Exchange-hackere slår til: Installerer ransomware og kræver løsesum

Illustration: ninescene / BigStock
it-sikkerhedsverdenen har holdt vejret de seneste dage, for det var uklart, hvad hackerne ville bruge deres enorme adgang gennem Exchange-servere til. Nu viser det sig, det ikke kun er virksomhedernes hemmeligheder, der er på spil.

Siden det blev kendt for verden at Microsoft Exchange-servere over hele kloden var pivåbne og havde været det i måneder har danske og udenlandske virksomheder kæmpet for at få styr på situationen, alt imens der er blevet spekuleret i, hvad der mon er de kriminelles ærinde.

Læs også: Stor kritik af Microsoft og Github: Fjerner proof of concept på Exchange-sårbarhed

I nat blev den umiddelbare, gnavende frygt for en ny ransomwarebølge bekræftet: Hackerne har installeret ransomware på flere ofre for sårbarheden i USA, skriver Bleeping Computer. En af løsesummene lyder på 18.000 dollar, hvilket umiddelbart ikke lyder af meget.

Men som vi så det for Mærsk har det mange afledte, økonomiske effekter, når man rammes af et ransomwarenagreb. I Tyskland døde en patient, fordi vedkommende måtte overflyttes fra et ransomware-ramt hospital. Det kan altså have vidtrækkende konsekvenser, hvis samfundskritiske virksomheder eller organer viser sig at være ramt i Danmark.

Desværre har den pågældende ransomware, DearCry, ingen kendte sårbarheder, der lader ofret låse filerne op uden at betale de kriminelle bag angrebet.

Titusindvis af enheder kan ikke opdateres

Ifølge Bleeping Computer er der også op mod 80.000 servere der er så gamle, at de ikke kan opdateres med den seneste sikkerhedspatch. Og altså stadig er sårbare.

Læs også: Stortinget i Norge ramt af Exchange-angreb: Hackere har downloadet data

»Og selv hvis man har opdateret opfordrer vi alle til at antage at de er ramt og kompromitteret. Vi ved nemlig, at angribere har udnyttet denne sårbarhed i mindst to måneder inden Microsoft frigav en patch den 2 marts,« siger Matt Kraning, der er CTO hos Palo Alto til Bleeping Computer.

Samtidig opfordrer han alle organisationer og virksomheder til at patche - ikke kun for at beskytte de mange mails derinde men nu også for at undgå at data krypteres.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Michael Cederberg

Bruce Schneier har et godt indlæg: https://www.schneier.com/blog/archives/2021/03/more-on-the-chinese-zero-...

Hvis man skal tro Schneiers indlæg var kineserne først meget forsigtige fordi de ikke ville opdages. Men da de først kunne se enden på deres hack, så åbnede de alle de Exchange Servere de kunne og efterlod dem i en situation hvor både kineserne og mere traditionelle hackere kunne exploite disse servere. Hvis det er rigtigt, så har kineserne i særklasse handlet uansvarligt.

  • 6
  • 0
#2 Maciej Szeliga

At forvente ansvarlighed af kriminelle er for så vidt ret naivt...

...at forvente at noget man betaler i dyre domme for (uanset om det er licens til brug eller fysisk vare) er fejlfrit er på den anden side helt normalt.

Det er fuld kommen korrekt at kompleksiteten er meget stor men det er også mange penge man betaler så man er i sin gode ret til at forvente at tingene er checket i hoved & røv - for hvad er det ellers man betaler for?

  • 4
  • 0
#3 Michael Cederberg

At forvente ansvarlighed af kriminelle er for så vidt ret naivt...

Men statslige hackere er ikke bare kriminelle. I princippet er det en krigshandling når en stat ødelægger noget i et andet land. Hvis de lader en dør stå åben sådan at mere simple hackere kan lave ravage så er de statslige hackerere også ansvarlige for konsekvenserne. Dette er ikke meget anderledes end at udstyre oprørere med våben. Det er således i særklasse en optrapning af konfliktniveauet. Jjeg er ikke blind for at stormagter har lavet den slags i andre lande, men det er ligegyldigt i realpolitikkens kølige lys i denne sammenhæng.

...at forvente at noget man betaler i dyre domme for (uanset om det er licens til brug eller fysisk vare) er fejlfrit er på den anden side helt normalt.

Vi kan godt blive enige om at disse fejl ikke skulle være der. Men det er en ganske anden sag.

  • 1
  • 1
#4 Maciej Szeliga

Men statslige hackere er ikke bare kriminelle. I princippet er det en krigshandling når en stat ødelægger noget i et andet land. Hvis de lader en dør stå åben sådan at mere simple hackere kan lave ravage så er de statslige hackerere også ansvarlige for konsekvenserne. Dette er ikke meget anderledes end at udstyre oprørere med våben. Det er således i særklasse en optrapning af konfliktniveauet. Jjeg er ikke blind for at stormagter har lavet den slags i andre lande, men det er ligegyldigt i realpolitikkens kølige lys i denne sammenhæng.

Jeg ser det lidt anderledes - hvis de gør noget kriminelt er de kriminelle om de gør det for Kina, Rusland, USA eller Iran spiller ingen større rolle.

Vi kan naturligvis godt løfte det et par trin og kalde det en krigshandling problemet er bare at Kina producerer 75% ~ 90% af al det ikke militære habengut vi anvender så jeg tvivler stærkt på at vi kommer nogen vejne med den ide - til gengæld vil vi høre formand Mao grine hvis NATO erklærede Kina krig.

  • 1
  • 0
#5 Christian Nobel

jeg er ikke blind for at stormagter har lavet den slags i andre lande, men det er ligegyldigt i realpolitikkens kølige lys i denne sammenhæng.

Og det er det så ikke.

For når en paramilitær terrororganisation som CIA kan slippe afsted med sin ageren, så danner det præcedens for hvad andre snuskede organisationer som f.eks. Center for cyberUsikkerhed synes de skal lege med - ud fra en devise om at i "cyberkrigen" mod terrorister, kinesere, (fyld selv ud ________) kan vi gøre som det passer os.

Lige præcis derfor er det faktisk vigtigt for realpolitikken at trække en streg i sandet, og stille meget højere krav til at producentere ikke smider noget lort på markedet.

Alt andet er at fjerne fokus.

  • 0
  • 0
#6 Michael Cederberg

For når en paramilitær terrororganisation som CIA kan slippe afsted med sin ageren, så danner det præcedens for hvad andre snuskede organisationer som f.eks. Center for cyberUsikkerhed synes de skal lege med - ud fra en devise om at i "cyberkrigen" mod terrorister, kinesere, (fyld selv ud ________) kan vi gøre som det passer os.

Men nu glemmer du realpolitikken: Her er præcedens ikke interessant. Der er ikke noget rigtigt og forkert. Kun magt. Det er ligegyldigt hvad der sker i lande der ingen magt har. Hvis et andet land rammer dig, så bukker du enten nakken fordi du ikke er stærk nok og håber på at det går over. Eller også så slår du hårdere igen og håber på at de forstår hvor dyrt det bliver for dem. Kinesernes handlinger risikerer at dette eskalerer ude af kontrol.

Ovenstående er ikke mine egne holderninger. Men det er i stor udstrækning den måde de fleste lande agerer på.

  • 0
  • 1
#7 Christian Nobel

Men nu glemmer du realpolitikken: Her er præcedens ikke interessant. Der er ikke noget rigtigt og forkert. Kun magt.

Og med den italesættelse er det helt ok at vi starter tjedje verdenskrig, og nu vi er i gang, hvorfor dog kere sig om miljøpolitik, for det drejer sig jo alligevel kun om magt - og GDPR det smider vi også ud med badevandet, for det drejer sig kun om magt ......

Jeg køber den ikke!

  • 1
  • 0
#8 Michael Cederberg

Og med den italesættelse er det helt ok at vi starter tjedje verdenskrig, ...

Jeg siger ikke at det er godt. Jeg siger at sådan fungerer samarbejdet mellem lande. Når Kina imod alle traktater og domstolen i Haag sætter sig på det sydkinesiske hav, så er det fordi de har en kold og kynisk kalkule der siger at ingen er villige til at stoppe dem og at de på den måde kan dominere landene i nærheden. Når Rusland langsomt invaderer Georgien, så er det fordi de vurderer at ingen gør noget ved det. Når USA har sanktioner mod Cuba, selvom der er bunker af andre lande der er værre, så er det en kynisk vurdering af behovet for stemmer fra Miami og omegn. Alt sammen realpolitik.

Du kan lukke øjnene og drømme om en verden med orden, regler og folk der handler til alles bedste. Men når du åbner dem igen er der stadigvæk brutale diktatorer med atomvåben, demokratisk valgte der handler opportunistisk, dyr der spiser hinanden, etc.

  • 2
  • 1
#9 Christian Nobel

Du kan lukke øjnene og drømme om en verden med orden, regler og folk der handler til alles bedste. Men når du åbner dem igen er der stadigvæk brutale diktatorer med atomvåben, demokratisk valgte der handler opportunistisk, dyr der spiser hinanden, etc.

Det benægter jeg ikke, men hvad har det lige at gøre med at MS ikke kan lave sikker software, og hvorfor kan der ikke stille krav til producenterne om at lave anstændige produkter?

Og det nytter altså ikke at argumentere ud fra devisen: naboen tæver konen dagligt, så er det vel ok at jeg labber min et par på skrinet ind i mellem.

  • 0
  • 0
#10 Michael Cederberg

Det benægter jeg ikke, men hvad har det lige at gøre med at MS ikke kan lave sikker software, og hvorfor kan der ikke stille krav til producenterne om at lave anstændige produkter?

Jeg gider ikke deltage i Microsoft bashing. Det må du selv lege med.

Men vi kan fint have en diskussion om hvordan man laver kvalitetssoftware. Hvordan man undgår fejl på kritiske steder. Alas, der synes ikke at være nogen snuptagsløsninger for fejl findes i alt software. Et af de store problemer er at vi forventer at software er billigt ... der afsættes ikke nok resourcer.

Det er nu nok ikke problemet i Exchange sagen. Jeg gætter på at kineserne har fået fat i source koden og så sluppet 1000 softwareudviklere løs på den hver med opgave at analysere en del af koden for fejl. Det kan man gøre hvis man er villige til at bruge mange resourcer på hacket og det er man hvis gevinsten er stor.

Nu var det Exchange der blev ramt og så får Microsoft basherne en fantastisk fest. Fint nok. Microsoft har lavet (mindst) en fejl her. Men alle dem der bruger Exchange (og alle mulige andre servere) har også et ansvar. De skal lade være med at forvente at leverandøren eller open source communitiet har 100% styr på sikkerheden. De skal designe deres sikkerhedsinfrastruktur sådan at en kompromiteret server ikke kan sprede malware rundt i organisationen.

Læg så oveni alle den custom kode der findes derude som beskytter eller styrer kritiske ting. Måske sidder der en enkelt eller to udviklere og vedligeholder den. Hvad sker der hvis nogen beslutter at det er værd at sætte 10 mand på at lede efter fejl sådan at de kan komme ind. Opdager man så at de er kommet ind på det lokale vandværk eller andre steder?

Vi sidder på en tikkende bombe. Næsten alt den software vi har har ikke høj nok kvalitet til at modstå angreb. Jeg er rendt ind i folk der har arbejdet på Exchange. Det er rigtigt dygtige folk. Der er ikke mange i branchen der har samme niveau. Så i stedet for at bashe Microsoft så er det nok værd at tænke over hvor mange andre steder det er galt.

Tik ... tik ... tik ... tik ... tik ...

  • 0
  • 2
#11 Christian Nobel

Jeg gider ikke deltage i Microsoft bashing.

Nej det er muligt du ikke "gider" det - men nu er det jo altså bare sådan at det endnu engang er er problem der kan relateres til den manglende kvalitet af det der laves hos MS.

Og som mester så svend, MS burde som den der har sat sig på hele sendefladen have et større ansvar.

Så kan du blive nok så pigesur, eller du kan forholde dig til realiteterne!

  • 0
  • 0
Log ind eller Opret konto for at kommentere