Ritzau er stadig lammet efter it-angreb: Hackere kræver løsepenge

Illustration: Ritzau
Tirsdag blev Nyhedsbureauet Ritzau ramt af et hackerangreb. Hackerne har efterfølgende krævet penge for at frigive data, men det har nyhedsbureauet afvist at gøre.

Nyhedsbureauet Ritzau er blevet afkrævet en løsesum i forbindelse med et ransomware-angreb, der tirsdag morgen lagde nyhedsbureauet ned.

Det skriver Politiken.

Ritzaus Bureau leverer nyhedsartikler til en række danske medier, men tirsdagens angreb forhindrede bureauet i at udsende nyheder, ligesom mailservere også blev påvirket. De redaktionelle systemer har været lagt ned siden da, og et nødsystem er taget i brug.

I kølvandet på angrebet har hackerne krævet en løsesum, hvis data skulle frigives igen, men dette har Ritzau afvist efter vejledning fra virksomhedens rådgivere.

Illustration: Ritzau

Det er uvist, hvor stor løsesum, hackerne krævede, og det er heller ikke oplyst, hvem der står bag angrebet. Ifølge Lars Vesterløkke, der er administrerende direktør hos Ritzau, var angrebet dog »meget professionelt«.

Ritzau har mere end 100 servere, og omkring en fjerdedel af dem er blevet beskadiget af angrebet. Nyhedsbureauet arbejder på at få systemerne tilbage til normal drift, og virksomheden forventer, at man tidligst vil kunne genoptage arbejdet på normal vis om et døgn.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Klavs Klavsen

Det begynder at være nemmere at fokusere på sikkerhed - man kan kun håbe at direktionsgangene rundt omkring, begynder at forbedre den økonomiske prioritering og forhåbentlig integrere sikkerhed, som en FAST del af operations.. (og kun ikke som ekstern afdeling der ikke selv hjælper med at løse udfordringerne og kun laver papirarbejde) - i disse DevOps tider - kaldet DevSecOps :)

  • 10
  • 0
#2 Thomas Jensen

man kan kun håbe at direktionsgangene rundt omkring, begynder at forbedre den økonomiske prioritering og forhåbentlig integrere sikkerhed, som en FAST del af operations.

Men er det nok? Kan man forbedre sikkerheden tilstrækkeligt? Vil der ikke altid være nogen der klikker på en email, fordi de troede den var fra chefen? Kan man vinde det våbenkapløb?

Er problemet ikke, at der skal helt andre boller på suppen? Nye internetprotokoller. Nye styresystemer. Nye måder at identificere sig på. Sikkerheden skal tænkes ind fra starten, og ikke sys på som lapper på et tæppe efterfølgende.

  • 13
  • 1
#3 Sune Marcher

Hot take: de mest effektive ransomware-bander er tidligere operations-folk der fik nok, og besluttede besluttede at give habit-banditterne på direktionsgangene en lærestreg.

😉

  • 3
  • 0
#5 Klavs Klavsen

Men er det nok? Kan man forbedre sikkerheden tilstrækkeligt? Vil der ikke altid være nogen der klikker på en email, fordi de troede den var fra chefen? Kan man vinde det våbenkapløb?

Nej. Faktisk skyldes denne slags angrebs success, mangel på almindeligt kendte løsninger:

1) Tage backup af sine ting - så skader en kryptering af data ikke noget.

2) overvåge sine servere - f.ex. overvåge antal writes til forskellige filer (metrikker du kan hive ud af din filserver) fra samme klient - og blokere klienten.

3) Overvåge uventet udadgående trafik (og gerne blokere klienter der udviser det) - det vil indikere at "noget er galt" og isolere problemet ved at lukke for klienten i firewalls.

4) Sikre at servere IKKE kan tilgå internettet - hvis de har services de udstiller til internettet, og OPDAGE hvis en server alligevel forsøger noget (rimelig simpel regel - gør det langt sværere at hacke en server uden det bliver opdaget)

I "gamle dage" - havde jeg f.ex. noget så simpelt som en honeypot på firewall'e - så snart noget (internt) forsøgte at forbinde til en port på den - så blev ip'en blokeret fra alle net (og filshares ligger på et etandet net) - det fangede mange virus'er, og brugerne kom selv med pc'en og sagde "den ikke duede" :)

Ligeledes kan man sagtens se mønsteret på ransomware og blokere klienten der har det uregelmæssige write mønster. Er man i unix land, kan man f.ex. også bruge snapshots af sine filsystemer - så man kan rulle filer tilbage til "sidste time" eller hvad man har lyst til - ganske nemt. Det kan man også med en netapp (filserver appliance) hvis ikke man gider sætte en almindelig linux/unix server op.

Mulighederne er mange - det er ikke vildt svært - hvis man gider at bruge lidt ressourcer på at tænke sig om.

Når man ikke bruger ressourcerne på det, bliver man straffet.

  • 11
  • 1
#6 Kjeld Flarup Christensen

1) Tage backup af sine ting - så skader en kryptering af data ikke noget.

Og test din backup!

Og planlæg din backup så du hurtigt kan genetablere.

Nogen gange kan en backup tage en dag at indlæse. Det er gode online backup services, men skal man først til at hente 10 GB derfra (Det hjælper ikke så meget du har Gbit, hvis serveren kun kan give dig Mbit) , og bagefter først kan hente de kritiske 100 MB ud af et arkiv - så er man næsten lige så fucked.

  • 3
  • 0
#7 Deleted User

Det er godt at flere og flere firmaer melder ud at de er ramt af ransomware og offentligt melder ud at de ikke har tænkt sig at betale.

Reelt set handler det her jo om at hvis ALLE gjorde sådan, så ville de her ransomware bander hurtigt fordufte.

  • 8
  • 0
#9 Mogens Bluhme

Det hjælper ikke så meget du har Gbit, hvis serveren kun kan give dig Mbit

Det er ikke kun båndbredden, som er flaskehalsen. Nærmer en standard x86-server sig 1 Gb begynder CPU'erne at hoste.

Det kan man så imødegå med avancerede FPGA-baserede netværkskort, som offloader en del arbejde fra CPU og memory.

Tilmed kan man bruge Purpose Built Backup Appliances, som laver reverse multiplexing i datastrømmene mellem server og backup-medie - noget som vist Hitachi, Fujitsu og EMC tilbyder.

Men så begynder det også at gøre ondt i baglommen og det er nok billigere at tænke sig grundigt om.

  • 0
  • 2
#12 Kjeld Flarup Christensen

En simpel sikring kunne være at tage et snapshot af fil server disken jævnligt. Den slags koster som regel ikke ret meget, og er understøttet af mange NAS systemer.

Hvis det så går galt, kan man hurtigt rulle tilbage (Efter man har sikret sig at hackeren er smidt ud af netværket)

Det betyder så at bruger IKKE må have data af betydning på deres egen disk. Det vil vi udviklere jamre os over, men så må vi jo bare opføre os professionelt og ikke slippe den slags ind på vores PC'er.

  • 0
  • 1
#13 Lars Tranke

Det her angreb erklærer Ritzau jo selv rammer dem lige midt i deres forretning - de har ikke kunnet sende deres updates ud - implicit hele deres forretning er taget ud med et enkelt angreb - der understreger alvorligheden. Hvis de ikke bare har fixet det og kommer videre, er det fordi de ikke har de fornødne data, og hvis de ikke bare betaler er det fordi de ikke har pengene til det. Måske findes Ritzau så slet ikke længere lige omlidt.

Derudover så udstiller det jo at ritzau er et sårbart mål for haxere - og hvad kan det lige været blevet brugt til indtil nu? -jeg mener, hvis de ikke har opdaget haxerne har været der før ransomwaren blev aktiveret, hvad har de så nået at haxe i systemerne indtil da, det kunne fx være rette i arkivdata eller rette i udsendelsen af opdateringer. Så derfor kan dette implicit have en kaske effekt ud på samtlige danske nyhedsmedier som har suget nyheder fra Ritzau (det gør de allesammen), og egentlig bør alle nyheder vel så genkvalificeres imod andre kilder og fjernes fra medierne hvis de ikke kan bestå den test?

  • 1
  • 5
#15 Ditlev Petersen

Måske man burde deaktivere alle links i e-mails så det bare var ren tekst. Det kunne fjerne det problem hurtigt.

Og hvis der så var nogen som lavede et produkt der scannede alle links, før man kunne tilgå dem, så kunne det blive ende mere sikkert.

Jeg modtager ofte deaktiverede link eller ser dem på nettet. Det er trivielt at omgå, også for en journalist. De skal helt slettes. Og så bliver folk nok sure.

Hvad vil du skanne linkene for? Det er jo næppe gamle og berygtede sites, de henviser til. Man kan sjældent se på et link, at det er ondsindet. Altså hvis en "bank" beder en logge på globalpigs.com, så ser det da underligt ud, men det er næppe noget, et program kan gennemskue.

  • 0
  • 0
Log ind eller Opret konto for at kommentere