ransomware

Baltimore Blues: En amerikansk storby cyberlammes

En række vitale it-systemer i Baltimore blev lammet som følge af et ransom­­wareangreb. EternalBlue, der stammer fra den amerikanske efterretningstjeneste NSA, skulle efter sigende være våbnet.

– Vi har holdt øje med jer i dagevis. Vi vil ikke sige mere. Det eneste, vi behøver, er PENGE! Skynd jer! Tik Tak, Tik Tak, Tik Tak!

Sådan lød beskeden til bystyret i Baltimore, da tusindvis af bystyrets ansatte ikke kunne anvende deres computere tirsdag 7. maj. Beskeden var fra en eller flere hackere, der stod bag et omfattende ransomware-angreb mod Baltimore.

Omkring 10.000 computere på bystyrets netværk fik krypteret deres harddiske, hvilket betød, at ansatte ikke kunne få adgang til vigtige it-systemer, ligesom indbyggere ikke kunne betale deres vandregninger, parkeringsbøder og andet. Hvis bystyret betalte en løsesum på 13 bitcoins – omkring 800.00 kroner – lovede bagmændene at dekryptere de gidseltagne data. Havnebyen Baltimore er den største by i staten Maryland og ligger lidt over 60 kilometer nordøst for den amerikanske hovedstad Washington DC. Den amerikanske nationalsang 'Star-Spangled Banner' blev skrevet i Baltimore, så det er en by, der er snublende nær både den amerikanske hovedstad og den amerikanske nationalfølelse, som blev lammet af hackerne.

Ransomwaren er kendt som RobbinHood, men i en artikel i The New York Times fra 25. maj hævdes det, at EternalBlue blev brugt til at sprede malwaren til computere på bystyrets netværk.

NSA-udviklet våben

EternalBlue er interessant, da det stammer fra den amerikanske efterretningstjeneste NSA, som gennem mange år har udviklet offensive cybervåben baseret på nuldagssårbarheder. For en del år siden fandt NSA en sårbarhed i Windows' Server Message Block (SMB)-protokollen, men i stedet for at orientere Microsoft om sårbarheden, valgte NSA at udvikle et værktøj, EternalBlue, der udnytter sårbarheden.

Det er uklart hvordan, men den mystiske hackergruppe Shadow Brokers fik fingrene i EternalBlue samt en række andre hackerværktøjer fra NSA, og den 14. april 2017 lækkede Shadow Brokers EternalBlue online. EternalBlue blev siden anvendt i det verdensomfattende WannaCry-angreb 12. maj 2017 og NotPetya-angrebet 27. juni samme år, som blandt andet kom til at koste Mærsk et par milliarder kroner.

The New York Times-artiklen nævner, at andre amerikanske byer som San Antonio og Allentown også er blevet udsat for EternalBlue-baserede angreb.

 

Vi har holdt øje med jer i dagevis. Vi vil ikke sige mere. Det eneste, vi behøver, er PENGE! Skynd jer! Tik Tak, Tik Tak, Tik Tak!
- Hackerbesked

NSA, hvis hovedkvarter ligesom Baltimore ligger i staten Maryland, har ikke kommenteret artiklen, men benægter via Maryland-kongresmanden Dutch Ruppersberger, at EternalBlue blev anvendt i Baltimore-angrebet.
– Der er intet, der tyder på, at EternalBlue blev anvendt i ransomware-angrebet mod Baltimore, fortalte kongresmanden, efter han var blevet briefet af, hvad han betegnede som højtstående NSA-folk.

Journalisterne fra The New York Times står dog fast på deres artikel og siger, at deres oplysninger kommer fra kilder fra fire forskellige sikkerhedsfirmaer, der er involveret i oprydningsarbejdet i Baltimores netværk efter ransomwarens hærgen.

Bystyret har i skrivende stund nægtet at betale løsesum, og en måned efter angrebet er skaden opgjort til omkring 120 millioner kroner, ligesom mange af bystyrets ansatte har måttet ty til papirbaserede arbejdsgange.

 

Upatchede maskiner

Microsoft udsendte en patch i 2017, der lukker for angreb via EternalBlue, men ifølge sikkerhedsfirmaet ESET toppede anvendelsen af EternalBlue så sent som mellem februar og marts i år.

Det kan måske undre, at der, så lang tid efter en patch blev udsendt, stadig findes upatchede maskiner. Men ikke hvis man spørger sikkerhedseksperten Peter Kruse fra CSIS.
– Jo, men hvis du synes, det er underligt, hvad siger du så til, at hovedparten af inficerede maskiner i Danmark er inficeret af Conficker? spørger han.

Microsoft udsendte en patch til Conficker-ormen i 2008, men der er stadig over 22.000 maskiner i Danmark, der er inficerede med Conficker.
– Der er rigtig mange virksomheder, der ikke har styr på deres opdateringsprocedurer, siger Peter Kruse.


Læs også...

AI vil påvirke voldsomt mange arbejdsopgaver og måden at arbejde på. En stor mængde unge risikerer at ramme arbejdsmarkedet i hård konkurrence med en…

I takt med tiden: PROSA har fået nyt logo og nyt payoff/slogan. Der er tale om en modernisering, som skal signalere endnu tættere bånd til det, som…

Vi skal fokusere meget mere på det, som italieneren Mario Draghi sagde i september 2024. Det mener Stephen Alstrup, der er professor på Datalogisk…

Erhvervsakademierne har fået godkendt en ny professionsbachelor i cybersikkerhed. Det vækker glæde hos IT-fagforeningen PROSA – også selvom den nye…

Marcus, Lucas, Karl-Emil og Arthur startede for et lille år siden virksomheden Spaak, som ved hjælp af AI-modellem Hamilton samler et 360 overblik…

Hvad var vildest i 2024, og hvad skal vi se frem til i 2025? Året er ved at rinde ud, og vi spurgt Rasmus Theilsø Madsen, der er Head of Strategy hos…

DRENGESTREGER: Fire 21-årige iværksættere og deres endnu yngre ansatte har succes med AI-modellen Hamilton, som laver politisk konsulentarbejde. De…

Året er ved at rinde ud, og vi kigger tilbage på op- og nedture i 2024. I denne omgang spørger vi Natasha Friis Saxberg, der er adm. direktør i…

I dag er omkring 80 pct. af alle AI-udviklere mænd, og det er en skævhed, der skal ændres, mener Natasha Norsker. Rollemodeller, kvindelige…

Alle – også IT-folk – har et ansvar i den grønne omstilling, og en ny bog vil sætte fokus på, hvad du helt konkret kan gøre for at sikre, at dit…