ransomware

Baltimore Blues: En amerikansk storby cyberlammes

En række vitale it-systemer i Baltimore blev lammet som følge af et ransom­­wareangreb. EternalBlue, der stammer fra den amerikanske efterretningstjeneste NSA, skulle efter sigende være våbnet.

– Vi har holdt øje med jer i dagevis. Vi vil ikke sige mere. Det eneste, vi behøver, er PENGE! Skynd jer! Tik Tak, Tik Tak, Tik Tak!

Sådan lød beskeden til bystyret i Baltimore, da tusindvis af bystyrets ansatte ikke kunne anvende deres computere tirsdag 7. maj. Beskeden var fra en eller flere hackere, der stod bag et omfattende ransomware-angreb mod Baltimore.

Omkring 10.000 computere på bystyrets netværk fik krypteret deres harddiske, hvilket betød, at ansatte ikke kunne få adgang til vigtige it-systemer, ligesom indbyggere ikke kunne betale deres vandregninger, parkeringsbøder og andet. Hvis bystyret betalte en løsesum på 13 bitcoins – omkring 800.00 kroner – lovede bagmændene at dekryptere de gidseltagne data. Havnebyen Baltimore er den største by i staten Maryland og ligger lidt over 60 kilometer nordøst for den amerikanske hovedstad Washington DC. Den amerikanske nationalsang 'Star-Spangled Banner' blev skrevet i Baltimore, så det er en by, der er snublende nær både den amerikanske hovedstad og den amerikanske nationalfølelse, som blev lammet af hackerne.

Ransomwaren er kendt som RobbinHood, men i en artikel i The New York Times fra 25. maj hævdes det, at EternalBlue blev brugt til at sprede malwaren til computere på bystyrets netværk.

NSA-udviklet våben

EternalBlue er interessant, da det stammer fra den amerikanske efterretningstjeneste NSA, som gennem mange år har udviklet offensive cybervåben baseret på nuldagssårbarheder. For en del år siden fandt NSA en sårbarhed i Windows' Server Message Block (SMB)-protokollen, men i stedet for at orientere Microsoft om sårbarheden, valgte NSA at udvikle et værktøj, EternalBlue, der udnytter sårbarheden.

Det er uklart hvordan, men den mystiske hackergruppe Shadow Brokers fik fingrene i EternalBlue samt en række andre hackerværktøjer fra NSA, og den 14. april 2017 lækkede Shadow Brokers EternalBlue online. EternalBlue blev siden anvendt i det verdensomfattende WannaCry-angreb 12. maj 2017 og NotPetya-angrebet 27. juni samme år, som blandt andet kom til at koste Mærsk et par milliarder kroner.

The New York Times-artiklen nævner, at andre amerikanske byer som San Antonio og Allentown også er blevet udsat for EternalBlue-baserede angreb.

 

Vi har holdt øje med jer i dagevis. Vi vil ikke sige mere. Det eneste, vi behøver, er PENGE! Skynd jer! Tik Tak, Tik Tak, Tik Tak!
- Hackerbesked

NSA, hvis hovedkvarter ligesom Baltimore ligger i staten Maryland, har ikke kommenteret artiklen, men benægter via Maryland-kongresmanden Dutch Ruppersberger, at EternalBlue blev anvendt i Baltimore-angrebet.
– Der er intet, der tyder på, at EternalBlue blev anvendt i ransomware-angrebet mod Baltimore, fortalte kongresmanden, efter han var blevet briefet af, hvad han betegnede som højtstående NSA-folk.

Journalisterne fra The New York Times står dog fast på deres artikel og siger, at deres oplysninger kommer fra kilder fra fire forskellige sikkerhedsfirmaer, der er involveret i oprydningsarbejdet i Baltimores netværk efter ransomwarens hærgen.

Bystyret har i skrivende stund nægtet at betale løsesum, og en måned efter angrebet er skaden opgjort til omkring 120 millioner kroner, ligesom mange af bystyrets ansatte har måttet ty til papirbaserede arbejdsgange.

 

Upatchede maskiner

Microsoft udsendte en patch i 2017, der lukker for angreb via EternalBlue, men ifølge sikkerhedsfirmaet ESET toppede anvendelsen af EternalBlue så sent som mellem februar og marts i år.

Det kan måske undre, at der, så lang tid efter en patch blev udsendt, stadig findes upatchede maskiner. Men ikke hvis man spørger sikkerhedseksperten Peter Kruse fra CSIS.
– Jo, men hvis du synes, det er underligt, hvad siger du så til, at hovedparten af inficerede maskiner i Danmark er inficeret af Conficker? spørger han.

Microsoft udsendte en patch til Conficker-ormen i 2008, men der er stadig over 22.000 maskiner i Danmark, der er inficerede med Conficker.
– Der er rigtig mange virksomheder, der ikke har styr på deres opdateringsprocedurer, siger Peter Kruse.


Læs også...

Ole Tange, it-politisk rådgiver i PROSA, har i denne uge indsendt en klage over Danmarks Radio til Datatilsynet. Det skyldes DRs krav om obligatorisk…

Er du på jagt efter et nyt job i it-branchen? Og er du i tvivl om, hvad virksomhederne især kigger efter? PROSAbladet har spurgt en række…

Fra Baltikums største sciencepark i udkanten af Tallinn sikrer Tehnopol, at hundredvis af startups kommer flyvefærdigt ud i virkeligheden. De får…

Estiske børn og unge får praktisk talt tech ind med modermælken, da it og tech-gadgets er en helt central del af hverdagen i både børnehaver,…

I Estland har borgerne kunne stemme digitalt siden 2005. Der har været kritik og debat, men i dag er det mere end halvdelen af esterne, der bruger…

Hvis man i Estland gerne vil skifte spor i sin karriere, er der en lang række muligheder for at videreuddanne sig inden for it. Skoler og online…

I denne udgave af PROSAbladet har vi lavet et tema-nummer om Estland. Det er sjældent, at vi giver så meget spalteplads til et tema – men det baltiske…

Pulserende krea-værksted klæder estiske børn på med både tech-skills og startup-mentalitet. Der er ingen læreplaner eller kedelige eksamener, men 3D…

Det minder om en blanding af X Factor og Den store bagedyst, og det lægger på 15. år gaderne øde i Estland. Velkommen til tv-talentshowet Rakett69,…

Estland har rykket sig ufattelig langt de seneste 30 år – men hvad skal der ske nu? En af udfordringerne er, at Estland kommer til at mange hænder og…