Arbejdsskadestyrelsen lukker ned igen: Stadig ramt af malware

Mandag blev Arbejdsskadestyrelsen ramt af malware. Trods patching findes den skadelige software stadig i systemet. Nu har styrelsen lukket systemerne ned igen.

Der er stadig malware-problemer i Arbejdsskadestyrelsen. Styrelsens it-systemer var ellers på vej op i går, onsdag, efter at malware havde sneget sig ind på den offentlige organisations computere via noget, der med al sandsynlighed er en sårbarhed i Flash.

»Vi kan konstatere, at problemet stadig er der, så vi har lukket ned igen,« siger presseansvarlig i styrelsen Christian Frederik Mortensen og tilføjer:

»Vi arbejder på at løse det her sammen med Statens IT.«

Under det sidste malware-angreb, der krypterede indhold på et fællesdrev, lukkede styrelsen de enkelte klientmaskiner ned. Det sker også nu, fortæller Christian Frederik Mortensen. Dog er det muligt via iPads i styrelsen eksempelvis at læse mails.

Læs også: Flash-sårbarhed sendte Arbejdsskadestyrelsen til tælling

»Vi kan ikke sige så meget mere end det på denne side af middag,« siger den presseansvarlige.

Christian Frederik Mortensen er ikke inde i de tekniske detaljer, men han mener at vide, at der er tale om samme type malware, som ramte styrelsen i starten af ugen.

Sidst var der tale om ransomware. Kompromitteringen af Arbejdsskadestyrelsens systemer var sammenfaldende med, at flere internationale medier tidligere på ugen kunne fortælle, hvordan ransomware cryptowall inficerede klientmaskiener via Flash-sårbarheden CVE-2015-3113, som Adobe udsendte en patch til 23. juni i sidste uge.

Version2 følger sagen.

Opdateret 10:23 med info fra Arbejdsskadestyrelsens hjemmeside

I en nyhed på Arbejdsskadestyrelsens hjemmeside fremgår det, at heller ikke telefonsystemerne er tilgængelige:

»Arbejdsskadestyrelsen har derfor på foranledning af Statens IT onsdag eftermiddag lukket alle IT-systemer ned. Det er derfor fortsat ikke muligt at komme igennem til Arbejdsskadestyrelsens telefoner.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Møllerhøj Editor

Ahhh, det er måske lige et bredt nok spring fra en "vi tror"-udtalelse fra dem der tydeligvis ikke har styr på sin sikkerhed frem til "med al sandsynlighed".

Informationerne fra Statens IT er den ene del af, hvad der udgør 'med al sandsynlighed'. Den anden er det tidsmæssige sammenfald med en konkret Flash-sårbarhed, der aktivt er blevet udnyttet til installation af netop ransomware. Får vi kendskab til, at det slet ikke har haft noget med flash at gøre, rapporterer vi det naturligvis.

Hvad der skyldes 2. omgang malware, forsøger vi at opklare. Jakob - Version2.

  • 3
  • 0
Christian Lysel

@Michael Weber

Jeg har set kunder der gik op i sikkerhden ... hvor:

1) Emails blev printet og lagt i de respektive medarbejders fysiske indbakker. 2) Applikationer der skulle på Internet (fx email og webbrowser) blev kørt på en Citrix farm på et selvstændigt netværks segment med Internet adgang ... Resten havde ikke internet adgang.

  • 3
  • 0
Peter Naumann

Og der kunne jeg konstatere at inkubationstiden er temmelig lang, d.v.s. den tid det tager at kryptografere filerne, specielt, hvis der er mange filer, naturligvis. Den starter jo et sted Fx på brugerens one-drive harddisk eller lign. Så der kan gå lang tid før malwaren kommer til netværksdrev. Jeg fik den ind med en dobbelt zip fil.

  • 1
  • 0
Malcolm Xander

Det kunne jo tyde på at bagmændene stadig har en bagdør i systemet. I disse situationer er det jo ikke unormalt at der følger diverse banking malwares med de lockers der spredes. Det kunne jo også tænkes at der er taget et rootkit i brug. Ikke at jeg tror det er tilfældet her, men de helt store kampagner skraber jo utrolige summer sammen. Det er dog stadig ikke nok bare at slette filen og køre AVG. Når vi er på dette niveau, så er det altså med at være påpasselig, ellers går det hele bare i ring.

Det kunne være super lækkert hvis vi andre kunne få lidt tekniske detaljer under efterforskningen, for bedre at udruste os selv og andre mod denne type angreb. Noget jeg selv ønsker at vide, er hvilken locker der er taget i brug her. Det er jo uhyggeligt let at kode selv, og Flash exploitet(3113) er tilgængelig som sample fra flere forskellige kilder, så i realiteten kunne det jo være alle og enhver.

Og lige en ting mere. Internet Explorer samt Firefox på Windows XP står som værende sårbare. Kunne det ikke være en idé at skifte eller opgradere nu? Eller har en medarbejder selv tilladt det ved hjælp af Click2Play? Er c2p overhovedet aktiveret i jeres browsere, når i nu bruger Flash? Er der mulighed for at se en eventuel phishing email? Eller var det malvertisement?

  • 2
  • 0
Log ind eller Opret konto for at kommentere