Baltimore-ransomware
Baltimore-ransomwareangrebet, der påvirkede virksomheder, myndigheder og offentlige tjenester i maj 2019 satte byen på den anden ende, og det kostede op mod $18 millioner at udbedre den forvoldte skade. Vi udforsker, hvordan Baltimore-ransomwareangrebet opstod, konsekvenserne, og hvad virksomheder kan lære fra disse hændelser for at beskytte sig mod ransomware.
Beskyt din virksomhed mod ransomware med Avast Business Server Antivirus
Hvornår skete Baltimore-angrebet?
Ransomware-angrebet i Baltimore skete 7. maj 2019 under en i forvejen turbulent tid for byen. Baltimores tidligere borgmester Catherine Pugh havde lige forladt sin stilling 2. maj efter en skandale, sigtelser og efterfølgende fængselsstraf – hendes efterfølger, Bernard C. Young, overtog hendes position 9. maj. Hackere angreb byens digitale infrastruktur på et tidspunkt, hvor byens cybersikkerhedsprioriteter var trådt i baggrunden. Angrebet varede i over to uger.
Hændelsen i 2019 var anden gang, byen havde været ramt af et databrud. I marts 2018 deaktiverede et ransomware-angreb byens nødsystemer i over 12 timer, og 25. november 2020 ramte et tredje ransomware-angreb Baltimore County Public School og påvirkede over 170 skoler, adskillige uddannelsessystemer og op til 115.000 elever.
Hvordan skete ransomware-angrebet i Baltimore?
7. maj 2019 tweetede Baltimore Department of Public Works, at deres mailtjenester ikke var tilgængelige. Svigtet udvidede sig derefter til deres telefonlinjer. Derefter blev der set en dominoeffekt gennem byen med op til 10.000 offentlige systemer, inkl. transportsystemer, der blev utilgængelige.
Det var et forsøgt cyberangreb mod nødtelefonlinjerne i stil med det vellykkede ransomware-angreb mod byen i 2018, som vækkede mistanke. Embedsfolk, der arbejdede sammen med FBI, kunne fastslå, at byen var blevet ramt af et RobbinHood-ransomware-angreb.
Hackerne brugte RobbinHood til at låse embedsfolk ude af alle operativsystemer og dermed tage alle data som gidsler og gøre alle systemer og programmer utilgængelige. To dage efter det første angreb postede hackere en løsepengeanmodning rettet mod den nye borgmester, hvor de forlangte tre bitcoins per låst systemer eller 13 bitcoin (op til $76.000) for alle systemer for at få adgangen tilbage. Anmodningen tilføjede, at beløbet ville stige med $10.000 per dag fra 11. maj, hvis betaling ikke blev foretaget, og at alle kompromitterede data ville blive slettet permanent.
Hvad er RobbinHood?
Robbinhood er en sofistikeret type ransomware, der minder om mere sofistikerede metoder, der ses hos avancerede ransomware-typer såsom Ryuk, Locky og Petya ved at tiltvinge sig adgang via hackede Remote Desktop Protocols (RDP'er). På den måde kan hackere afbryde forbindelsen mellem din associerede hardware og netværk, udslette din cybersikkerhed (samt al genoprettelsessoftware) og begrænse adgang til alle filer og mapper via kryptering. Dette vil gøre enhver potentiel gendannelse af fortrolige data umulig, medmindre der betales løsepenge mod en dekrypteringsnøgle.
Hvordan reagerede byen?
Da borgmester Young fik at vide, at byen var blevet ramt af et angreb, meddelte han officielt, at en stor del af byens funktioner midlertidigt var blevet erstattet af manuelle processer, og at mange af byens funktioner var utilgængelige – eksempelvis byens kortbetalingssystem, som borgerne brugte til at betale ejendomsskat og parkeringsbøder. Han meddelte også, at byen arbejdede sammen med FBI og teknologieksperter, f.eks. Microsoft, om at få alle systemer op at køre igen. Han erkendte, at det kunne tage uger eller sågar måneder at udbedre, da adskillige systemer skulle genopbygges.
I to uger havde kommunale medarbejdere ikke adgang til deres mailsystem. Derfor oprettede de Gmail-konti for at modvirke effekten og give borgere mulighed for at betale for essentielle services, f.eks. vandregninger. Oprettelsen af så mange konti udløste desværre Googles spamsystemer og førte til, at disse konti også blev blokeret – men da Google blev opmærksom på det, blev de åbnet igen.
National Security Agency (NSA) blev mistænkt for at være ansvarlig for ransomware-angrebet, da man troede, at hackere havde brugt exploit-værktøjet EternalBlue (udviklet tidligere af NSA) til at penetrere Windows-systemer. Værktøjet blev stjålet og lækket af Shadow Brokers i april 2017, hvor det blev et populært værktøj i ny ransomware, og derfor troede man, at det var angrebets adgangspunkt.
National Security Agency (NSA) Senior Advisor til Director for Cybersecurity Strategy, Rob Joyce, svarede, at fokusset på EternalBlue var "kortsigtet " – Microsoft sendte rettelser for at modvirke EternalBlue, og Baltimore havde over 2 år til at afhjælpe dette og enhver anden svaghed i deres IT-infrastruktur. Efter at have undersøgt angrebet yderligere afgjorde analytiker Joe Stewart, at der faktisk ikke var noget spor af EternalBlue-exploiten i ransomwarens kode, men den kunne have medvirket til udbredelse af malwaren.
Betalte Baltimore County løsepengene?
Baltimore County betalte ikke løsepengene trods øget pres fra hackere, som f.eks. frigivelse af følsomme data om kommunale medarbejdere og yderligere trusler om at frigive andre oplysninger. De fleste af byens operativsystemer var oppe at køre igen i midt juni, mens flere systemer såsom dem, der er relateret til e-tilladelser, ejendomshandel og medarbejderkonti, var fuldt funktionsdygtige inden udgangen af den måned.
Borgmester Young udgav en videomeddelelse på Twitter som svar på den offentlige kritik og opfordring til at betale løsepengene. Han meddelte:
"For det første er vi blevet rådgivet af både Secret Service og FBI til ikke at betale løsepengene. For det andet er det ikke den måde, vi arbejder på. Vi vil ikke belønne forbryderisk adfærd. Hvis vi betalte løsepengene, er der ingen garanti for, at de kan eller vil låse op for vores system."
"Der er ingen mulighed for at spore betalingen eller sågar bekræfte, hvem vi betaler pengene til. Pga. deres måde at anmode om betalingen på har vi ingen mulighed for at vide, om de efterlader anden malware på vores system, så de i fremtiden igen kan tage vores data som gidsler. I sidste ende ville vi stadig skulle tage alle de trin, vi havde taget for at sikre et sikkert og trygt miljø. Jeg er overbevist om, at vi har truffet den rette beslutning."
Borgmesterens Deputy Chief of Staff for Operations, Sheryl Goldstein, kommenterede yderligere:
"De føderale undersøgere har rådgivet os til ikke at betale løsepengene. Data viser, at du har under 50% chance for at få dine data tilbage, hvis du betaler løsepengene, og selv hvis du betaler, skal du stadig gennemsøge dit system og sikre dig, at de er helt ude af det. Du kan ikke bare få det op at køre igen og tro, at de er væk, og derfor ville vi alligevel have mange af disse omkostninger."
Hvad var konsekvenserne ved ransomware-angrebet i Baltimore?
Ransomware-angrebet mod Baltimore i 2019 varede i ca. en måned og kostede op mod $18,2 millioner for at afhjælpe funktionsafbrydelser, inkl. udbedring, ny hardware og tabt fortjeneste. 35% af de over 10.000 kommunale medarbejdere fik adgangen tilbage til deres konti på dette tidspunkt – tallet nåede 95% i de følgende måneder.
Ransomware-angrebet i Baltimore, der mindede om ransomware-angrebet i Atlanta i 2018, påvirkede offentlige myndigheder, energiforsyning og parkeringstjenester, som alle skulle behandles manuelt.
Modsat ransomware-angrebet mod NHS i Storbritannien, som i høj grad ramte missionskritiske funktioner, blev Baltimores nødafdelinger ikke direkte påvirket af RobbinHood-angrebet og forblev funktionsdygtige. Men det påvirkede Baltimores ejendomsmarked, fordi medarbejdere ikke kunne gennemføre boligsalg indtil slutningen af juni.
Som Baltimores andet ransomware-angreb på ca. 15 måneder blev byen angrebet, men har siden introduceret forebyggende foranstaltninger for at sikre, at endnu et angreb ikke forekommer. Disse inkluderer etableringen af en ny cybersikkerhedskomité med Council President Brandon Scott i front. Komitéen arbejdede på at udføre en grundig gennemgang af byens sårbarheder og reaktionen på angrebet for at introducere nye politikker, praksisser og teknologier for at udvikle en robust IT-infrastruktur.
Angrebet mod Baltimore County Public Schools i 2020
Baltimore County Public Schools blev offer for et tredje ransomware-angreb mod byen den 24. november 2020 to dage før Thanksgiving. Trods to tidligere højprofilerede ransomware-hændelser i byen var tiltag for at beskytte de enorme mængder følsomme data svage. Alle fortrolige data og tilknyttede skolesystemer blev krypteret og påvirkede "hvert aspekt af Baltimore County Public School-systemet."
Trods backups af eksisterende data anslås prisen på at genoprette systemerne til at overstige $8 millioner. Over 9.000 medarbejderlaptops blev gendannet (deres harddiske blev slettet og nye operativsystemer installeret) efter angrebet – det samme for elevenheder. Nogle data eller undervisningsplaner gik tabt for taltid, og skolenetværket skulle bygges op fra ny.
Hændelsen skabte enorme forstyrrelser af fjernlæringsfunktionerne for op til 115.000 elever, som var essentielle på det tidspunkt pga. COVID-19. Det langsigtede skift til fjern- og hybridarbejde har ført til en stigning i antallet af slutpunkter, hvilket skaber flere cyberrisici.
Selvom det ikke er bekræftet, om der er betalt løsepenge, har Baltimore County Public Schools valgt at:
- Genopbygge og forstærke deres IT-infrastruktur
- Introducere nye processer såsom multifaktorgodkendelse for alle medarbejdere
- Installere næste generations firewalls og forbedret enhedsbeskyttelse
Men i 2021 bemærkede President of the Teachers Association of Baltimore County, Cindy Sexton, at forstyrrelsen endnu ikke var afhjulpet for visse systemer, herunder institutionens lønsystemer – mange medarbejdere var blevet overbetalt, underbetalt eller skyldte betalinger med tilbagevirkende kraft.
Hvad kan man lære af ransomware-angrebene i Baltimore?
Selvom de forlangte løsepenge var langt mindre, end det kostede at udbedre angrebets skader, fremhævede borgmester Young flere grunde til, at man ikke bør betale løsepenge:
- Hackere skal ikke belønnes for deres forbryderiske adfærd, da dette kan åbne byen for flere ransomware-angreb i fremtiden
- Der er ingen garanti for, at dine systemer og associerede data bliver låst op, hvis der betales
Ransomware-angrebene i Baltimore fremhæver faren ved forældet sikkerhedssoftware og IT-praksisser. Ransomware kan koste din virksomhed tusindvis eller millioner af kroner at afhjælpe for ikke at nævne den omdømmemæssige skade. Det er altafgørende at handle proaktivt for at opdatere dine cybersikkerhedsprocesser, inkl.:
- At installere robust antivirus med indbyggede værktøjet til beskyttelse mod ransomware
- At implementere jævnlige backups
- At oprette en forretningskontinuitetsplan
- At oplære medarbejderne i grundlæggende cybersikkerhed
Lad Avast beskytte din virksomhed mod ransomware-angreb
Indfør essentielle sikkerhedstiltag for at forsvare og beskytte din virksomhed mod truslen fra ransomware-angreb. Investér i erhvervsantivirus, der kan sikre Windows-servere, afhjælpe sårbarheder og detektere samt forhindre skadelig aktivitet på tværs af dit netværk.
© 2024 Gen Digital Inc.