ransomware

Baltimore Blues: En amerikansk storby cyberlammes

En række vitale it-systemer i Baltimore blev lammet som følge af et ransom­­wareangreb. EternalBlue, der stammer fra den amerikanske efterretningstjeneste NSA, skulle efter sigende være våbnet.

– Vi har holdt øje med jer i dagevis. Vi vil ikke sige mere. Det eneste, vi behøver, er PENGE! Skynd jer! Tik Tak, Tik Tak, Tik Tak!

Sådan lød beskeden til bystyret i Baltimore, da tusindvis af bystyrets ansatte ikke kunne anvende deres computere tirsdag 7. maj. Beskeden var fra en eller flere hackere, der stod bag et omfattende ransomware-angreb mod Baltimore.

Omkring 10.000 computere på bystyrets netværk fik krypteret deres harddiske, hvilket betød, at ansatte ikke kunne få adgang til vigtige it-systemer, ligesom indbyggere ikke kunne betale deres vandregninger, parkeringsbøder og andet. Hvis bystyret betalte en løsesum på 13 bitcoins – omkring 800.00 kroner – lovede bagmændene at dekryptere de gidseltagne data. Havnebyen Baltimore er den største by i staten Maryland og ligger lidt over 60 kilometer nordøst for den amerikanske hovedstad Washington DC. Den amerikanske nationalsang 'Star-Spangled Banner' blev skrevet i Baltimore, så det er en by, der er snublende nær både den amerikanske hovedstad og den amerikanske nationalfølelse, som blev lammet af hackerne.

Ransomwaren er kendt som RobbinHood, men i en artikel i The New York Times fra 25. maj hævdes det, at EternalBlue blev brugt til at sprede malwaren til computere på bystyrets netværk.

NSA-udviklet våben

EternalBlue er interessant, da det stammer fra den amerikanske efterretningstjeneste NSA, som gennem mange år har udviklet offensive cybervåben baseret på nuldagssårbarheder. For en del år siden fandt NSA en sårbarhed i Windows' Server Message Block (SMB)-protokollen, men i stedet for at orientere Microsoft om sårbarheden, valgte NSA at udvikle et værktøj, EternalBlue, der udnytter sårbarheden.

Det er uklart hvordan, men den mystiske hackergruppe Shadow Brokers fik fingrene i EternalBlue samt en række andre hackerværktøjer fra NSA, og den 14. april 2017 lækkede Shadow Brokers EternalBlue online. EternalBlue blev siden anvendt i det verdensomfattende WannaCry-angreb 12. maj 2017 og NotPetya-angrebet 27. juni samme år, som blandt andet kom til at koste Mærsk et par milliarder kroner.

The New York Times-artiklen nævner, at andre amerikanske byer som San Antonio og Allentown også er blevet udsat for EternalBlue-baserede angreb.

 

Vi har holdt øje med jer i dagevis. Vi vil ikke sige mere. Det eneste, vi behøver, er PENGE! Skynd jer! Tik Tak, Tik Tak, Tik Tak!
- Hackerbesked

NSA, hvis hovedkvarter ligesom Baltimore ligger i staten Maryland, har ikke kommenteret artiklen, men benægter via Maryland-kongresmanden Dutch Ruppersberger, at EternalBlue blev anvendt i Baltimore-angrebet.
– Der er intet, der tyder på, at EternalBlue blev anvendt i ransomware-angrebet mod Baltimore, fortalte kongresmanden, efter han var blevet briefet af, hvad han betegnede som højtstående NSA-folk.

Journalisterne fra The New York Times står dog fast på deres artikel og siger, at deres oplysninger kommer fra kilder fra fire forskellige sikkerhedsfirmaer, der er involveret i oprydningsarbejdet i Baltimores netværk efter ransomwarens hærgen.

Bystyret har i skrivende stund nægtet at betale løsesum, og en måned efter angrebet er skaden opgjort til omkring 120 millioner kroner, ligesom mange af bystyrets ansatte har måttet ty til papirbaserede arbejdsgange.

 

Upatchede maskiner

Microsoft udsendte en patch i 2017, der lukker for angreb via EternalBlue, men ifølge sikkerhedsfirmaet ESET toppede anvendelsen af EternalBlue så sent som mellem februar og marts i år.

Det kan måske undre, at der, så lang tid efter en patch blev udsendt, stadig findes upatchede maskiner. Men ikke hvis man spørger sikkerhedseksperten Peter Kruse fra CSIS.
– Jo, men hvis du synes, det er underligt, hvad siger du så til, at hovedparten af inficerede maskiner i Danmark er inficeret af Conficker? spørger han.

Microsoft udsendte en patch til Conficker-ormen i 2008, men der er stadig over 22.000 maskiner i Danmark, der er inficerede med Conficker.
– Der er rigtig mange virksomheder, der ikke har styr på deres opdateringsprocedurer, siger Peter Kruse.


Læs også...

Det var en helt ny fornemmelse, da Søren tidligere på året blev ramt af stress, for han havde aldrig oplevet stresssymptomer før. Søren har arbejdet i…

I 1999 havnede Berit Søgaard mere eller mindre tilfældigt i IT-branchen, og hun har arbejdet her lige siden. I dag er hun compliancedirektør i Visma,…

Nettet er proppet til randen med websider, som kan hjælpe dig med det ene eller andet eller har så nørdet viden, at de med fordel kan besøges.

Unge tech-folk fortæller om deres håb og drømme for fremtiden. Danske virksomheder kigger mod et tysk eksporteventyr. Forfatter sætter spot på Kina og…

26-årige Francesca Tremulo rejste til Danmark fra Italien for tre år siden for at realisere drømmen om en fremtid i spilbranchen. Hun er uddannet…

Kinas tech fungerer og er udviklet i benhård konkurrence til at være bedst og billigst. Talentmassen er enorm, og der er prestige og attraktive…

Alberte Viendahl er 25 år og har læst multimediedesign på KEA. Hun er blevet vild med at kode og nørde, og nu vil hun gerne tage en top up-uddannelse…

Benjamin Elias Harris er 27 år, og han har gået på datamatikerlinjen på KEA. Han startede egentlig med at læse engelsk på Københavns Universitet, men…

28-årige Yousra Diab arbejdede i flere år som socialrådgiver, inden hun tog springet og startede på datamatikeruddannelsen. Det har været svært at…

26-årige Sophie Ankjær Andersen har læst multimediedesign på KEA. Hun drømmer om, at hun i fremtiden skal tage sit arbejde med til Bali og arbejde…