Lokaltog A/S taler ud om ransomwareangreb: Blev også ramt sidste år

18. juli 2022 kl. 04:138
lokaltog
Lokaltogenes drift blev aldrig forstyrret af angrebet, for de kører helt afskåret fra selskabets øvrige systemer. Illustration: Lokaltog A/S.
Det er ikke første gang, Lokaltog bliver ramt af et ransomwareangreb. Nu fortæller selskabet, hvad der skete d. 24 juni, da russiske Black Basta slog til mod den sjællandske togdrift.
Artiklen er ældre end 30 dage

Samtlige 470 medarbejdere hos Lokaltog A/S, der driver seks lokalbaner på Sjælland, har fået offentliggjort deres lønoplysninger på det mørke net. Der ligger oplysningerne og flyder rundt sammen med mere end 30 gigabyte af Lokaltogs data, herunder detaljeret bestyrelsesmateriale, teknisk info om test af togsæt og informationer om ulykker på banerne. Datalækket er en direkte konsekvens af et succesfuldt angreb fra det russiske ransomwarekartel Black Basta, der hackede sig ind i Lokaltogs systemer d. 24 juni. 

Lokaltog A/S var til en start ganske sparsom med oplysninger om forløbet, men har efter Version2’s oprindelige artikel om angrebet besluttet sig for at dele lidt mere med offentligheden. 

Som de fleste andre angreb startede det uden for almindelig arbejdstid. For klokken fire om morgenen begynder der at ske mærkelige ting på skærmene i Lokaltogs kontorer.

»Der er kommet nogle ind i systemet, og noget malware er blevet aktiveret,« starter direktør i Lokaltog, Lars Wrist-Elkjær. Heldigvis er Lokaltog som leverandør af kritisk infrastruktur døgnbemandet, og kort efter ringede direktørens telefon. 

Artiklen fortsætter efter annoncen

»Jeg tænkte straks, om angrebet mon påvirkede togdriften - var det alle vores systemer, der var ramt?,« siger Lars Wrist-Elkjær, der hurtigt blev lettet tilbage i juni. Selve systemerne der styrer togdriften blev nemlig aldrig forstyrret, fordi de kører helt afskåret fra selskabets øvrige systemer.

Den første afpresningsrunde

Til gengæld var Lokaltogs administrative systemer gjort totalt ubrugelige, og Black Basta havde trods sine kun tre måneder i ransomware-verdenen lært af de bedste. Der var ingen kendte fejl i deres krypteringssoftware, der kunne bruges til at befri de låste filer fra krypteringens jerngreb, og de havde et trick mere i ærmet, som vi kommer tilbage til senere. 

Til gengæld lå der en note på systemerne, der opfordrede Lokaltog til at henvende sig til de kriminelle og indlede en forhandling om, hvad det skulle koste at låse filerne op igen. God, gammeldags afpresning - ransomware lige efter skabelonen. 

»Vi kontaktede aldrig Black Basta. De skrev hvordan man gjorde, men vi valgte ikke at følge deres anvisninger. Derfor ved vi heller ikke, hvad de krævede af os,« siger Lars Wrist-Elkjær, der fortæller, at Lokaltog blev reddet af ransomwarekartellernes modstander nummer ét.

Artiklen fortsætter efter annoncen

Backups.

Går bevidst efter dansk infrastruktur

Lokaltog følger nemlig anbefalingerne fra både private sikkerhedsfolk og Center for Cybersikkerhed (CFCS) og laver løbende backups som sikres både lokalt og i skyen. 

»Det betyder konkret, at vi installerede en seks timer gammel backup. Program for program blev åbnet og genetableret i sikker tilstand, før det blev frigivet, og alle systemer var oppe at køre igen ved 16-tiden samme dag,« siger Lars Wrist-Elkjær.

Lokaltog anmelder med det samme angrebet til CFCS og får - efter angrebet -  en besked, Version2 i skrivende stund er ved at undersøge nærmere: 

Artiklen fortsætter efter annoncen

»CFCS fortæller os på det tidspunkt, at Black Basta tidligere har annonceret, at de vil gå efter infrastruktur i blandt andet Danmark,« siger Lars Wrist-Elkjær. 

Et sidste afpresnings-trick

Siden togdriften ikke var påvirket og Lokaltog A/S øjensynligt havde fuld kontrol over sine systemer igen, blev Transportministeriet ikke underrettet. Det blev Datatilsynet heller ikke: 

»Vi blev ramt af et ransomware-angreb sidste år, og vi tænkte, at der denne gang var tale om samme slags angreb. Sidst var der intet datalæk, og da vi heller ikke kunne konstatere et datalæk 24. juni blev Datatilsynet ikke orienteret,« siger Lars Wrist-Elkjær, der dermed medgiver at selskabet har været ramt af et succesfuldt ransomwareangreb for kun cirka et år siden. 

Men som det også blev beskrevet tidligere i artiklen blev en stor datamængde hevet ud fra Lokaltogs systemer og lagt op på mørkenettet i et sidste forsøg på at afpresse selskabet. Det er et mere og mere almindeligt trick, der også blev brugt mod JBS, Vestas og Kompan, da de tre danske selskaber i sin tid blev ramt af ransomware. 

»Center for Cybersikkerhed ringer til os fredag 8. juli og fortæller, at vores data ligger på dark web og om vi kan be- eller afkræfte, om det er vores data. Vi bruger nogle timer over frokosten til at undersøge det og vi kan konstatere, at der er tale om vores data,« siger Lars Wrist-Elkjær, der ikke selv har set datalæk men ud fra CFCS's forklaringer har vurderet, at det er selskabets data der er lækket. Derfor ved han heller ikke præcis, hvad der ellers ligger på mørkenettet.  

»Da CFCS kontaktede os 8. juli og vi derefter kunne bekræfte, at det var vores data, anmeldte vi datalækken til Datatilsynet rettidigt mandag 11. juli, i forhold til gældende regler,« siger Lars Wrist-Elkjær.

Den ukendte sikkerhedsbrist

Men hvad har Lokaltog, der nu er blevet ramt af to delvist succesfulde ransomwareangreb på bare ét år, lært af situationen? 

Rent teknisk overvejer Lokaltog konkret at opgradere selskabets firewall. Sagen er bare den, at det endnu er fuldstændigt uvist, hvordan Black Basta kom ind i maven på Lokaltogs it-systemer. 

»Det har ikke været muligt for os at se præcis, hvordan de kom ind, eller om det var i vores kontorer i Maribo eller Hillerød, eftersom vores systemer blev lukket ned og renset/slettet for at blive genskabt hurtigst muligt,« siger Lars Wrist-Elkjær, der prioriterede at genskabe driften over at blive klogere på, hvor fejlen opstod. 

Dog regner han med, at den var menneskelig og at der sandsynligvis var tale om et succesfuldt phishing-angreb, der fik en uforvarende medarbejder til at lukke den digitale dør op for hackerne. 

»Lokaltog gør løbende tiltag som skal sikre, at Lokaltog hele tiden minimere denne risiko for datalæk. Det har vi også gjort i forlængelse af dette angreb. Truslen fra hacking udvikler sig hele tiden og det er i den forkerte retning. Derfor må vi som virksomhed også hele tiden følge med i denne udvikling,« siger Lars Wrist-Elkjær.

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
20. juli 2022 kl. 08:38

Værktøjerne er tilgængelige for alle, men det er min erfaring at kun enterprise-markedet har taget dem til sig, mem EDR/SIEM/XDR/etc havde givet dem et svar temmeligt hurtigt - Desværre er der mange der bare forlader sig på AV, og kører fuldstændigt i blinde, eller har købt en eller anden gigantisk pakke, og har ikke fået uddannet deres folk i brug af den.

Disclaimer: Jeg arbejder for en producent af sikkerhedssoftware.

5
18. juli 2022 kl. 14:55

Måske er det på tide at kræve at internetforbindelserne i samfundskritiske virksomheder er udstyret med en "flight-recorder" så man i det mindste kan se hvilken type trafik der blev brugt til angrebet ?

6
18. juli 2022 kl. 19:43

Måske er det på tide at kræve at internetforbindelserne i samfundskritiske virksomheder er udstyret med en "flight-recorder" så man i det mindste kan se hvilken type trafik der blev brugt til angrebet ?

Det er det ihvertfald - og det indledende "måske" kan undværes. Handling nu!

4
18. juli 2022 kl. 13:49

Ja god sikkerhed er ikke bare firewall, backup, men også løbende sårbarhedsscanning, SIEM, segmentering af netværk / servere, disaster recovery plan bare for at nævne nogle emner man skal have styr på. Håber firmaer i DK vil bruge flere penge på sikkerheden nu og fremadrettet og have det regnet ind som en del af it budgettet.

1
18. juli 2022 kl. 09:44

De er stolte af at instlallere en 6 timer gammel backup. Så kan de arbejde videre, og det er jo font. Men hvordan ved de at deres backup ikke indeholder en bagdør/sårbarhed, som er blevet brugt denne gang - og måske også et år før? Efter at have fået overtaget deres systemer to gange overvejer de nu at gøre noget...!

8
20. juli 2022 kl. 16:08

Jeg vil antage at sårbarheden ligger på en klient maskine, der IKKE laves backup af. Den backup der indlæses indeholder altså KUN data fra fælles drev, og diverse serverside systemer, ikke fuld backup af hver eneste klient maskine.

Klient maskinerne er sikkert blevet renset med et nyt rent system image, hvorefter medarbejderene har kunne arbejde på en ren maskine.

En "backup" er ikke altid bare et fuldt image af en klient, server eller VM. Er det korrekt opsat, er det typisk langt mere målrettet de data man faktisk har behov for at lave backup af, så man ikke gemmer en masse ligegyldigt.

2
18. juli 2022 kl. 12:21

Det gør de ikke, de sætter deres lid til at det var en menneskeligfejl via phishing - Måske en lidt useriøst strategi, men det er vel muligt, siden der går 1 år mellem de 2 angreb.

3
18. juli 2022 kl. 12:30

Det gør de ikke, de sætter deres lid til at det var en menneskeligfejl via phishing - Måske en lidt useriøst strategi, men det er vel muligt, siden der går 1 år mellem de 2 angreb.

Men, de opdager problemet kl. 04.00 og gendanner alt fra en 6 timer gammel backup der jo så må være lavet kl. 22.00 dagen forinden. Dvs. at en af dem der har været på vagt i det 6 timers tidsrum mellem backup og problemet opstår, er hoppet lige i phishing fælden. Det kan selvfølgelig ske hvis man er søvning, men det er useriøst hvis man ikke undersøger nærmere hvad der er foregået.

Har nogen modtaget en suspekt e-mail hvor de har klikket på et link det i det tidsrum?

Hvilke websites har medarbejderne på vagt den aften/nat besøgt?

Det virker mærkeligt at man ikke undersøger det nærmere får man skråsikkert forudsætter / hævder at de 6 timer gamle backup er "ren".