Hackere holder Gribskov Kommunes filer som gidsler

Siden mandag har Gribskov Kommune sammen med et sikkerhedsfirma forsøgt at få låst et drev op, som hackere har låst.

shareline

Kommune afpresset af it-kriminelle, der har låst kommunens filer. Åbenbart ikke enestående

Gribskov Kommune kæmper lige nu med at få adgang til et antal filer, som it-kriminelle har låst efter at have angrebet én af kommunens pc'er. Bagmændene forsøger at afkræve en løsesum, skriver sn.dk.

»De har krævet løsepenge for at låse filerne op, og det afviser vi selvfølgelig. Som offentlig myndighed betaler vi ikke for, at nogen begår kriminalitet,« siger kommunaldirektør Holger Spangsberg Kristiansen til sn.dk.

Kommunen har hyret sikkerhedsfirmaet Digicure til at forsøge at låse filerne op. Filerne befinder sig på et enkelt drev, men kommunen har ikke oplyst, hvilke typer filer der er tale om.

Angrebet blev ifølge sn.dk opdaget tirsdag, da it-afdelingen om eftermiddagen bemærkede en massiv trafik på det pågældende drev. Angrebet er blevet meldt til politiet.

Ifølge en undersøgelse fra Danmarks Statistik, så er Gribskov Kommune ikke alene med at blive udsat for denne type angreb med ransomware. Ifølge undersøgelsen har otte procent af danskerne oplevet at blive angrebet med ransomware. Langt de fleste formår at få genskabt deres data, og kun to procent af dem, der bliver ramt, vælger at betale løsepenge.

Læs også: Otte procent af danskerne har været ramt af ransomware

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

Der er vist nogen der skal have kigget på deres backup/restore procedure


De har vist genskab det meste fra backup.
Men vil da gerne se hvordan de bryder krypteringen :-)

"Det her er et wake up call, siger Per Stenaa, IT-chef i Nordfyns Kommune."
Ja vi andre har prøvet at komme igennem i flere år, uden held.

Godt for CSC, at hackerne der ikke lavet samme nummer, trivler på at CSC have haft styr på deres backup.

Måske var det godt forbygende, hvis EL nettet eller andet blev hacket. Og der blev lukket ned for EL\VAND\VARME\Telekommunikation i nogen små byer.
Så de også vågner op der, inden nogen lægger hele Danmarks infrastruktur ned.
Hvis hospitaler med Intensiv afdelinger, Lyskryds og hele den danske Industri og Samfund var sat helt i stå. Så kunne det da godt være at nogen synes det var bedre at betale et par milliarder i Løsesum. Så længe det var penge og ikke politisk afpresning
Tak kun i små sedler. :-)

  • 3
  • 0
Harry Jessen

fælles ledelse for infrastruktur inden for digital sikkerhed. Tænk at det overhovedet kan lade sig gøre for it kriminelle at komme ind og låse et drev. Hvem siger at de ikke har taget en fuld kopi af alle filer på drevet, der er forhåbentligt ikke person følsomme oplysninger på det drev.

Hvad med at man havde brugt pengene til cyberkrig på at forbedre it-sikkerheden inden for det offentlige.

  • 5
  • 0
Christian Nobel

For lige at gøre en ting klar - Linux er ikke det magiske svar på alt.

Hvis det er muligt for en cracker at mave sig forbi firewallen, og eksempelvis lave en SSH forbindelse ind i netværket, så er der frit slag for virkelig at lave mange ulykker, uagtet hvilket OS der ellers bruges på klienterne.

Og svjv. så bruger Gribskov faktisk ikke MSO, men OpenOffice, hvilket dog er ret irrelevant, hvis det er lykkedes en angriber at kryptere filer.

Jeg håber dog at der bliver fulgt lidt op på hvad der er sket, og at resultaterne bliver offentliggjort - ikke for at man skal pege fingre, men hvis ikke vi kan få lov til at lære fra andres erfaringer, så er det svært.

Derfor vil jeg gerne rette en appel (endnu en gang) til V2 om at følge dette op fra en professionel vinkel, og ikke kun lave et afskrift fra et vilkårligt dagblad.

  • 9
  • 0
Søren Koch

Well Jeg tror nu ikke at der har været tale om decderet hackere, men nok snare noget 'ransomware' der har krypteret alle (dokumnet) filer på deres netwærsdrev som den inficerede computer(e) havde adgang til

Og ja i det tilfælde vil Linux på desktoppen nok have redet dem da de fleste virus kun virker på windows (hvilket ikke bør være en sovepude for os med Linux da det vil ændre sig hvis alle skiftede væk fra windows)

  • 1
  • 0
Anders Christensen

Det er kommet ind via en zip fil i en vedhæftet fil. Varianten var for ny til at blive opdaget i det eksterne spam filter.

Filen har startet process fra en klient PC og har kunne gå efter netværksdrev som brugeren havde adgang til.

Jeg arbejder ikke selv med det, men har kendskab til det fra en bekendt i en anden kommune. De opdagede det dog allerede mandag formiddag.

  • 6
  • 0
Christian Nobel

Well Jeg tror nu ikke at der har været tale om decderet hackere,

Og se, her har vi lige præcis det problem, at vi kan få lov til at sidde og gætte, i stedet for at få reel viden.

Så endnu engang - kære version2 som Danmarks it-medie, der henvender sig til de mange, der arbejder professionelt med it, kunne i I ikke forfølge denne sag noget mere.

Jeg tror ikke jeg er den eneste der godt kunne tænke sig at få at vide hvad det reelt er der er sket, så man har det i bagagen for at undgå at det sker - det skal vel ikke bare være viden som et enkelt privat sikkerhedsfirma ligger inde med.

Edit: kan se at Anders har gjort noget af V2's arbejde - tak for det, og godt der er et aktivt forum.

  • 3
  • 0
Rune Jensen

Åbner man bare helt ukritisk vedhæftede filer fra fremmede ?

Nej, men man kan bruge lidt social engineering og så en stram tidsfrist for handling, så offeret med sandsynlighed vil overse faresignaler.

Jeg kan forestille mig et idfald, som så nok vil virke bedst, når man kender personens fulde navn+email adresse. Men det burde være til at finde.

Så, frit opfundet eksempel:

Fra: SomeMobileCompany
Til: NN, NN@somemail.com

"Kære NN,

Deres betaling for mobil abonnement 23222233 er desværre overskredet med 14 dage.

Vi har vedlagt faktura over manglende betaling i vedhæftet fil.

De bedes betale denne inden tre dage fra dags dato.

I modsat fald overdrages sagen til inkasso.

Bemærk, at filen kræver Adobe Acrobat Reader, som kan hentes her: www.adobe.com

MVH
En eller anden med et meget troværdigt navn
Kommunikationschef,
SomeMobileCompany

  • 0
  • 0
Rune Jensen

Og abonnementsnummeret er ret ligegyldigt, da de færreste alligevel kan huske det.

Og selv hvis man ikke har abonnement der, så vil et emnefelt som "Restance på mobilabonnement" i hvert fald få nogen til at åbne det. Man er jo også nødt til at vide, hvad man reelt er anklaget for, og hvorfor de mener, man lige er den rette at anklage.

Så gør det mindre, at mobilselskabet har en hotmail adresse. Det tænker de færreste over, når de har læst, de kun har tre dage.

  • 0
  • 0
Nick Cooper

Man burde i stedet uddanne personalet i at screene en fil binært før man åbner den ordinært. Og det siger sgu da sig selv at man ikke klikker på noget som helst som er angivet som eksekverbart, der dumper ind via HTTP eller POP3. Social engineering er og bliver det bedste våben for hackere.

Held og lykke med at generere den samme private key, som er blevet brugt i angrebet, og bruteforce jer adgang om et par år. I kan spare tid ved at investere i en daglig eller live backup-forbindelse til et redundant datacenter til fremadrettet kommunikation med borgerne.

  • 0
  • 0
Maciej Szeliga

Man burde i stedet uddanne personalet i at screene en fil binært før man åbner den ordinært. Og det siger sgu da sig selv at man ikke klikker på noget som helst som er angivet som eksekverbart...


Uanset hvor enige vi kan være i det så er det fra meget svært til umuligt at komme igennem med. Langt de fleste mennesker vil ikke lære nye ting medmindre de enten direkte har gavn af dem eller er selv interresseret i dem. Vi kan kun være enige i at det burde være en del af jobbet men som det er nu er det IT afd. som skal forhindre det.
Vi kunne f.eks.:
- stoppe filer ef typerne zip, exe, dll, com, rar, arj, lha, tar, gz og z samt iso fordi en alm medarbejder har ikke noget at skulle bruge dem til (afh. af arbejdssted)
- vi kan rent faktisk sætte alt i karantæne i 24 timer med den fuld kommen korrekte antagelse at det er usete farer som er farligst og derfor bliver mails scannet 1. gang når de ankommer og 2. gang når de afsendes 24 timer senere. Problemet er at for at det skal være effektivt skal det gælde ALLE mails med vedhæftning, ellers kommer der .txt filer med en tekst i mailen som instruerer brugeren i at omdøbe den inden brug.

Denne ransomware kampagne som har ramt kommunerne kan muligvis blive en øjenåbner at mails rent faktisk ikke skal forventes at ankomme i løbet af få min. hvis de skal være sikre.

  • 1
  • 0
Log ind eller Opret konto for at kommentere