I sidste uge døjede Arbejdsskadestyrelsen - ad flere omgang - med ransomware, og nu fortæller revisionsfirmaet PWC på vegne af Faaborg-Midtfyn Kommune, at kommunen tidligere på ugen har været ramt af malware-typen.
Konkret er der tale om ransomwaren cryptowall, og eksperterne fra PwC, der har kommunen på kundelisten, er ved at kortlægge, hvordan malwaren nærmere bestemt har inficeret systemerne.
Mads Nørgaard Madsen, der er partner og leder af Security og Technology i PwC, forklarer, at malwaren lader til at være kommet ind i kommunens-systemer ved at en bruger er havnet på en ondsindet hjemmesiden, muligvis via et link i en mail, som der er blevet klikket på.
Herefter har den ondsindede software scannet efter sårbarheder i udbredt - og ofte udnyttet - software som Adobe Flashplayer, Java og Adobe Reader. Præcist hvilken programsårbarhed, der har lukket cryptowall ind i de kommunale systemer, er endnu uvist.
Og generelt er det vanskeligt at beskytte sig mod den slags angreb. Mads Nørgaard Madsen bemærker, at det konkrete angreb mod Faaborg-Midtfyn Kommune, der fandt sted i onsdags, netop ikke ser ud til at være foregået via en vedhæftet fil i en mail, som det ellers ofte kan være tilfældet.
I stedet var der altså sandsynligvis tale om en ondsindet hjemmeside. Og det kan være vanskeligt at gardere sig mod den slags vedhæftede filer, hvor potentielt farlige filtyper kan bortfiltreres, inden de når frem til modtageren.
»Lige præcis ransomware, tror jeg, kommer igen og igen og i stadig mere avancerede former,« siger Mads Nørgaard Madsen.
Selvom kommunen havde antivirus, hjalp det altså ikke i dette konkrete tilfælde.
»Når du begynder at udnytte sårbarheder, der allerede findes på maskinen, og du kan gøre det via surfing på en hjemmeside, så skal der andre midler i brug [end anti-virus],« påpeger han.
Blandt andet er det vigtigt at have styr på patch-management, så softwaren på maskinerne bliver opdateret.
»Det er jo ikke bare et spørgsmål om, at folk ikke opdaterer, fordi de ikke gider. Det er jo fordi, der er rigtigt mange problemer, når man opdaterer også. Så det er en balance i forhold til driftsstabilitet,« siger han.
Som det normalt er med ransomware, blev kommunen afkrævet løsesum i kryptovalutaen bitcoin for til gengæld at få låst filerne op igen. Den har kommunen dog ikke betalt, og de berørte filer kunne ifølge Mads Nørgaard Madsen gendannes via backup.
Generelt er det en dårlig idé at betale løsesummen, påpeger han. Men når det er sagt, så er han faktisk bekendt med organisationer, der har fået låst deres filer op igen, efter at have betalt.
»Man har faktisk forsøgt fra den sorte side af det at forsøge at være rimeligt service-minded for ikke at skade den forretning, man bygger op. Men min generelle holdning er: lad være. Det er at opfordre til mere [ransomware, red.],« siger Mads Nørgaard Madsen.
Anti-ransomware tips fra Center for Cybersikkerhed
Center for Cybersikkerhed har i lyset af den seneste tids Ransomware-angreb mod virksomheder og offentlige organisationer netop i idag, fredag, udgivet en bulletin med titlen 'Begræns risikoen fra ransomware'. Den kan findes her. (PDF)
I den forbindelse henviser CFCS i skrivelsen til fire sikringstiltag fra publikationen 'Cyberforsvar der virker', som skulle reducere risikoen for, at en organisation bliver ramt af ransomware betragteligt:
Opdatér programmer, fx. Adobe Reader, Microsoft Office, Flash Player og Java, med seneste sikkerhedsopdateringer, højrisiko inden for to dage.
Opdatér operativsystemet med seneste sikkerhedsopdateringer, højrisiko inden for to dage. Undgå Windows XP eller tidligere.
Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier. Disse brugere bør anvende separate uprivilegerede konti til e-mail og websurfing.
Udarbejd positivliste over applikationer af godkendte programmer, for at forhindre kørsel af ondsindet eller uønsket software
