DMI ramt af ransomware

Danmarks Meteorologiske Institut har været ramt af et ransomware-angreb.

Danmarks Meteorologiske Institut har tidligere på måneden været ramt af et ransomware-angreb. Det bekræfter it-direktør hos DMI Thomas Kjellberg Christensen, der fortæller, at angrebet fandt sted 4. maj og ramte en enkelt brugers computer.

»Vi havde en problemstilling, som det så fint hedder på godt dansk. Den fik vi løst. I sådan en verden, som vi er i, så går vi i beredskab. Det vil sige, vi isolerer problemet og får det ordnet. Og så går vi i drift igen.«

Ransomware er en type malware, der eksempelvis sniger sig ind på organisationers netværk via en tilforladelig mail til en medarbejder.

Når medarbejderen klikker på et linket eller en vedhæftet fil kan det ende med, at malwaren begynder at kryptere filer på brugerens maskine. Og hvis brugeren har adgang til fælles netværksdrev, forsøger den ondsindede software også at kryptere indholdet på de delte ressourcer.

Og alt efter, hvordan setuppet er i organisationen, så kan det få alvorlige konsekvenser for driften.

Thomas Kjellberg Christensen ønsker ikke at uddybe, hvori angrebet bestod - vedhæftet fil, link til hjemmeside eller andet - hvordan det påvirkede driften hos DMI, eller hvordan organisationen fik løst problemet.

»Af sikkerhedshensyn vil vi aldrig udtale os om, hvad vi har gjort i de forskellige situationer,« siger han.

Har I mistet dage som følge af det her angreb?

»Vi har ikke mistet noget, som gør, at vi ikke kan drive vores virksomhed.«

I tilfælde af et vellykket ransomware-angreb er der i udgangspunktet tre muligheder for at få adgang til sine data igen. Den første er, at man kan betale en løsesum til bagmændene - typisk i form af kryptovalutaen bitcoin - for at få nøglen til at låse de krypterede filer op med.

Den anden mulighed er at have en velfungerende og aktuel backup, så de tabte data kan gendannes. Endeligt kan der være den mulighed, at bagmændene har klokket i malware-koden, så det er trivielt at dekryptere filerne. Den tredje mulighed er det ikke værd at satse sine data på.

DMI har ikke betalt nogen løsesum i forhold til det konkrete angreb, fortæller Thomas Kjellberg Christensen. Han ønsker dog ikke at fortælle, hvorvidt det så var en velfungerende backup, at data-ressourcerne tilknyttet den ramte maskine uden videre kunne gendannes.

»Vi har lavet en analyse, og i henhold til den analyse har vi taget nogle tiltag.«

Thomas Kjellberg Christensen ønsker ikke at uddybe, hvilke tiltag DMI har foretaget.

CFCS: Reducér risikoen for ransomware

Vejr-organisationen er langtfra ene om at have problemer med ransomware. Center for Cybersikkerhed fortæller i en netop udgivet nyhed på organisationens hjemmeside, at 'stadigt flere, herunder danske virksomheder og myndigheder, bliver ramt af ransomware, som forhindrer eller begrænser ofrets adgang til egne it-systemer og data'.

Af nyheden fremgår det også, at en ny type ransomware vinder frem, som er rettet mod sårbare servere. Og denne type ransomware forudsætter således ikke en aktiv handling fra en bruger - altså et klik på et link eller en fil - for at kunne forvolde skade.

Center for Cybersikkerhed har i forbindelse med nyheden om udviklingen i ransomware-angreb også udgivet en opdateret vejledning om at minimere risikoen for den type angreb.

Flere af anbefalingerne i vejledningen handler om backup. Blandt andet står der: 'Systematisk sikkerhedskopiering af alle kritiske informationer, centrale konfigurationsfiler og andre opsætningsdata er absolut påkrævet'.« Og så bør 'backup-rutinen gennemføres med høj frekvens'.

Derudover anbefaler Center for Cybersikkerhed at filtrere indgående mails, så de bliver sat i karantæne, 'hvis de indeholder links eller filer med potentielt skadeligt indhold, for eksempel eksekverbare filer såsom .exe og komprimerede filer såsom .zip'.

Og så anbefales det også, at medarbejdere bliver løbende orienteret om sikkerhedsmæssige forhold og risici.

Vejledning fra Center for Cybersikkerhed om at minimere risikoen ved ransomware kan læses her (PDF).

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Flot at DMI fortæller om det.
De nævner at en løsning er at betale bagmændene. Er det overhoved lovligt i Danmark? Hvis man ikke ved hvem bagmændene er, eller hvad man financierer ved at betale dem?

Nu det er fredag; jeg ville SÅ meget hellere høre, at nogen havde brugt DMIs nye supercomputer til bitcoin mining. Hvis nogen kan grave bitcoins ud, må det da være den.

  • 0
  • 0
Jakob Møllerhøj Blogger

De nævner at en løsning er at betale bagmændene. Er det overhoved lovligt i Danmark? Hvis man ikke ved hvem bagmændene er, eller hvad man financierer ved at betale dem?

Lige for en god ordens skyld. DMI nævner ikke, at en løsning kan være at betale. Artiklens forfatter derimod - det vil sige undertegnede - påpeger, at det i udgangspunktet er en af tre muligheder for at få sine krypterede data tilbage. God weekend, Jakob V2.

  • 6
  • 0
Lars Jensen

Man kan diskutere om artikkelen har relevans for V2? DMI vil ikke:
1. Fortælle hvordan de fik Ransomeware i huset.
2. Fortælle hvori angrebet bestod.
3. Fortælle hvilken konsekvens det fik.
4. Fortælle hvordan de kom ud af det.

  • 13
  • 1
Lars Jensen

@Jacob V2, jeg mener at så får I får travlt med at skrive hver gang en PC i en offentlig organisation bliver ramt at et angreb. Jeg havde den opfattelse at V2 ville informere på et dybere teknisk niveau som fagpersoner kunne bruge til noget. Men når artikkelen på ingen måde indeholder noget anvendeligt hører den mere hjemme på EkstraBladet.

  • 4
  • 3
Hans Schou

hvis ikke den bliver testet.

»backup-rutinen gennemføres med høj frekvens.«

Hvis man skriver sådan, så har man aldrig mistet data, eller på gjort sig nogle tanker om hvad der skal ske, når man mister data. Meget teoretisk og fjernt fra virkeligheden.

Jeg har set utallige eksempler på "backup med høj frekvens", men da der så skulle restores, virkede det ikke. Så er det lidt ligemeget det hele.

Hvad menes der egentlig med "høj frekvens"? Hver time? Det lyder som en god idé (i nogle sammenhænge).

Et par postulater:
* Et program der ikke er testet, virker ikke.
* En backup der ikke er restore-testet, virker ikke.

  • 0
  • 0
John Foley

Det må være på tide, at der i Danmark arbejdes proaktivt og struktureret på at imødegå og opsamle erfaringer fra de mange angreb, der nu næsten dagligt indtræffer.
Fint og helt i orden, at både offentlige som private virksomheder fortæller at de har været udsat for angreb, men lige så vigtigt, at denne viden og især erfaringerne med bekæmpelsen sættes i system, opsamles, distribueres og offentligøres til alle i det offentlige rum. Anonymitet skal sikres den angrebne part, men alle skal have muligheden for lære af erfaringerne og modforanstaltningerne, der bør publiceres i næsten real-time. Erfaringerne og den indhøstede viden skal bruges til at komme på forkant og være proaktiv, og ikke reaktivt, som det er nu.

  • 4
  • 0
Peter O. Gram

Ja, hvad var det lige læserne lærte her? DMI er en offentlig institution, og det synes jeg giver en ekstra forpligtelse til at dele sine erfaringer med andre. Det er jo trods alt os, skatteyderne, der ejer og betaler dem. Men lad mig gætte: De har haft så travlt med at udbedre skaden, at alle spor efter angrebet er pist væk. Så hvad var det lige helt præcist, der ramte den uheldige medarbejder? Når vi andre ikke får svar på den slags spørgsmål, går vi rundt og bliver unødigt bange for alle slags vedhæftede filer og alle links. Det er faktisk også en uønsket skadevirkning af sådan et angreb.

  • 5
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Danmarks Meteorologiske Institut har tidligere på måneden været ramt af et ransomware-angreb. Det bekræfter it-direktør hos DMI Thomas Kjellberg Christensen, der fortæller, at angrebet fandt sted 4. maj og ramte en enkelt brugers computer. »Vi havde en problemstilling, som det så fint hedder på godt
dansk. Den fik vi løst. I sådan en verden, som vi er i, så går vi i beredskab. Det vil sige, vi isolerer problemet og får det ordnet. Og så går vi i drift igen.« Ransomware er en type malware, der eksempelvis sniger sig ind på organisationers netværk via en tilforladelig mail til en medarbejder. Når medarbejderen klikker på et linket eller en vedhæftet fil kan det ende med, at malwaren begy...