Hackere holder Gribskov Kommunes filer som gidsler

22. januar 2015 kl. 11:5721
Siden mandag har Gribskov Kommune sammen med et sikkerhedsfirma forsøgt at få låst et drev op, som hackere har låst.
person
Artiklen er ældre end 30 dage
person

[shareline:76551] Kommune afpresset af it-kriminelle, der har låst kommunens filer. Åbenbart ikke enestående[/shareline]

Gribskov Kommune kæmper lige nu med at få adgang til et antal filer, som it-kriminelle har låst efter at have angrebet én af kommunens pc'er. Bagmændene forsøger at afkræve en løsesum, skriver sn.dk.

»De har krævet løsepenge for at låse filerne op, og det afviser vi selvfølgelig. Som offentlig myndighed betaler vi ikke for, at nogen begår kriminalitet,« siger kommunaldirektør Holger Spangsberg Kristiansen til sn.dk.

Artiklen fortsætter efter annoncen

Kommunen har hyret sikkerhedsfirmaet Digicure til at forsøge at låse filerne op. Filerne befinder sig på et enkelt drev, men kommunen har ikke oplyst, hvilke typer filer der er tale om.

Angrebet blev ifølge sn.dk opdaget tirsdag, da it-afdelingen om eftermiddagen bemærkede en massiv trafik på det pågældende drev. Angrebet er blevet meldt til politiet.

Ifølge en undersøgelse fra Danmarks Statistik, så er Gribskov Kommune ikke alene med at blive udsat for denne type angreb med ransomware. Ifølge undersøgelsen har otte procent af danskerne oplevet at blive angrebet med ransomware. Langt de fleste formår at få genskabt deres data, og kun to procent af dem, der bliver ramt, vælger at betale løsepenge.

Emner
21 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
20
Nick Cooper
25. januar 2015 kl. 01:35

Man burde i stedet uddanne personalet i at screene en fil binært før man åbner den ordinært. Og det siger sgu da sig selv at man ikke klikker på noget som helst som er angivet som eksekverbart, der dumper ind via HTTP eller POP3. Social engineering er og bliver det bedste våben for hackere.

Held og lykke med at generere den samme private key, som er blevet brugt i angrebet, og bruteforce jer adgang om et par år. I kan spare tid ved at investere i en daglig eller live backup-forbindelse til et redundant datacenter til fremadrettet kommunikation med borgerne.

  • more_vert
    • insert_linkKopier link
21
Maciej Szeliga
25. januar 2015 kl. 14:31

Man burde i stedet uddanne personalet i at screene en fil binært før man åbner den ordinært. Og det siger sgu da sig selv at man ikke klikker på noget som helst som er angivet som eksekverbart...

Uanset hvor enige vi kan være i det så er det fra meget svært til umuligt at komme igennem med. Langt de fleste mennesker vil ikke lære nye ting medmindre de enten direkte har gavn af dem eller er selv interresseret i dem. Vi kan kun være enige i at det burde være en del af jobbet men som det er nu er det IT afd. som skal forhindre det. Vi kunne f.eks.:

  • stoppe filer ef typerne zip, exe, dll, com, rar, arj, lha, tar, gz og z samt iso fordi en alm medarbejder har ikke noget at skulle bruge dem til (afh. af arbejdssted)
  • vi kan rent faktisk sætte alt i karantæne i 24 timer med den fuld kommen korrekte antagelse at det er usete farer som er farligst og derfor bliver mails scannet 1. gang når de ankommer og 2. gang når de afsendes 24 timer senere. Problemet er at for at det skal være effektivt skal det gælde ALLE mails med vedhæftning, ellers kommer der .txt filer med en tekst i mailen som instruerer brugeren i at omdøbe den inden brug.

Denne ransomware kampagne som har ramt kommunerne kan muligvis blive en øjenåbner at mails rent faktisk ikke skal forventes at ankomme i løbet af få min. hvis de skal være sikre.

  • more_vert
    • insert_linkKopier link
12
Anders Christensen
22. januar 2015 kl. 14:20

Det er kommet ind via en zip fil i en vedhæftet fil. Varianten var for ny til at blive opdaget i det eksterne spam filter.

Filen har startet process fra en klient PC og har kunne gå efter netværksdrev som brugeren havde adgang til.

Jeg arbejder ikke selv med det, men har kendskab til det fra en bekendt i en anden kommune. De opdagede det dog allerede mandag formiddag.

  • more_vert
    • insert_linkKopier link
18
Rune Jensen
22. januar 2015 kl. 15:28

Åbner man bare helt ukritisk vedhæftede filer fra fremmede ?

Nej, men man kan bruge lidt social engineering og så en stram tidsfrist for handling, så offeret med sandsynlighed vil overse faresignaler.

Jeg kan forestille mig et idfald, som så nok vil virke bedst, når man kender personens fulde navn+email adresse. Men det burde være til at finde.

Så, frit opfundet eksempel:

Fra: SomeMobileCompany Til: NN, NN@somemail.com

"Kære NN,

Deres betaling for mobil abonnement 23222233 er desværre overskredet med 14 dage.

Vi har vedlagt faktura over manglende betaling i vedhæftet fil.

De bedes betale denne inden tre dage fra dags dato.

I modsat fald overdrages sagen til inkasso.

Bemærk, at filen kræver Adobe Acrobat Reader, som kan hentes her: www.adobe.com

MVH En eller anden med et meget troværdigt navn Kommunikationschef, SomeMobileCompany

  • more_vert
    • insert_linkKopier link
19
Rune Jensen
22. januar 2015 kl. 15:36

Og abonnementsnummeret er ret ligegyldigt, da de færreste alligevel kan huske det.

Og selv hvis man ikke har abonnement der, så vil et emnefelt som "Restance på mobilabonnement" i hvert fald få nogen til at åbne det. Man er jo også nødt til at vide, hvad man reelt er anklaget for, og hvorfor de mener, man lige er den rette at anklage.

Så gør det mindre, at mobilselskabet har en hotmail adresse. Det tænker de færreste over, når de har læst, de kun har tre dage.

  • more_vert
    • insert_linkKopier link
9
Bent Jensen
22. januar 2015 kl. 13:39

Er det dem vi skal overlade en bagdør til alle vores data og net ? Selv hvis der ikke lykkes at hacke dem, så er der nok en af medarbejder som glemmer alle adgangskoderne på et USB stik, eller bliver lidt sur på den lokale bogmester. Eller ,,,,

  • more_vert
    • insert_linkKopier link
5
John Mortensen
22. januar 2015 kl. 12:52

Det er, så vidt jeg har set, MS-Office filer, det drejer sig om. Forhåbentlig bruger kommunerne ikke MS-Windows på kritiske computere. & i den forbindelse, er jeg nysgerrig ang. hvordan hackerne kom ind. En MS-Win malware?

  • more_vert
    • insert_linkKopier link
7
Christian Nobel
22. januar 2015 kl. 13:18

For lige at gøre en ting klar - Linux er ikke det magiske svar på alt.

Hvis det er muligt for en cracker at mave sig forbi firewallen, og eksempelvis lave en SSH forbindelse ind i netværket, så er der frit slag for virkelig at lave mange ulykker, uagtet hvilket OS der ellers bruges på klienterne.

Og svjv. så bruger Gribskov faktisk ikke MSO, men OpenOffice, hvilket dog er ret irrelevant, hvis det er lykkedes en angriber at kryptere filer.

Jeg håber dog at der bliver fulgt lidt op på hvad der er sket, og at resultaterne bliver offentliggjort - ikke for at man skal pege fingre, men hvis ikke vi kan få lov til at lære fra andres erfaringer, så er det svært.

Derfor vil jeg gerne rette en appel (endnu en gang) til V2 om at følge dette op fra en professionel vinkel, og ikke kun lave et afskrift fra et vilkårligt dagblad.

  • more_vert
    • insert_linkKopier link
11
Søren Koch
22. januar 2015 kl. 14:07

Well Jeg tror nu ikke at der har været tale om decderet hackere, men nok snare noget 'ransomware' der har krypteret alle (dokumnet) filer på deres netwærsdrev som den inficerede computer(e) havde adgang til

Og ja i det tilfælde vil Linux på desktoppen nok have redet dem da de fleste virus kun virker på windows (hvilket ikke bør være en sovepude for os med Linux da det vil ændre sig hvis alle skiftede væk fra windows)

  • more_vert
    • insert_linkKopier link
13
Christian Nobel
22. januar 2015 kl. 14:23

Well Jeg tror nu ikke at der har været tale om decderet hackere,

Og se, her har vi lige præcis det problem, at vi kan få lov til at sidde og gætte, i stedet for at få reel viden.

Så endnu engang - kære version2 som Danmarks it-medie, der henvender sig til de mange, der arbejder professionelt med it, kunne i I ikke forfølge denne sag noget mere.

Jeg tror ikke jeg er den eneste der godt kunne tænke sig at få at vide hvad det reelt er der er sket, så man har det i bagagen for at undgå at det sker - det skal vel ikke bare være viden som et enkelt privat sikkerhedsfirma ligger inde med.

Edit: kan se at Anders har gjort noget af V2's arbejde - tak for det, og godt der er et aktivt forum.

  • more_vert
    • insert_linkKopier link
3
Harry Jessen
22. januar 2015 kl. 12:33

fælles ledelse for infrastruktur inden for digital sikkerhed. Tænk at det overhovedet kan lade sig gøre for it kriminelle at komme ind og låse et drev. Hvem siger at de ikke har taget en fuld kopi af alle filer på drevet, der er forhåbentligt ikke person følsomme oplysninger på det drev.

Hvad med at man havde brugt pengene til cyberkrig på at forbedre it-sikkerheden inden for det offentlige.

  • more_vert
    • insert_linkKopier link
1
Nicolai Petersen
22. januar 2015 kl. 12:15

Der er vist nogen der skal have kigget på deres backup/restore procedure

  • more_vert
    • insert_linkKopier link
2
Bent Jensen
22. januar 2015 kl. 12:30

Der er vist nogen der skal have kigget på deres backup/restore procedure

De har vist genskab det meste fra backup. Men vil da gerne se hvordan de bryder krypteringen :-)

"Det her er et wake up call, siger Per Stenaa, IT-chef i Nordfyns Kommune." Ja vi andre har prøvet at komme igennem i flere år, uden held.

Godt for CSC, at hackerne der ikke lavet samme nummer, trivler på at CSC have haft styr på deres backup.

Måske var det godt forbygende, hvis EL nettet eller andet blev hacket. Og der blev lukket ned for EL\VAND\VARME\Telekommunikation i nogen små byer. Så de også vågner op der, inden nogen lægger hele Danmarks infrastruktur ned. Hvis hospitaler med Intensiv afdelinger, Lyskryds og hele den danske Industri og Samfund var sat helt i stå. Så kunne det da godt være at nogen synes det var bedre at betale et par milliarder i Løsesum. Så længe det var penge og ikke politisk afpresning Tak kun i små sedler. :-)

  • more_vert
    • insert_linkKopier link