Endnu en dansk kommune ramt af ransomware: Sådan løste vi problemet

Faaborg-Midtfyn Kommune blev ramt i sidste uge ramt af ransomware. Lær her, hvordan man koldt og roligt fik løst problemerne i den kommunale it-afdeling.

Annonce:
Annonce:

Fem gode råd fra PwC: Sådan undgår du ransomware

Du bør sikre, at alle enheder er opdateret med nyeste patches, da det er både nye såvel som kendte sikkerhedshuller, der bliver udnyttet, og det kan undgås med regelmæssig patching af servere og enheder.

Sørg for altid at have en god backup.

Optimér dit it-landskab med en effektiv brugerstyring, og giv kun brugerne adgang til det, de skal arbejde med.

Sørg for god overvågning af dit netværk. Der foregår typisk en del atypisk aktivitet hos de ramte, når angrebet starter. Når én bruger eksempelvis arbejder på 35.000 filer, så er der noget galt, og man bør reagere.

Sørg for at have klare beredskabsplaner, da omkostningerne falder drastisk, når man ved, hvem der gør hvad, når uheldet er ude.

Danske kommuner og offentlige institutioner har i det seneste år været ramt af noget nær en epidemi af angreb, hvor nogen ulovligt har forsøgt at kryptere data.

Denne gang er det gået ud over Faaborg-Midtfyn Kommune, der er blevet fanget i et spind af ransomware, en malware-variant, der krypterer data i netværket og forlanger en løsesum for at fjerne krypteringen igen.

"Faktisk blev vi ramt to gange inden for kort tid," fortæller Jesper Rønnov, der er it-specialist i kommunen.

Irriterende, men heller ikke mere
Hvordan fandt I ud af, at der var noget galt, og hvad gjorde I ved det?

"I det første tilfælde var det en bruger, der gjorde os opmærksom på problemet," fortæller Jesper Rønnov.

"Hun kunne ikke åbne sine filer og kontaktede derfor it-afdelingen med det samme."

Den hurtige tilbagemelding til it gjorde oprydningsarbejdet langt nemmere, fortæller han.

"Det første problem blev registreret klokken 11.30, og vi havde allerede udpeget problemet klokken 11.55."

Der var dog allerede blevet krypteret masser af filer i netværket på Fyn.

"Det første vi gjorde var at lukke for vores filservere, så problemet ikke skulle sprede sig. Herefter hentede vi den inficerede maskine, og når man har den, så er det ikke svært at finde ud af, hvad der er sket. Programmet fortæller klart og tydeligt, at det hedder CryptoWall 3.0."

Ransomware er naturligvis ikke et program, der gemmer sig og lever et liv i det skjulte, da det skal afkræve en løsesum af brugeren. 

"Ransomware anvender de brugerrettigheder, der er på maskinen, og derfor er den svær at fange via antivirus. Til gengæld betyder det så, at de områder, der kan angribes, er små, fordi vores brugere ikke har adgang til alt," fortæller han.

Den ramte bruger havde således adgang til nogle fællesdrev og afdelingens drev.

"Efter maskinen er isoleret, går vi i gang med at genskabe de berørte drev fra en backup. Vi spoler et døgn tilbage, og mister således også data fra den periode. Irriterende, men ikke katastrofalt."

Så det er bare irriterende?

"Hvis du ikke har backup så er det en katastrofe. Men hvis du har en velfungerende backup og har opdelt netværket på en fornuftig måde, så er det mere irriterende end en katastrofe."

Dagen efter rammes de igen
Dagen efter dukkede en ny ransomware op i netværket på Fyn

"Denne gang fangede vi den lynhurtigt. Vi lukkede ikke engang helt ned. Maskinen blev isoleret med det samme, og så genskabte vi bare afdelingens drev, mens systemet stadig kørte."

Har I lært noget af oplevelsen?

"Vi har lært at vi skal opdatere vore tredjepartsprogrammer, og så skanner vi efter signaturfiler fra ransomware-programmet. Men det er noget, der kan ske igen, og det er vi helt klar på at håndtere. Til andre vil jeg anbefale, at man lige kontrollerer sin backup og rutinerne omkring den."

Læs også: Center for Cybersikkerhed: Sådan kommer du på fode efter ransomware

Annonce:

Kom ind via huller i Flash og Silverlight
I Faaborg-Midtfyn Kommune er ransomware-koden kommet ind bag kommunens mure og ind i it-systemerne via vedhæftede filer eller via links til websider i en mail.

"Den ondsindede kode, der blev anvendt i angrebet mod kommunen, udnyttede huller i velkendte programmer/plugins som Adobe Flash-afspiller og Silverlight," fortæller Mads Nørgaard Madsen, der er partner og leder af Security og Technology i PwC, der har hjulpet en række kommuner, der er blevet angrebet af ransomware.

PwC konstaterer, at ransomware-angrebene bliver stadigt mere avancerede, hvilket gør det meget svært for antivirus-systemerne at fange malwaren.

"Siden vi så de første ransomware-angreb, er de blevet stadigt mere avancerede. Vi kan se, at der stadig angribes via vedhæftede filer. Det nye er, at disse filer arbejder sammen med inficerede websites, som udnytter svaghederne i de operative systemer. Det gør det svært for traditionelle antivirus-systemer at fange malwaren. Og brugere, der besøger et forkert website eller får delt en forkert fil, bliver ramt," forklarer Mads Nørgaard Madsen

Han anbefaler, at man behandler et angreb som en sikkerhedshændelse.

"Vi anbefaler, at sidestille ransomware-angreb med en sikkerhedshændelse og ikke en driftshændelse. Det vil sige, at man straks bør kontakte sin sikkerhedsafdeling, hvis man har mistanke om et angreb, så der kan lægges en plan for, hvordan man bedst muligt håndterer sagen," forklarer Mads Nørgaard Madsen.

Generelt er det rigtig vigtigt, at man får lavet en sikkerhedsvurdering, hvor processer, opmærksomhed hos it-brugerne, sårbarheder og organisationens it-arkitektur vurderes som en samlet sikkerhedsvurdering. Jeg anbefaler desuden et ledelsesforløb, hvor man drøfter, hvor organisationen er, og hvilke trusler den står overfor.

"Cybercrime kan i høj grad bekæmpes med de rette ledelsesværktøjer, og flere organisationer har jo efterhånden opdaget, at hackere har været langt inde i deres systemer. Desværre er det ikke alle, der gør noget ved det, eller er klar over, hvordan man håndterer sagen, hvis uheldet er ude," lyder det fra PwC-manden.

Læs også:
Ransomware spøger stadig: Arbejdsskadestyrelsen lukker it-systemerne ned igen-igen

Her er arbejdsmetoden: Sådan suger software-kidnappere penge ud af danskerne

Dansk kommune hacket: Filer er blevet låst - og der kræves løsesum




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Den næste iPhone bliver kedelig - men så sker der noget virkelig interessant
ComputerViews: Til næste år sker der noget interessant med iPhonen, og derfor kan iPhone-brugere gøre klogt i at vente med at udskifte den gamle iPhone.
CIO
Sådan fik Johnny Vad reduceret it-nedetiden fra 37.000 timer til næsten nul på et enkelt år
Ved at overvåge it-leverandørernes præstationer røg antallet af spildte arbejdstimer ned fra 37.000 til ganske få timer på et enkelt år. "Det er ganske enkelt og uhyre effektivt," fortæller it-chefen, der fik ideen.
Channelworld
Microsoft skruer gevaldigt op for dansk udviklingscenter: Hyrer udviklere i bundter
Microsoft ansætter op mod 50 nye udviklere i selskabets største investering på dansk jord siden opkøbet af Navision i 2002.
White paper
multikanals kundeservice - Sådan !
Sådan kan der udvikles en effektiv, multikanals kundeservice - Læs i dette white paper hvordan.