Danske kommuner og offentlige institutioner har i det seneste år været ramt af noget nær en epidemi af angreb, hvor nogen ulovligt har forsøgt at kryptere data.
Denne gang er det gået ud over Faaborg-Midtfyn Kommune, der er blevet fanget i et spind af ransomware, en malware-variant, der krypterer data i netværket og forlanger en løsesum for at fjerne krypteringen igen.
"Faktisk blev vi ramt to gange inden for kort tid," fortæller Jesper Rønnov, der er it-specialist i kommunen.
Irriterende, men heller ikke mere
Hvordan fandt I ud af, at der var noget galt, og hvad gjorde I ved det?
"I det første tilfælde var det en bruger, der gjorde os opmærksom på problemet," fortæller Jesper Rønnov.
"Hun kunne ikke åbne sine filer og kontaktede derfor it-afdelingen med det samme."
Den hurtige tilbagemelding til it gjorde oprydningsarbejdet langt nemmere, fortæller han.
"Det første problem blev registreret klokken 11.30, og vi havde allerede udpeget problemet klokken 11.55."
Der var dog allerede blevet krypteret masser af filer i netværket på Fyn.
"Det første vi gjorde var at lukke for vores filservere, så problemet ikke skulle sprede sig. Herefter hentede vi den inficerede maskine, og når man har den, så er det ikke svært at finde ud af, hvad der er sket. Programmet fortæller klart og tydeligt, at det hedder CryptoWall 3.0."
Ransomware er naturligvis ikke et program, der gemmer sig og lever et liv i det skjulte, da det skal afkræve en løsesum af brugeren.
"Ransomware anvender de brugerrettigheder, der er på maskinen, og derfor er den svær at fange via antivirus. Til gengæld betyder det så, at de områder, der kan angribes, er små, fordi vores brugere ikke har adgang til alt," fortæller han.
Den ramte bruger havde således adgang til nogle fællesdrev og afdelingens drev.
"Efter maskinen er isoleret, går vi i gang med at genskabe de berørte drev fra en backup. Vi spoler et døgn tilbage, og mister således også data fra den periode. Irriterende, men ikke katastrofalt."
Så det er bare irriterende?
"Hvis du ikke har backup så er det en katastrofe. Men hvis du har en velfungerende backup og har opdelt netværket på en fornuftig måde, så er det mere irriterende end en katastrofe."
Dagen efter rammes de igen
Dagen efter dukkede en ny ransomware op i netværket på Fyn
"Denne gang fangede vi den lynhurtigt. Vi lukkede ikke engang helt ned. Maskinen blev isoleret med det samme, og så genskabte vi bare afdelingens drev, mens systemet stadig kørte."
Har I lært noget af oplevelsen?
"Vi har lært at vi skal opdatere vore tredjepartsprogrammer, og så skanner vi efter signaturfiler fra ransomware-programmet. Men det er noget, der kan ske igen, og det er vi helt klar på at håndtere. Til andre vil jeg anbefale, at man lige kontrollerer sin backup og rutinerne omkring den."
Læs også: Center for Cybersikkerhed: Sådan kommer du på fode efter ransomware
Kom ind via huller i Flash og Silverlight
I Faaborg-Midtfyn Kommune er ransomware-koden kommet ind bag kommunens mure og ind i it-systemerne via vedhæftede filer eller via links til websider i en mail.
"Den ondsindede kode, der blev anvendt i angrebet mod kommunen, udnyttede huller i velkendte programmer/plugins som Adobe Flash-afspiller og Silverlight," fortæller Mads Nørgaard Madsen, der er partner og leder af Security og Technology i PwC, der har hjulpet en række kommuner, der er blevet angrebet af ransomware.
PwC konstaterer, at ransomware-angrebene bliver stadigt mere avancerede, hvilket gør det meget svært for antivirus-systemerne at fange malwaren.
"Siden vi så de første ransomware-angreb, er de blevet stadigt mere avancerede. Vi kan se, at der stadig angribes via vedhæftede filer. Det nye er, at disse filer arbejder sammen med inficerede websites, som udnytter svaghederne i de operative systemer. Det gør det svært for traditionelle antivirus-systemer at fange malwaren. Og brugere, der besøger et forkert website eller får delt en forkert fil, bliver ramt," forklarer Mads Nørgaard Madsen
Han anbefaler, at man behandler et angreb som en sikkerhedshændelse.
"Vi anbefaler, at sidestille ransomware-angreb med en sikkerhedshændelse og ikke en driftshændelse. Det vil sige, at man straks bør kontakte sin sikkerhedsafdeling, hvis man har mistanke om et angreb, så der kan lægges en plan for, hvordan man bedst muligt håndterer sagen," forklarer Mads Nørgaard Madsen.
Generelt er det rigtig vigtigt, at man får lavet en sikkerhedsvurdering, hvor processer, opmærksomhed hos it-brugerne, sårbarheder og organisationens it-arkitektur vurderes som en samlet sikkerhedsvurdering. Jeg anbefaler desuden et ledelsesforløb, hvor man drøfter, hvor organisationen er, og hvilke trusler den står overfor.
"Cybercrime kan i høj grad bekæmpes med de rette ledelsesværktøjer, og flere organisationer har jo efterhånden opdaget, at hackere har været langt inde i deres systemer. Desværre er det ikke alle, der gør noget ved det, eller er klar over, hvordan man håndterer sagen, hvis uheldet er ude," lyder det fra PwC-manden.
Læs også:
Ransomware spøger stadig: Arbejdsskadestyrelsen lukker it-systemerne ned igen-igen
Her er arbejdsmetoden: Sådan suger software-kidnappere penge ud af danskerne
Dansk kommune hacket: Filer er blevet låst - og der kræves løsesum