– Vi har holdt øje med jer i dagevis. Vi vil ikke sige mere. Det eneste, vi behøver, er PENGE! Skynd jer! Tik Tak, Tik Tak, Tik Tak!
Sådan lød beskeden til bystyret i Baltimore, da tusindvis af bystyrets ansatte ikke kunne anvende deres computere tirsdag 7. maj. Beskeden var fra en eller flere hackere, der stod bag et omfattende ransomware-angreb mod Baltimore.
Omkring 10.000 computere på bystyrets netværk fik krypteret deres harddiske, hvilket betød, at ansatte ikke kunne få adgang til vigtige it-systemer, ligesom indbyggere ikke kunne betale deres vandregninger, parkeringsbøder og andet. Hvis bystyret betalte en løsesum på 13 bitcoins – omkring 800.00 kroner – lovede bagmændene at dekryptere de gidseltagne data. Havnebyen Baltimore er den største by i staten Maryland og ligger lidt over 60 kilometer nordøst for den amerikanske hovedstad Washington DC. Den amerikanske nationalsang 'Star-Spangled Banner' blev skrevet i Baltimore, så det er en by, der er snublende nær både den amerikanske hovedstad og den amerikanske nationalfølelse, som blev lammet af hackerne.
Ransomwaren er kendt som RobbinHood, men i en artikel i The New York Times fra 25. maj hævdes det, at EternalBlue blev brugt til at sprede malwaren til computere på bystyrets netværk.
EternalBlue er interessant, da det stammer fra den amerikanske efterretningstjeneste NSA, som gennem mange år har udviklet offensive cybervåben baseret på nuldagssårbarheder. For en del år siden fandt NSA en sårbarhed i Windows' Server Message Block (SMB)-protokollen, men i stedet for at orientere Microsoft om sårbarheden, valgte NSA at udvikle et værktøj, EternalBlue, der udnytter sårbarheden.
Det er uklart hvordan, men den mystiske hackergruppe Shadow Brokers fik fingrene i EternalBlue samt en række andre hackerværktøjer fra NSA, og den 14. april 2017 lækkede Shadow Brokers EternalBlue online. EternalBlue blev siden anvendt i det verdensomfattende WannaCry-angreb 12. maj 2017 og NotPetya-angrebet 27. juni samme år, som blandt andet kom til at koste Mærsk et par milliarder kroner.
The New York Times-artiklen nævner, at andre amerikanske byer som San Antonio og Allentown også er blevet udsat for EternalBlue-baserede angreb.
Vi har holdt øje med jer i dagevis. Vi vil ikke sige mere. Det eneste, vi behøver, er PENGE! Skynd jer! Tik Tak, Tik Tak, Tik Tak!
NSA, hvis hovedkvarter ligesom Baltimore ligger i staten Maryland, har ikke kommenteret artiklen, men benægter via Maryland-kongresmanden Dutch Ruppersberger, at EternalBlue blev anvendt i Baltimore-angrebet.
– Der er intet, der tyder på, at EternalBlue blev anvendt i ransomware-angrebet mod Baltimore, fortalte kongresmanden, efter han var blevet briefet af, hvad han betegnede som højtstående NSA-folk.
Journalisterne fra The New York Times står dog fast på deres artikel og siger, at deres oplysninger kommer fra kilder fra fire forskellige sikkerhedsfirmaer, der er involveret i oprydningsarbejdet i Baltimores netværk efter ransomwarens hærgen.
Bystyret har i skrivende stund nægtet at betale løsesum, og en måned efter angrebet er skaden opgjort til omkring 120 millioner kroner, ligesom mange af bystyrets ansatte har måttet ty til papirbaserede arbejdsgange.
Microsoft udsendte en patch i 2017, der lukker for angreb via EternalBlue, men ifølge sikkerhedsfirmaet ESET toppede anvendelsen af EternalBlue så sent som mellem februar og marts i år.
Det kan måske undre, at der, så lang tid efter en patch blev udsendt, stadig findes upatchede maskiner. Men ikke hvis man spørger sikkerhedseksperten Peter Kruse fra CSIS.
– Jo, men hvis du synes, det er underligt, hvad siger du så til, at hovedparten af inficerede maskiner i Danmark er inficeret af Conficker? spørger han.
Microsoft udsendte en patch til Conficker-ormen i 2008, men der er stadig over 22.000 maskiner i Danmark, der er inficerede med Conficker.
– Der er rigtig mange virksomheder, der ikke har styr på deres opdateringsprocedurer, siger Peter Kruse.
