede i slutningen af april eller begyndelsen af maj men er ikke hidtil blevet opdaget, fordi de ramte computere ellers bare arbejder videre som normalt. De bruger nu blot en del af kræfterne på at arbejde for de ukendte bagmænd med at skaffe dem flere penge i digital baluta.

Proofpoints topchef, Ryan Kalember, anslår, at bagmændene allerede har tjent over en million dollars - langt mere, end hvad Wannacry-bagmændene har tjent.

Mulige spor peger igen på Nordkorea

Virtuelle valutaer som bitcoin og Monero fungerer ved, at man optjener penge, når computeren har løst tilstrækkeligt mange komplekse matematiske udregninger. Hardcoreguldgraverne sætter særlige computere op, som ikke laver andet, og indløser så fra tid til anden det udgravede »guld« til rigtige penge. Ligesom i den virkelige verden varierer vekselkursen for digitale valutaer. Her er bitcoin den ubestridt største.

Der har været antydninger fremme om, at Wannacry-virussen er sendt af sted af en nordkoreansk hackergruppe, Lazarus, der arbejder fra Kina. Måden, som den er programmeret på, er nemlig den samme som tidligere, kendte tilfælde af Lazarus' aktiviteter. Det er dog endnu langtfra sikkert, at det er sandt, for dels kan kodelinierne være kopieret, dels har Wannacry ramt tilfældigt - og især i Kina og Rusland, der anses for mindre fjendtlige over for Nordkorea end andre lande.

Sikkerhedseksperter har set tegn på, at professionelle, nordkoreanske hackere er begyndt at fatte interesse for bl.a. Monero, hvorfor der kan være bånd mellem dem og den nye viirus, der ikke har fået et navn.

Ryan Kalember fra Proofpoint mener, at de to virusudbrud er »mere end et tilfælde«.

»Der er virkeligt stærk overlapning. Det er jo ikke sådan, at man ser Monero-udgravere over hele verden,« konstaterer han over for Reuters.

Betal aldrig løsesum

Wannacry har ifølge de seneste opgørelser ramt omkring 300.000 computere i 150 lande verden over. Den er bygget på programmer, som den amerikanske efterretningstjeneste NSA har udviklet, efter at NSA selv opdagede sikkerhedshullet, så tjenesten kunne udnytte det til at angribe andre uset. Imidlertid blev programmerne stjålet fra NSA af hackere, der offentliggjorde dem på nettet.

Hvis man er blevet ramt af en løsesumsvirus, bør man aldrig betale, da man risikerer alligevel ikke at få den kode, som låser ens filer op, lyder rådet fra eksperter og myndigheder. I stedet bør man bruge en forhåbentlig ikke for gammel sikkerhedskopi af sine filer og data, så man kun har mistet få dages arbejde.

Læs mere