Kontakta oss

Analysen efter dataintrånget är klar

Publicerat 12 januari 2023

På kvällen den 12 december 2022 noterades att stora mängder data kopierades ut från kommunernas nätverk. För att hindra den okända kopieringen stängdes förbindelserna till Internet ner. Analysen visade sedan att de kriminella aktörerna tog sig in i våra IT-system den 16 november 2022 via en då okänd sårbarhet i mailservrarna i Mörbylånga kommun. Analysen visade också att totalt 85 GB data kopierats från Mörbylångas IT-miljö, dock går det inte se vilken data som kopierats.
”På våra servrar hade aktören installerat verktyg för fjärrstyrning och krypteringsprogram. Med största sannolikhet planerade aktören att kryptera vår information för att sedan kunna kräva pengar mot dekrypteringsnyckeln. Den kopierade informationen kan också tänkas användas i utpressningssyfte”, säger Niklas Palmqist, it-chef.
Med hjälp av Truesec har vår IT-miljö rensats från skadlig kod, sårbarheten har åtgärdats och alla lösenord är nya med högre krav på komplexitet.

Analysen visar att aktören med största sannolikhet har kopplingar till den ryska gruppen ”Cuba Ransomware”. De har varit aktiva sedan 2020 och har tjänat stora summor på att utpressa organisationer genom kryptering av data eller hot om att publicera information som de kommit över.

”Kommunen fortsätter nu att utveckla informationssäkerhetsarbetet så att vi säkerställer att vi hanterar digital information på ett tryggt sätt”, säger kommunchef Jens Odevall.

Händelser

  • 18 november: Aktören lyckas via en sårbarhet ta full kontroll över mailservern i Mörbylånga. Via denna har aktören sedan kommit åt andra servrar och på det viset användarnamn och lösenord till konton med fullständiga rättigheter i Mörbylångas användardatabas.
  • 16-23 november: Aktören hoppar runt bland servrar och installerar verktyg för fjärrstyrning och skadlig kod.
  • 2 december – 9 december: Efter nio dagars inaktivitet fortsätter aktören och kommer nu åt Borgholms användardatabas.
  • 12 december klockan 10.22: Kopiering av data startas från Mörbylångas IT-miljö i tre sessioner.
  • 12 december klockan 16:17: Kopiering av 4 GB data slutfördes.
  • 12 december klockan 20: IT-avdelningen blir uppmärksammade på att kopieringen pågår.
  • 12 december klockan 21.58: Internet stängs ner och kopieringen avbryts. I de två avbrutna sessionerna kopierades 37,7 GB och 45,8 GB.
  • 12 december – 19 december: Truesec tillsammans med personal på IT-avdelningen analyserar och rensar, återställer eller installerar om servrar. Interna system är igång så att verksamheterna ändå kan komma åt tex journaler.
  • 19 december klockan 20:00: Vi är säkra på att all skadlig kod är borta, servrarna är igång, Internetförbindelserna är igång och vi har tagit emot all mail som väntat i kö.

Orsaker

Med hjälp av en användares inloggningsuppgifter lyckas de använda en sårbarhet som inte var känd, så kallad zero-day.
Virusskyddet på många av Mörbylångas servrar, notifierade endast om skadlig kod utan att åtgärda. På två skrivarservrar som användes av aktören saknades virusskydd helt. Loggarna som innehåller notifieringarna om skadlig kod redan den 16 november lästes aldrig.
Lösenorden på två opersonliga konton med stora rättigheter var för enkla så att de kunde maskinellt knäckas.

Åtgärder

• Alla användare har fått nya lösenord och sedan bytt till egna med mer komplexitet.

• Alla systemkonton och servicekonton har fått nya och mer komplexa lösenord.

• Webbmailen är nu åtkomlig via en proxytjänst som kräver multifaktor-inloggning.

• Tjänsten Active-Sync, som inte stödjer multifaktor-inloggning, är inaktiverad.

• Ett fåtal servrar har återställts till datum innan 16/11.

• Ett fåtal servrar har installerats om.

 

 

Hoppa till innehåll