Vi støtter nettlesere, ikke dinosaurer. Oppdater nettleseren hvis du vil se innholdet på dette nettstedet riktig.

Er du ikke sikker på hvilken løsning som passer best for bedriften?
Hjelp meg med å velge
Skip to main content
  1. For bedrifter
  2. Ressurser
  3. Baltimore-ransomware
Kasusstudie

Løsepengevirus i Baltimore

Løsepengevirusangrepet i Baltimore i mai i 2019 berørte næringsliv, myndigheter og offentlige tjenester i stor skala og skapte kaos, og det kostet opp imot 18 millioner dollar å rette opp skadene. Vi beskriver hvordan angrepet ble utført, hvilke konsekvenser det hadde og hva bedrifter kan lære av disse hendelsene for å beskytte seg mot løsepengevirus.

Beskytt bedriften mot løsepengevirus med Avast Business Server Antivirus

Beskytt bedriften mot løsepengevirus

Når skjedde Baltimore-angrepet?

Angrepet med løsepengevirus mot Baltimore skjedde 7. mai i 2019 og sammenfalt med en allerede turbulent periode for byen. Tidligere ordfører Catherine Pugh hadde nettopp fratrådt 2. mai etter en skandale som førte til en kriminell siktelse og fengselsstraff. Etterfølgeren Bernard C. Young tok over vervet 9. mai. Hackere angrep byens digitale infrastruktur på et tidspunkt da datasikkerheten ikke var prioritert. Angrepet pågikk i over to uker.

Hendelsen i 2019 var andre gang byen ble offer for et datasikkerhetsbrudd. I mars i 2018 satte et angrep med løsepengevirus byens beredskapstjenester ut av drift i over 12 timer, og den 25. november 2020 rammet et løsepengevirusangrep fylkets skolesystem med 170 skoler, flere utdanningssystemer og 115 000 elever.

Hvordan skjedde Baltimore-angrepet?

Den 7. mai 2019 sendte Baltimore Department of Public Works en tweet om at e-posttjenesten ikke var tilgjengelig. Driftsstansen spredte seg deretter til telefonsambandet. Det utviklet seg raskt en dominoeffekt over hele byen som rammet nærmere 10 000 systemer inkludert de i kollektivtransporten.

Et angrepsforsøk mot beredskapstelefonsambandet lignet på et vellykket angrep med løsepengevirus mot byen i 2018, og dette vekket mistanke. Byen klarte i samarbeid med FBI å avdekke at de hadde blitt offer for RobbinHood-løsepengeviruset.

Hackerne brukte RobbinHood til å stenge byens ansatte ute fra alle operativsystemer, holdt dataene som gissel og blokkerte tilgangen til alle systemer og programmer. To dager etter det første angrepet kom hackerne med et løsepengekrav til den nye ordføreren. De forlangte tre bitcoin per låst system eller 13 bitcoin (på den tiden rundt 76 000 dollar) for å gi tilgang til alle systemene igjen. Kravet advarte også om at løsepengene ville øke med 10 000 dollar per dag fra 11. mai hvis kravet ikke ble betalt og at alle berørte data ville bli slettet permanent.

Hva er RobbinHood?

RobbinHood er et avansert løsepengevirus som bruker metoder som ligner det vi har sett i andre avanserte typer løsepengevirus som Ryuk, Locky og Petya, som får tilgang via hacking av Remote Desktop Protocol (RDP). Dette gjør at hackerne kan bryte forbindelsen mellom maskinvaren og nettverket, uskadeliggjøre datasikkerhetsforsvaret (og gjenopprettingsprogramvare) og begrense tilgang til alle filer og mapper ved hjelp av kryptering. Dette gjør eventuell gjenoppretting av data umulig hvis ikke løsepenger betales i bytte mot en dekrypteringsnøkkel.

Hvordan svarte byen på angrepet?

Da ordfører Young ble informert om at byen hadde blitt rammet av et angrep, kunngjorde han at en stor del av byens tjenester ble midlertidig erstattet av manuelle prosesser og at mange offentlige tjenester ikke var tilgjengelige, blant annet byens kortbetalingssystem som innbyggerne brukte til å betale eiendomsskatt og parkeringsgebyrer. Han meldte også at byen samarbeidet med FBI og tekniske eksperter som Microsoft for å få alle systemer i gang igjen. Han innrømmet at det kunne ta uker eller måneder å gjenopprette alt, siden flere systemer måtte bygges opp på nytt.

Byens ansatte hadde ikke tilgang til e-postsystemet på to uker. De opprettet derfor Gmail-kontoer for å oppveie for skaden og gjøre det mulig for folk å betale for nødvendige tjenester som vannforsyning. Dessverre vekket denne opprettelsen av en masse kontoer på kort tid mistanke i Googles søppelpostsystemer, slik at kontoene ble blokkert. Etter at Google fikk beskjed om årsaken, åpnet de kontoene igjen.

USAs National Security Agency (NSA) fikk av mange skylden for angrepet fordi man trodde at hackerne brukte utnyttelsesverktøyet EternalBlue (som var laget av NSA) til å trenge inn i Windows-systemer. Verktøyet ble stjålet og lekket av gruppen Shadow Brokers i april i 2017, og det ble et populært verktøy i utvikling av løsepengevirus, og derfor trodde mange at det ble brukt også i dette angrepet.

NSA-seniorrådgiver Rob Joyce svarte at fokuset på EternalBlue var kortsynt, siden Microsoft hadde levert rettelser som motvirket EternalBlue og Baltimore hadde hatt over to år på seg til å tette dette og andre sikkerhetshull i IT-infrastrukturen. Videre analyse av angrepet viste ifølge sikkerhetseksperten Joe Stewart at det ikke fantes spor av EternalBlue i koden til løsepengeviruset, men at det kunne ha bidratt til spredningen av den skadelige programvaren.

Betalte Baltimore løsepenger?

Baltimore betalte ikke løsepenger til tross for økt press fordi hackerne publiserte sensitive data om offentlige ansatte og truet med å fortsette med det. De fleste av byens operativsystemer var i gang igjen i midten av juni, og systemer som håndterte blant annet e-sertifikater, eiendomstransaksjoner og ansatte var i full drift i slutten av måneden.

Ordfører Young offentliggjorde en video på Twitter som svar på kritikken og oppfordringer fra publikum om å betale løsepenger. Han uttalte:

«For det første har både Secret Service og FBI rådet oss til ikke å betale. For det andre så er det ikke sånn vi jobber. Vi belønner ikke kriminell adferd. Hvis vi betaler løsepenger, er det ingen garanti for at de kan eller vil låse opp systemene våre.»

«Vi har ingen mulighet til å spore betalingen eller bekrefte hvem vi betaler til. Måten de krevde betaling på gjør at det ikke er mulig å vite om de legger igjen annen skadelig programvare på systemene våre for å ta data som gissel i fremtiden. Vi ville uansett ha vært nødt til å treffe alle disse tiltakene for å sørge for et trygt og sikkert miljø. Jeg er overbevist om at vi har valgt riktig tilnærming.»

Driftssjef Sheryl Goldstein la til:

«Føderale etterforskere rådet oss til å ikke betale løsepenger. Erfaringer viser at det er mindre enn 50 % sjanse for å få tilbake data selv om man betaler løsepenger, og man må uansett gå gjennom hele systemet for å sørge for at alt skadelig er fjernet. Vi kunne ikke bare sette i gang systemer igjen og håpe at alt er borte, så mye av denne kostnaden måtte vi tatt uansett.»

Hva var konsekvensene av løsepengevirusangrepet i Baltimore?

Angrepet mot Baltimore i 2019 pågikk i en måned, og det kostet nærmere 18,2 millioner dollar å fikse tjenesteavbrudd, gjenopprette data og systemer og anskaffe ny maskinvare. Beløpet inkluderer også tapte eller forskjøvne inntekter. 35 % av de over 10 000 kommunalt ansatte fikk tilbake tilgangen til brukerkontoene sine i løpet av denne perioden, og i løpet av noen måneder hadde 95 % av brukerne blitt gjenopprettet.

Løsepengevirusangrepet i Baltimore lignet på det som rammet Atlanta i 2018, hvor også flere offentlige etater og tjenester ble påvirket slik at alt måtte utføres manuelt.

Baltimore havnet likevel ikke i samme situasjon som det offentlige sykehussystemet i Storbritannia, hvor driftskritiske tjenester ble satt ut av spill. Beredskapsetatene i Baltimore ble ikke direkte påvirket av RobbinHood-angrepet og kunne fortsette driften. Det rammet derimot eiendomsmarkedet i Baltimore, og det var ikke mulig å fullføre eiendomssalg før mot slutten av juni.

Baltimore ble kritisert fordi det var det andre angrepet med løsepengevirus på 15 måneder, men byen har siden truffet forebyggende tiltak for å sørge for at det ikke skjer igjen. Tiltakene inkluderer etablering av en datasikkerhetskomite under ledelse av bystyreformann Brandon Scott. Komiteen arbeidet med en grundig gjennomgang av byens sårbarheter og reaksjonen på angrepet for å foreslå ny politikk, praksis og teknologi for å utvikle en robust IT-infrastruktur.

Angrepet på Baltimores skolesystem i 2020

Det offentlige skolesystemet i Baltimore ble offer for et tredje løsepengevirusangrep mot byen den 24. november 2020, bare to dager før Thanksgiving. Til tross for to tidligere, høyprofilerte løsepengevirusangrep mot byen, var tiltakene som skulle beskytte store mengder sensitive data svake. Alle konfidensielle data og tilknyttede skolesystemer ble kryptert av angriperne, og det påvirket alle deler av skolesystemet i Baltimore.

Selv om det eksisterte sikkerhetskopier av dataene, kostet gjenopprettingen over 8 millioner dollar. Over 9000 bærbare datamaskiner ble installert på nytt (harddiskene ble slettet og nye operativsystemer ble installert) etter angrepet. Også elevers datamaskiner måtte gjenopprettes. Noen data og læreplaner gikk tapt for alltid, og skolens datanettverk måtte bygges opp igjen fra grunnen.

Hendelsen forårsaket omfattende avbrudd i fjernutdanningsmulighetene for nærmere 115 000 elever, noe som kom på et svært ugunstig tidspunkt midt i COVID-19-pandemien. Over tid har overgangen til mer fjernarbeid ført til et økende antall endepunkter, noe som skaper ytterligere risiko for datasikkerheten.

Der er ikke kjent om Baltimore betalte løsepenger, men skolesystemet i byen har vedtatt noen tiltak:

  • bygge opp igjen og styrke IT-infrastrukturen
  • innføre nye prosesser som godkjenning med flere faktorer for alle ansatte
  • installere nestegenerasjons brannmur og utvidet enhetsbeskyttelse

På tross av dette, i 2021 bemerket lederen av lærerforeningen i Baltimore, Cindy Sexton, at avbruddene ikke var løst for visse systemer, blant annet lønnskjøringssystemet, slik at mange ansatte enten ble overbetalt, underbetalt eller fikk for sen betaling.

Hva kan vi lære av løsepengevirusangrepene i Baltimore?

Selv om løsepengekravet var langt lavere enn kostnadene ved å gjenopprette driften etter nettangrepet, presiserte ordfører Young grunnene til at løsepenger ikke bør betales:

  • Hackere skal ikke belønnes for kriminell oppførsel, siden det kan åpne for flere angrep med løsepengevirus i fremtiden.
  • Det er ingen garanti for at systemer og tilknyttede data låses opp hvis løsepenger betales.

Løsepengevirusangrepene i Baltimore understreker farene med utdatert sikkerhetsprogramvare og svak IT-sikkerhetspraksis. Løsepengevirus kan koste bedriften tusener eller millioner å rette opp, og i tillegg kommer skaden på omdømmet. Det er helt avgjørende med proaktive tiltak for å oppdatere datasikkerhetsprosessene, blant annet:

La Avast beskytte bedriften mot angrep med løsepengevirus

Treff helt nødvendige sikkerhetstiltak for å forsvare og beskytte bedriften mot trusselen fra løsepengevirus. Invester i antivirusprogramvare for bedrifter som kan sikre Windows-servere, rette opp sårbarheter og oppdage og forebygge skadelig aktivitet på nettverkene.

Beskytt bedriften mot løsepengevirus
Lukk

Nesten ferdig!

Fullfør installasjonen ved å klikke på den nedlastede filen og følge veiledningen på skjermen.

Starter nedlasting …
Merk: Hvis nedlastingen ikke startet automatisk, klikker du her.
Klikk på denne filen for å starte installasjonen av Avast.
Norge
Privat
Bedrifter
For partnere
Firma
© 2024 Gen Digital Inc. Med enerett.
Personvernerklæring Produktpolicy Juridisk Rapporter sårbarhet Kontakt oss om sikkerhet Erklæring om moderne slaveri Abonnementsinformasjon