ransomware

Baltimore Blues: En amerikansk storby cyberlammes

En række vitale it-systemer i Baltimore blev lammet som følge af et ransom­­wareangreb. EternalBlue, der stammer fra den amerikanske efterretningstjeneste NSA, skulle efter sigende være våbnet.

– Vi har holdt øje med jer i dagevis. Vi vil ikke sige mere. Det eneste, vi behøver, er PENGE! Skynd jer! Tik Tak, Tik Tak, Tik Tak!

Sådan lød beskeden til bystyret i Baltimore, da tusindvis af bystyrets ansatte ikke kunne anvende deres computere tirsdag 7. maj. Beskeden var fra en eller flere hackere, der stod bag et omfattende ransomware-angreb mod Baltimore.

Omkring 10.000 computere på bystyrets netværk fik krypteret deres harddiske, hvilket betød, at ansatte ikke kunne få adgang til vigtige it-systemer, ligesom indbyggere ikke kunne betale deres vandregninger, parkeringsbøder og andet. Hvis bystyret betalte en løsesum på 13 bitcoins – omkring 800.00 kroner – lovede bagmændene at dekryptere de gidseltagne data. Havnebyen Baltimore er den største by i staten Maryland og ligger lidt over 60 kilometer nordøst for den amerikanske hovedstad Washington DC. Den amerikanske nationalsang 'Star-Spangled Banner' blev skrevet i Baltimore, så det er en by, der er snublende nær både den amerikanske hovedstad og den amerikanske nationalfølelse, som blev lammet af hackerne.

Ransomwaren er kendt som RobbinHood, men i en artikel i The New York Times fra 25. maj hævdes det, at EternalBlue blev brugt til at sprede malwaren til computere på bystyrets netværk.

NSA-udviklet våben

EternalBlue er interessant, da det stammer fra den amerikanske efterretningstjeneste NSA, som gennem mange år har udviklet offensive cybervåben baseret på nuldagssårbarheder. For en del år siden fandt NSA en sårbarhed i Windows' Server Message Block (SMB)-protokollen, men i stedet for at orientere Microsoft om sårbarheden, valgte NSA at udvikle et værktøj, EternalBlue, der udnytter sårbarheden.

Det er uklart hvordan, men den mystiske hackergruppe Shadow Brokers fik fingrene i EternalBlue samt en række andre hackerværktøjer fra NSA, og den 14. april 2017 lækkede Shadow Brokers EternalBlue online. EternalBlue blev siden anvendt i det verdensomfattende WannaCry-angreb 12. maj 2017 og NotPetya-angrebet 27. juni samme år, som blandt andet kom til at koste Mærsk et par milliarder kroner.

The New York Times-artiklen nævner, at andre amerikanske byer som San Antonio og Allentown også er blevet udsat for EternalBlue-baserede angreb.

 

Vi har holdt øje med jer i dagevis. Vi vil ikke sige mere. Det eneste, vi behøver, er PENGE! Skynd jer! Tik Tak, Tik Tak, Tik Tak!
- Hackerbesked

NSA, hvis hovedkvarter ligesom Baltimore ligger i staten Maryland, har ikke kommenteret artiklen, men benægter via Maryland-kongresmanden Dutch Ruppersberger, at EternalBlue blev anvendt i Baltimore-angrebet.
– Der er intet, der tyder på, at EternalBlue blev anvendt i ransomware-angrebet mod Baltimore, fortalte kongresmanden, efter han var blevet briefet af, hvad han betegnede som højtstående NSA-folk.

Journalisterne fra The New York Times står dog fast på deres artikel og siger, at deres oplysninger kommer fra kilder fra fire forskellige sikkerhedsfirmaer, der er involveret i oprydningsarbejdet i Baltimores netværk efter ransomwarens hærgen.

Bystyret har i skrivende stund nægtet at betale løsesum, og en måned efter angrebet er skaden opgjort til omkring 120 millioner kroner, ligesom mange af bystyrets ansatte har måttet ty til papirbaserede arbejdsgange.

 

Upatchede maskiner

Microsoft udsendte en patch i 2017, der lukker for angreb via EternalBlue, men ifølge sikkerhedsfirmaet ESET toppede anvendelsen af EternalBlue så sent som mellem februar og marts i år.

Det kan måske undre, at der, så lang tid efter en patch blev udsendt, stadig findes upatchede maskiner. Men ikke hvis man spørger sikkerhedseksperten Peter Kruse fra CSIS.
– Jo, men hvis du synes, det er underligt, hvad siger du så til, at hovedparten af inficerede maskiner i Danmark er inficeret af Conficker? spørger han.

Microsoft udsendte en patch til Conficker-ormen i 2008, men der er stadig over 22.000 maskiner i Danmark, der er inficerede med Conficker.
– Der er rigtig mange virksomheder, der ikke har styr på deres opdateringsprocedurer, siger Peter Kruse.


Læs også...

Antallet af kvinder på IT-uddannelser er i følge Dansk Industri faldet i 2024. Det sker trods flere år med kampagner og fokus på at tiltrække kvinder…

Danmarks Radios krav om login lever ikke op til GDPR-regler. Det fastslår IT-politisk rådgiver, Ole Tange, efter at have set et svarskrift fra…

Hvor langt skal du egentlig acceptere at skulle transportere dig ekstra, når dit arbejdssted flytter? Læs med her.

Stor jubel i Landstingssalen på Christiansborg, da høring om datasuverænitet langt hen ad vejen handlede om at smide big tech på porten og lukke…

Arbejdsgiver har ansvar for at sikre arbejdsmiljøet ved hjemmearbejde. Det fastslår en ny afgørelse fra Højesteret, hvor en kvinde kom til skade under…

Kvinder tjener i snit 12,6 procent mindre end mænd, og kvinders pensionsopsparing er 26 procent mindre end mænds. Det er to af de kedelige facts, som…

Der er tilfredshed i PROSA, efter at PET-lovændring er udskudt. IT-fagforeningen sendte forleden et åbent brev til justitsministeren, som påpegede…

Vi har hørt det uendelig mange gange: Der mangler kvinder i tech. Og vi får gang på gang at vide, at det er et problem, at piger ikke er interesserede…

Hvis du er uheldig og bliver syg, imens du holder ferie, er det vigtigt, at du husker at melde dig syg. Men får du løn under sygdommen, og kan du få…

Big tech er ved at kvæle rigtige fællesskaber med zombie-scrolling. Den faglige kamp har brug for, at de unge møder op og giver en injektion af…