BEC - Bankernes EDB Central - ramt af angreb med ransomware

OPDATERET. E-mail-systemer i bl.a. Arbejdernes Landsbank ramt af ransomwareangreb. Bank-it virksomheden BEC arbejder på højtryk for at genskabe data fra krypterede filer.

Tusindvis af bankansatte i de danske banker, som BEC – Bankernes EDB Central – forsyner med it-ydelser, har i øjeblikket, fredag eftermiddag, fået lukket deres Outlook-e-mailsystem ned som følge af et stort ransomware-angreb.

Det er lykkedes de kriminelle at kryptere flere bankansattes filer, og nedlukningen af e-mailsystemer skal forhindre yderligere skadevirkninger.

Det oplyser BEC til Version2.

»Vi blev ramt af en bølge af ransomware-e-mails mod både BEC og vores kunders medarbejdere, og angreb af den type tager vi dybt alvorligt. Det er selvfølgelig også alvorligt for bankdriften, når vores kunders medarbejdere ikke kan skrive e-mails. Heldigvis er ingen bankkunders data blevet kompromitteret, ligesom selve banksystemerne er upåvirkede. Det er kun bankansattes egne filer i form af f.eks. word og excel, der er ramt - og kun dér, hvor medarbejdere har klikket på et link, og man har nået at kryptere filerne,« siger kommunikationschef Jens Møller Nielsen, BEC, til Version2.

Han understreger, at ingen netbanker, kontosystemer eller rådgiversystemer er ramt.

Angrebet blev opdaget i dag fredag midt på dagen. Klokken 13.30 modtog medarbejdere i bl.a. Arbejdernes Landsbank besked om, at deres e-mail-system samt fællesdrev ville blive lukket ned med øjeblikkelig varsel.

Årsagen er, at det er lykkedes de it-kriminelle at få flere bankansatte til at klikke på links i e-mail, som i visse tilfælde har ført til kryptering af bl.a. word- og Excel-filer.

Jens Møller Nielsen kan endnu ikke oplyse, hvor mange filer der er blevet krypteret. Ifølge sikkerhedsspecialisterne i BEC er der tale om en ny CryptoLocker-variant, hvorfor malware-beskyttelsessystemerne ikke opdagede de farlige e-mails.

På nuværende tidspunkt arbejder BEC på højtryk for at genskabe data fra de krypterede filer med backupsystemer.

»Vi forventer desuden at genstarte samtlige arbejdsstationer. Det kan vi styre centralt«, siger kommunikationschefen.

Målet med genstart er at undgå, at en arbejdsstation står og kører med malware og dermed fortsat krypterer data, når fællesdrev åbnes.

Worst case er, at nogle medarbejdere mister arbejde fra i formiddags, som der altså ikke er nået at blive taget back-up på, oplyser Jens Møller Nielsen.

Finanstilsynet vil blive informeret om angrebet.

Opdateret kl. 22.11: Jens Møller Nielsen oplyser, at der er åbnet for de nedlukkede it-systemer tidlig aften. Det betyder, at der var lukket for e-mail i cirka tre timer og fællesdrev i cirka fire timer. I nat og hen over weekenden arbejder BEC videre på at hjælpe de pengeinstitutter, som nåede at få beskadiget filer, med at gendanne dem fra backuppen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Henrik Pedersen

Men vil nogle forklare mig hvordan det her kan lade sig gøre i 2017? Det kan godt være jeg er farvet af at være i IT branchen, men det er et seriøst ikke-sarkastisk spørgsmål..

Hvordan kan folk klikke på EXE filer? Hvordan kan de klikke på "Kør makro" i Excel/Work filer?

Jeg ved der er zero-day exploits, men hvis man lige graver lidt dybere er det næsten aldrig dem... Det er det helt simple som folk ofte falder for.

Så hvad sker der? Skal man ud i at gøre det til fyringsgrundlag med plancher brændt fast på folks øjenlåg til når de sover?

  • 3
  • 11
#2 Jesper Ravn

Hvis phishing mailen er lavet professionelt og målrettet specifikt til dig, vil de fleste ikke IT-kyndige, kunne blive udsat for disse angreb. Det vil alverdens awareness kampagner ikke ændre på.

Jeg har for kort tid siden, testet en mail fra et ransomware angreb, som var målrettet mod danske brugere. Se nedenstående link.

Endpoint beskyttelse mod Serpent Ransomware http://blog.jravn.dk/?p=2541

Vi bliver i dag nødt til, at opbygge vores sikkerhedslag på en assume breach strategi.

  • 5
  • 0
#3 Søren Svensson

Folk klikker ikke på exe filer, men et link i en måske branch specifik fake mail. De bedste ransom mails kræver kun et klik og puff din filer krypteres, så enkelt er det.

der ikke meget zero day i dem, det meste er baseret på folks naturlige reaktioner eller 3 sekunders uopmærksom hed.

Skal man ud i at gøre det til fyringsgrundlag med plancher brændt fast på folks øjenlåg til når de sover?

fjollet ide, de folk der klikker på dem har det sku nok dårligt nok i forvejen

  • 4
  • 0
#4 Asger Solvang

Som du selv siger så er du i EDB branchen. Vi er sikkert mange herinde der arbejder der. Men der er endnu flere der ikke arbejder i vores branche og "bare" bruger IT som et værktøj. For nogle af dem (måske en del) er EXE filer og makroer tit "en by i Rusland" og de kan være vant til de mange gange skal trykke på "uforståelige" pop up's i løbet af en arbejdsdag for ellers får de ikke gjort deres arbejde.

I bank verdenen er jeg overbevist om, at der alle steder konstant kører kampagner mod at klikke "OK" til at køre EXE file og makroer - hos os gør det i alle tilfælde - men det vil - uanset hvad - bare ske en gang imellem at en kommer til at gøre det.

Vi kan ligeså godt acceptere at dette helt sikkert vil ske. Vores fornemmeste opgave, som dem der arbejder inden for IT branchen, er så at prøve at sætte vores miljøer og systemer op sådan at skaden minimeres. En god backup strategi er selvfølgelig et must, men også hvordan vi bygger på infrastruktur arkitekturen op kan være mere eller mindre hensigtsmæssig. F.eks. er det - ud fra et sikkerhedsmæssigt synspunkt - en rigtig dum ide at have "fællesdrev", da det jo er en effektiv måde at sprede virus rigtig hurtigt på eller få krypteret alle de fælles filer på.

Faktisk syntes jeg at det meste falder tilbage på os IT professionelle. Vi har simpelt hen ikke gjort vores arbejde godt nok - endnu :-).

  • 12
  • 0
#5 Kristian Sørensen

Problemet er at folk besøger vildt fremmede websider og læser emails der kan stamme fra hvem-som-helst, med en konto der har læse/skrive-adgang til forretningskritiske filer.

Det er et problem IT branchen burde komme med bedre løsninger på.

Hvorfor lader man brugerne gøre noget af det aller mest IT-sikkerhedsrisikable de kommer til at foretage sig på deres PC, nemlig at besøge websider og modtage emails, fra en konto der har læse/skrive-adgang til vigtige data?

Hvorfor er det ikke adskilt på en fiks måde?

At basere sin virksomheds IT sikkerhed på at IT-ukyndige brugere kan gennemskue udspekulerede angreb er den virkelige dumhed i det her.

Ansvaret for den u-sikkerheds politik ligger ikke hos brugerne, men hos dem der vælger IT-systemer til firmaet.

http://www.qubes-os.org er det pt. bedste bud på en løsning på problemet som jeg kender til. Men det projekt er endnu kun i en tidlig fase, så det vil ikke være løsningen for særligt mange her og nu.

  • 3
  • 1
#9 Kim Torgaard Jensen

Tror det er hænger sammen med, at de fleste ældre virksomheder ikke har fået fjernet lokaladministrator fra brugernes maskiner. Det løser måske 90% af alle angreb, som eksekveres ud fra .exe/msi filer. Ydermere få delt op afdelingsdrev dfs-share, så en bruger ikke rammer hele virksomheden. Det er selvfølgelig et problem, hvis det rammer en bruger der har adgang til alt.

De sidste 10%, af malware og crypto angreb, er som du fint skriver, igennem makroer. Dette kan løses med en GPO.

At en så vigtig som BEC, har glemt at rette ind, er en gåde for mig også. Ud fra min erfaring er det dog en Direktionsbeslutning, mange af gangene, at friheden skal være hos organisationen. Det vil sige IT afdelingen kan stå chanceløs.

Sidste ting man kan gøre, er at IT afdelingen ikke har Domain Admin på deres alm. userkonto, men at de har en desideret administratorkonto, hvor de har løftet rettigheder.

  • 2
  • 0
#10 Denny Christensen

Solidt indpakkede onde pakker og en masse udmærkede medarbejdere uden megen viden om eller interesse for IT udover det nødvendige for at passe sit arbejde.

Awareness er svær at få på plads, og jeg vil tro at mange regner med at det har IT sørget for at dæmme op for.

Jeg er så enig i at jo mindre den enkelte bruger kan, jo mindre bliver skaden også - idet angrebet nødvendigvis ikke kan mere (indtil jeg modbevises) end de rettigheder brugeren har. Altid sjovt at se en udvikler få lukket sin adgang til at customisere sin maskine... og en administrator skal altid KUN logge på som administrator når der er et reelt behov herfor. Hvor mange steder fungerer det? Alle tiltag vil pr. automatik bliver opfattet som negative restriktioner og vil i praksis også give mere bøvl - da det ofte ikke er de samme personer der skal 'leve med' restriktionerne som dem der skal løse problemerne er der behov for et informationsregime der forklarer behovet.

Angreb vil ske og sikkerheden vil blive kompromitteret og så er det med at begrænse skaden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere