Infotavler i Randers ramt af ransomware-bølgen

Foto: Privatfoto
De elektroniske informationstavler i den østjyske by kunne ikke se sig fri for den bølge af ransomware, som fandt sted i weekenden.

Bølgen af ransomware-angreb, som i fredags rullede ud over 150 lande og ramte alt fra private virksomheder, hospitaler og statslige myndigheder fik også has på Randers - eller nærmere bestemt byens informationsskilte.

Borgerne i den østjyske by kunne se den efterhånden velkendte røde skærm, som fortæller, at filerne på computeren er blevet krypteret. Og, som det fremgår på billedet, er det Wana Decryp0r 2.0, som i weekenden fandt vej ind i de elektroniske tavler.

Randers Kommune bekræfter over for Version2, at skiltene har været ramt, men understreger, at det ikke er kommunens interne systemer, som blev offer for ransomwaren, men de byskilte, som bliver leveret af firmaet Expromo.

Hvert skilt havde separat computer tilknyttet

Alle deres elektroniske informationsskilte har separate computere tilknyttet, og det var nogle af disse, som i weekenden blev udsat for ransomware-angrebet.

Jørgen Noes, direktør for Expromo, kan ikke give et præcist tal på, hvor mange skilte det drejer sig om, men på nuværende tidspunkt regner de med, at det dækker over 6-10 skilte.

»Så snart vi fandt ud af det, lukkede vi ned for samtlige elektroniske skilte, og vi er på nuværende tidspunkt i gang med at analysere omfanget,« siger Jørgen Noes.

Han kan ikke fortælle, hvilke versioner der er installeret på de forskellige enheder, men oplyser, at de ikke er forbundne, og 'ormen' derved ikke har kunnet kravle videre blandt computerne.

På Reddit, hvor billedet ovenfor stammer fra, forlyder det, at brugere har set lignende tilfælde i både Tilst og Kolding.

Foto: Privatfoto
Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (25)

Henrik Hansen

Masser danske systemer er inficeret, men det er for pinligt for de fleste "sikkerhedseksperter" at offentliggøre - I kan bruge shodan o.l. søgemaskiner til at finde dem.

Et overset problem er, at bagdøren DoublePulsar o.a. er installeret sammen med ransomware - inkl. boot-resistant.

God jagt!

Henning Wangerin

Et overset problem er, at bagdøren DoublePulsar o.a. er installeret sammen med ransomware - inkl. boot-resistant.

På den anden side, er en makine som er blevet hacket jo ikke til at stole på, så i min optik er der ikke andet at gøre end at re-installere skidtet.
Er det et eller andet buisness-critical special-setup kan en reinstallation sevfølgelig være lidt op af bakke, men jeg ville i hvert fald ikke have tillid til en tidligere hacket instalation

Men specielt på info-.skærme som artiklen handler om, kan jeg ikke med min bedste vilje se at skal rydes og reinstalleres.

Personligt ville jeg nok køre DBAN på disken, og reinstallere helt fra scratch, men da jeg ikke bruge windows, har jeg heller ikke brug for noget som helt som ligger på diskene fra start.

/Henning

Peter Hansen

Har svært ved at se logikken i, at disse infotavler skal køre en fuld desktop-udgave af Windows tilsyneladende med fuld netadgang og ikke ret meget slået fra andet end det er "nemt" at sætte op.


Helt enig i, at det er patetisk grænsende til det inkompetente, at en "professionel" leverandør spilder penge på Windows-licenser og dyrt pc-udstyr til en løsning, der snildt kunne installeres på og drives af en Raspberry Pi til 300 kroner og 0 kr. i operativsystem-licenser.

At den så oven i købet inficeres af malware, gør bare inkompetencen åbenlys selv for dem, der betaler gildet, men ikke har forstand på teknik.

Christian Nobel

Helt enig i, at det er patetisk grænsende til det inkompetente, at en "professionel" leverandør spilder penge på Windows-licenser og dyrt pc-udstyr til en løsning, der snildt kunne installeres på og drives af en Raspberry Pi til 300 kroner og 0 kr. i operativsystem-licenser.

De infotavler jeg laver er lige præcis baseret på en RPi, og noget tilsvarende KAN simpelthen ikke ske - ikke kun fordi de er baseret på RPi, men fordi jeg også har brugt den indvendige side af hovedet i forbindelse med udvikling af løsningen (også på serversiden!).

At den så er licensfri, sikker og bruger en brøkdel strøm er så en sidegevinst.

Finn Aarup Nielsen

Helt enig i, at det er patetisk grænsende til det inkompetente, at en "professionel" leverandør spilder penge på Windows-licenser og dyrt pc-udstyr til en løsning, der snildt kunne installeres på og drives af en Raspberry Pi til 300 kroner og 0 kr. i operativsystem-licenser.

Reddit-brugeren ScriptThat, der synes at være en insider, skriver: "IT-afdelingen sukkede, og konstaterede at skiltene blev drevet af firmaet, der havde leveret dem (for kun 17.300,- pr. Skilt pr. Måned. Ex. Moms og skiltedriftsgebyr)." Om det står til troende eller om det er en kommentar til en anden by ved jeg ikke. Men mon ikke hardware og installation koster langt mere en os-licens?

Christian Nobel

for kun 17.300,- pr. Skilt pr. Måned. Ex. Moms

Vi må håbe at selve displayet er rasende dyrt, for det er så lige 173 gange så meget som jeg tager uden monitor.

Men mon ikke hardware og installation koster langt mere en os-licens?

Lavet begavet, så er der ingen installation af betydning, fsva. selve fremviseren - det er klart at det fysiske skilt skal have et solidt fundament og strøm, men alligevel.

Gert G. Larsen

Virkelig trist at infoskærme skal hackes af ransomware.
Der er SÅÅÅÅÅ mange flere spændende og sjove ting jeg kan komme på, man ku smide på sådan nogle infotavler, når det nu skal være.
Et eller andet sted er det sgu lidt trist, at "hackercommunityet" i Randers, eller i Danmark som sådan, ikke havde udnyttet det hul lidt tidligere....

Knud Jensen

Hvordan er de blevet inficeret?

Alle advarsler lyder på at det er en mail i omløb, som når den åbnes og vedhæftede fil aktiveres, så får man ransomware.
Er der nogen som er logget ind på disse og bruger dem til at tjekke mail?

Christian Nobel

Hvordan er de blevet inficeret?

Alle advarsler lyder på at det er en mail i omløb, som når den åbnes og vedhæftede fil aktiveres, så får man ransomware.
Er der nogen som er logget ind på disse og bruger dem til at tjekke mail?

Nu ved jeg ikke præcis HVOR amatøragtigt Expromo klytter deres skrammel sammen (hvis man ellers har en grad højere en eksorbitant meget), men jeg kan komme med et par bud:

  1. De lader en browser i tavlen hente indholdet på en server hos Expromo, som så er blevet ramt at ormen - klienten vil så opføre sig som andre Windows klienter og komme med meddelelsen.

  2. De har en billedfremvisersoftware i klienten, som så er koblet op på Expromos netværk som en almindelig Windows klient, hvor den så får en inficeret fil fra et share et eller andet sted.

Så nej der er nok næppe nogen der checker mails på tavlerne - det spændende spørgsmål er så hvornår den hopper på rejsekortets standere.

Martin Kaltoft

Alle advarsler lyder på at det er en mail i omløb

Det er én mulighed, en anden er at den udnytter en sårbarhed i SMB protokollen på et ikke opdateret Windows OS. Men du har ret, ingen af delene burde dog være muligt at udnytte på en infoskærm.

Jens Jönsson

Det er én mulighed, en anden er at den udnytter en sårbarhed i SMB protokollen på et ikke opdateret Windows OS. Men du har ret, ingen af delene burde dog være muligt at udnytte på en infoskærm.

Expromo er forhåbentligt så dygtige at infoskærmene ikke står åbne ud mod Internet.
Derfor taler sandsynligheden for at de er blevet inficeret over SMB vha. en PC, som har adgang til dem over en VPN tunnel....

Michael Cederberg
Kenneth Nielsen

Hvordan er de blevet inficeret?

Alle advarsler lyder på at det er en mail i omløb, som når den åbnes og vedhæftede fil aktiveres, så får man ransomware.
Er der nogen som er logget ind på disse og bruger dem til at tjekke mail?

Mailen er kun én af de veje man kan blive inficeret på. Du kan også blive inficeret hvis du BARE har en sårbar PC/server koblet op til internettet med port 445 åben. Alle inficeret PCer scanner både LAN, og generer tilfældige IP-adresser, som de så prøver at inficere via port 445 vha. EternalBlue (NSA exploitet).

Bente Hansen

Hvis man mener der skal etableres en VPN tunnel til en infotavle, så har man seriøst misforstået opgaven.


Det vil jeg da ikke mene..
Hvis infotavlen skal opdateres, og det skal foregår via Internettet. Så er en VPN tunnel da langt det meste sikker.

Eller vil du lægge en webside med login on, eller åbne for en telnet. Selv om en SSH forbindelse også er krypteret. Så vil der stadig være en "åbne" porte.
Langt bedre at tavlen selv kalder op med en VPN til en fast IP.
Hvis man bruger en hardware VPN i en router, fungere det sikkert, også som et ekstra billigt og nemt sikkerhedslag. .- Efter min mening.

Christian Nobel

Det vil jeg da ikke mene..
Hvis infotavlen skal opdateres, og det skal foregår via Internettet. Så er en VPN tunnel da langt det meste sikker.

Lavet fornuftigt, så skal tavlen ikke opdateres!

Eller vil du lægge en webside med login on, eller åbne for en telnet.

Nej det ved gud jeg ikke vil!

Selv om en SSH forbindelse også er krypteret. Så vil der stadig være en "åbne" porte.

Der skal INGEN åbne porte være!

Langt bedre at tavlen selv kalder op med en VPN til en fast IP.

Til en fast IP - javel ja, det lyder rigtig smart.

Hvis man bruger en hardware VPN i en router, fungere det sikkert, også som et ekstra billigt og nemt sikkerhedslag. .- Efter min mening.

Vi tale om en infotavle!

Hvis det så er en der står alene vil forbindelsen til nettet dog gå gennem en NAT router.

Finn Aarup Nielsen

Der skal INGEN åbne porte være!


Hvorfor skal der ingen åbne porte være? Hvis jeg skulle lave det ville jeg åbne 22, 443 (begge veje), 123 og vel 53 mellem infoboard og virksomheden. Lade indholdet hente fra virksomhedens 443, monitorer fra virksomheden trækkende data fra infoboardets 443 og servicerer (i de sjældne tilfælde det skulle være nødvendigt) gennem 22.

Christian Nobel

Hvis jeg skulle lave det

Ja, og nu HAR jeg faktisk lavet det, og der er INGEN grund til at have åbne porte - ingen!

Fsva. NTP og DNS, så kan tavlen sagtens lave opslag, uden at have porte åbne.

Og der er intet behov for at servicere tavlerne - og hvis de så endelig går i udu, så er det fordi der er brændt en computer af, og så er det bare at skifte den.

Martin Kofoed

Det er vel noget med at køre ifup på RasPi'en med jævne mellemrum, hente nyt indhold til skærmene, og derefter lukke forbindelsen igen. Ifup er måske lidt voldsomt, firewall-regler kan måske gøre det. Men i hvert fald en pull-løsning i stedet for et egentligt client/server-setup.

At køre en fuld Windows-desktop til sådan noget som infoskærme er desværre udbredt. Men det vidner om håbløs inkompetence og et vanvittigt spild af penge efter min mening. En lille del af mig får en varm fornemmelse i kroppen, hver gang den slags bliver straffet.

Christian Nobel

Det er vel noget med at køre ifup på RasPi'en med jævne mellemrum, hente nyt indhold til skærmene, og derefter lukke forbindelsen igen. Ifup er måske lidt voldsomt, firewall-regler kan måske gøre det. Men i hvert fald en pull-løsning i stedet for et egentligt client/server-setup.

Jeg checker status vha. et HTTP request en gang i minuttet, det koster nogle få hundrede bytes per opslag.

Hvis der er ændringer i status, tager skærmen teten for at hente nyt indhold.

På den måde ved jeg indenfor få minutter hvis en skærm er gået i udu.

Fremvisning er ved hjælp af FBI eller OMXplayer, load i snit ca 20% på en model B+ (under 2W strømforbrug!).

At køre en fuld Windows-desktop til sådan noget som infoskærme er desværre udbredt. Men det vidner om håbløs inkompetence og et vanvittigt spild af penge efter min mening. En lille del af mig får en varm fornemmelse i kroppen, hver gang den slags bliver straffet.

Helt enig.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017

Welcome to Free course to learn about the combined power of Alteryx and Qlik!

Affecto invites to a free course, where we want to share our knowledge of this self-service analysis platform together with the power of Qlik.
20. apr 2017

Robotics Process Automation (RPA) changes the way organizations think about and perform work at a reduced cost, higher efficiency and greater productivity

Join us for this exiting seminar, which Affecto hosts with our business partner SmartRPA May 3rd, 2017 at 13.00 in Copenhagen.
30. mar 2017