Skadevaren EternalRocks, også kjent som MicroBotMassiveNet, spres ved at infiserte maskiner leter tilfeldig på nett etter samme sårbarheter som WannaCry-viruset utnyttet for kort tid siden, opplyser NSM til NTB.

Når en maskin først er infisert, vil den laste ned ytterligere skadevare som etablerer en bakdør på datamaskinen. Årsaken til at NSM velger å opplyse om dette, er at etaten ikke kjenner formålet med denne bakdøren.

– Vi vet ikke om aktøren er økonomisk motivert, eller om det er snakk om en mer avansert aktør, heter det på NSMs informasjonssider.

Forventer flere

WannaCry spredte seg til minst 150 land, infiserte minst 200.000 datamaskiner og rammet alt fra privatpersoner til det britiske helsevesenet.

Etter å ha herjet i flere dager ble viruset bremset av en 22 år gammel britisk IT-ekspert. Han fant en såkalt «kill switch», eller av-knapp, ved å registrere domenet. Like etter ble det imidlertid registrert nye versjoner av viruset.

Den innledende etterforskningen antydet at det var amatører som sto bak angrepet, selv om de også senere har funnet en «svak tilknytning» til hackergruppen Lazarus.

Å stanse angrepet krevde mye ressurser fra IT-ekspertene rundt om i verden, og frykten var at mer profesjonelle aktører skulle utnytte situasjonen til å gjennomføre mer omfattende dataangrep.

Oppdaterte maskiner

Norge ble i mindre grad rammet av WannaCry enn andre land som følge av at vi er en rik nasjon der mange har nye og oppdaterte datamaskiner.

NSM opplyser at EternalRocks kan stoppes på samme måte, ut ifra den informasjonen de har tilgjengelig nå.

– Så langt har vi konkludert med at EternalRocks stoppes av ordinær oppdatering slik vi så etter WannaCry, sier avdelingsdirektør Hans Christian Pretorius i NSM.

Sikkerhetsmyndighetens operative senter NorCERT følger utviklingen fortløpende og vil varsle dersom situasjonen forverres.