DMI ramt af ransomware

20. maj 2016 kl. 15:1413
Danmarks Meteorologiske Institut har været ramt af et ransomware-angreb.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Danmarks Meteorologiske Institut har tidligere på måneden været ramt af et ransomware-angreb. Det bekræfter it-direktør hos DMI Thomas Kjellberg Christensen, der fortæller, at angrebet fandt sted 4. maj og ramte en enkelt brugers computer.

»Vi havde en problemstilling, som det så fint hedder på godt dansk. Den fik vi løst. I sådan en verden, som vi er i, så går vi i beredskab. Det vil sige, vi isolerer problemet og får det ordnet. Og så går vi i drift igen.«

Ransomware er en type malware, der eksempelvis sniger sig ind på organisationers netværk via en tilforladelig mail til en medarbejder.

Når medarbejderen klikker på et linket eller en vedhæftet fil kan det ende med, at malwaren begynder at kryptere filer på brugerens maskine. Og hvis brugeren har adgang til fælles netværksdrev, forsøger den ondsindede software også at kryptere indholdet på de delte ressourcer.

Artiklen fortsætter efter annoncen

Og alt efter, hvordan setuppet er i organisationen, så kan det få alvorlige konsekvenser for driften.

Thomas Kjellberg Christensen ønsker ikke at uddybe, hvori angrebet bestod - vedhæftet fil, link til hjemmeside eller andet - hvordan det påvirkede driften hos DMI, eller hvordan organisationen fik løst problemet.

»Af sikkerhedshensyn vil vi aldrig udtale os om, hvad vi har gjort i de forskellige situationer,« siger han.

Har I mistet dage som følge af det her angreb?

»Vi har ikke mistet noget, som gør, at vi ikke kan drive vores virksomhed.«

I tilfælde af et vellykket ransomware-angreb er der i udgangspunktet tre muligheder for at få adgang til sine data igen. Den første er, at man kan betale en løsesum til bagmændene - typisk i form af kryptovalutaen bitcoin - for at få nøglen til at låse de krypterede filer op med.

Den anden mulighed er at have en velfungerende og aktuel backup, så de tabte data kan gendannes. Endeligt kan der være den mulighed, at bagmændene har klokket i malware-koden, så det er trivielt at dekryptere filerne. Den tredje mulighed er det ikke værd at satse sine data på.

DMI har ikke betalt nogen løsesum i forhold til det konkrete angreb, fortæller Thomas Kjellberg Christensen. Han ønsker dog ikke at fortælle, hvorvidt det så var en velfungerende backup, at data-ressourcerne tilknyttet den ramte maskine uden videre kunne gendannes.

»Vi har lavet en analyse, og i henhold til den analyse har vi taget nogle tiltag.«

Thomas Kjellberg Christensen ønsker ikke at uddybe, hvilke tiltag DMI har foretaget.

CFCS: Reducér risikoen for ransomware

Vejr-organisationen er langtfra ene om at have problemer med ransomware. Center for Cybersikkerhed fortæller i en netop udgivet nyhed på organisationens hjemmeside, at 'stadigt flere, herunder danske virksomheder og myndigheder, bliver ramt af ransomware, som forhindrer eller begrænser ofrets adgang til egne it-systemer og data'.

Af nyheden fremgår det også, at en ny type ransomware vinder frem, som er rettet mod sårbare servere. Og denne type ransomware forudsætter således ikke en aktiv handling fra en bruger - altså et klik på et link eller en fil - for at kunne forvolde skade.

Center for Cybersikkerhed har i forbindelse med nyheden om udviklingen i ransomware-angreb også udgivet en opdateret vejledning om at minimere risikoen for den type angreb.

Flere af anbefalingerne i vejledningen handler om backup. Blandt andet står der: 'Systematisk sikkerhedskopiering af alle kritiske informationer, centrale konfigurationsfiler og andre opsætningsdata er absolut påkrævet'.« Og så bør 'backup-rutinen gennemføres med høj frekvens'.

Derudover anbefaler Center for Cybersikkerhed at filtrere indgående mails, så de bliver sat i karantæne, 'hvis de indeholder links eller filer med potentielt skadeligt indhold, for eksempel eksekverbare filer såsom .exe og komprimerede filer såsom .zip'.

Og så anbefales det også, at medarbejdere bliver løbende orienteret om sikkerhedsmæssige forhold og risici.

Vejledning fra Center for Cybersikkerhed om at minimere risikoen ved ransomware kan læses her (PDF).

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
23. maj 2016 kl. 08:34

Ja, hvad var det lige læserne lærte her? DMI er en offentlig institution, og det synes jeg giver en ekstra forpligtelse til at dele sine erfaringer med andre. Det er jo trods alt os, skatteyderne, der ejer og betaler dem. Men lad mig gætte: De har haft så travlt med at udbedre skaden, at alle spor efter angrebet er pist væk. Så hvad var det lige helt præcist, der ramte den uheldige medarbejder? Når vi andre ikke får svar på den slags spørgsmål, går vi rundt og bliver unødigt bange for alle slags vedhæftede filer og alle links. Det er faktisk også en uønsket skadevirkning af sådan et angreb.

12
22. maj 2016 kl. 09:29

Det må være på tide, at der i Danmark arbejdes proaktivt og struktureret på at imødegå og opsamle erfaringer fra de mange angreb, der nu næsten dagligt indtræffer. Fint og helt i orden, at både offentlige som private virksomheder fortæller at de har været udsat for angreb, men lige så vigtigt, at denne viden og især erfaringerne med bekæmpelsen sættes i system, opsamles, distribueres og offentligøres til alle i det offentlige rum. Anonymitet skal sikres den angrebne part, men alle skal have muligheden for lære af erfaringerne og modforanstaltningerne, der bør publiceres i næsten real-time. Erfaringerne og den indhøstede viden skal bruges til at komme på forkant og være proaktiv, og ikke reaktivt, som det er nu.

11
21. maj 2016 kl. 10:46

hvis ikke den bliver testet.

»backup-rutinen gennemføres med høj frekvens.«

Hvis man skriver sådan, så har man aldrig mistet data, eller på gjort sig nogle tanker om hvad der skal ske, når man mister data. Meget teoretisk og fjernt fra virkeligheden.

Jeg har set utallige eksempler på "backup med høj frekvens", men da der så skulle restores, virkede det ikke. Så er det lidt ligemeget det hele.

Hvad menes der egentlig med "høj frekvens"? Hver time? Det lyder som en god idé (i nogle sammenhænge).

Et par postulater:

  • Et program der ikke er testet, virker ikke.
  • En backup der ikke er restore-testet, virker ikke.
10
21. maj 2016 kl. 08:32

@Jacob V2, jeg mener at så får I får travlt med at skrive hver gang en PC i en offentlig organisation bliver ramt at et angreb. Jeg havde den opfattelse at V2 ville informere på et dybere teknisk niveau som fagpersoner kunne bruge til noget. Men når artikkelen på ingen måde indeholder noget anvendeligt hører den mere hjemme på EkstraBladet.

9
21. maj 2016 kl. 07:58

man hører aldrig nogle bliver taget, gøres det intet for fange svindlerne ?

7
20. maj 2016 kl. 23:25

Er vi i det mindste snart der, hvor man ikke behøver forklare V2 læsere hvad "ransomware" er for en spændende type malware, hver gang en ny virksomhed bliver ramt? :-)

5
20. maj 2016 kl. 17:51

Man kan diskutere om artikkelen har relevans for V2? DMI vil ikke:

  1. Fortælle hvordan de fik Ransomeware i huset.
  2. Fortælle hvori angrebet bestod.
  3. Fortælle hvilken konsekvens det fik.
  4. Fortælle hvordan de kom ud af det.
4
20. maj 2016 kl. 16:22

De nævner at en løsning er at betale bagmændene. Er det overhoved lovligt i Danmark? Hvis man ikke ved hvem bagmændene er, eller hvad man financierer ved at betale dem?

Lige for en god ordens skyld. DMI nævner ikke, at en løsning kan være at betale. Artiklens forfatter derimod - det vil sige undertegnede - påpeger, at det i udgangspunktet er en af tre muligheder for at få sine krypterede data tilbage. God weekend, Jakob V2.

2
20. maj 2016 kl. 15:35

Flot at DMI fortæller om det. De nævner at en løsning er at betale bagmændene. Er det overhoved lovligt i Danmark? Hvis man ikke ved hvem bagmændene er, eller hvad man financierer ved at betale dem?

Nu det er fredag; jeg ville SÅ meget hellere høre, at nogen havde brugt DMIs nye supercomputer til bitcoin mining. Hvis nogen kan grave bitcoins ud, må det da være den.