Dataintrång 12 december 2022

Uppdaterad: 2022-12-27, klockan 12:00

Vad har hänt?

Måndag 12 december upptäcktes ett dataintrång hos Borgholms och Mörbylånga kommun. Klockan 20 uppmärksammades kommunerna på att stora mängder data kopierades. Vår gemensamma IT-avdelning kopplade omedelbart från internet för att minimera eventuell skada och stoppa attacken.
Intrånget är polisanmält. Det finns i dagsläget ingen information om vem som ligger bakom eller varför eller vilken eventuell skada som har uppstått.
Systemen kom igång igen måndag 19 december, med vissa fördröjningar.
Analysen av vad som har hänt och vilken data som har kopierats pågår fortfarande.

Frågor och svar

Analys av dataintrånget

På kvällen den 12 december 2022 noterades att stora mängder data kopierades ut från kommunernas nätverk. För att hindra den okända kopieringen stängdes förbindelserna till Internet ner. Analysen visade sedan att de kriminella aktörerna tog sig in i våra IT-system den 16 november 2022 via en då okänd sårbarhet i mailservrarna i Mörbylånga kommun. Analysen visade också att totalt 85 GB data kopierats från Mörbylångas IT-miljö, dock går det inte se vilken data som kopierats.
”På våra servrar hade aktören installerat verktyg för fjärrstyrning och krypteringsprogram. Med största sannolikhet planerade aktören att kryptera vår information för att sedan kunna kräva pengar mot dekrypteringsnyckeln. Den kopierade informationen kan också tänkas användas i utpressningssyfte”, säger Niklas Palmqist, it-chef.
Med hjälp av Truesec har vår IT-miljö rensats från skadlig kod, sårbarheten har åtgärdats och alla lösenord är nya med högre krav på komplexitet.

Analysen visar att aktören med största sannolikhet har kopplingar till den ryska gruppen ”Cuba Ransomware”. De har varit aktiva sedan 2020 och har tjänat stora summor på att utpressa organisationer genom kryptering av data eller hot om att publicera information som de kommit över.

”Kommunen fortsätter nu att utveckla informationssäkerhetsarbetet så att vi säkerställer att vi hanterar digital information på ett tryggt sätt”, säger kommunchef Jens Odevall.

Händelser

  • 18 november: Aktören lyckas via en sårbarhet ta full kontroll över mailservern i Mörbylånga. Via denna har aktören sedan kommit åt andra servrar och på det viset användarnamn och lösenord till konton med fullständiga rättigheter i Mörbylångas användardatabas.
  • 16-23 november: Aktören hoppar runt bland servrar och installerar verktyg för fjärrstyrning och skadlig kod.
  • 2 december – 9 december: Efter nio dagars inaktivitet fortsätter aktören och kommer nu åt Borgholms användardatabas.
  • 12 december klockan 10.22: Kopiering av data startas från Mörbylångas IT-miljö i tre sessioner.
  • 12 december klockan 16:17: Kopiering av 4 GB data slutfördes.
  • 12 december klockan 20: IT-avdelningen blir uppmärksammade på att kopieringen pågår.
  • 12 december klockan 21.58: Internet stängs ner och kopieringen avbryts. I de två avbrutna sessionerna kopierades 37,7 GB och 45,8 GB.
  • 12 december – 19 december: Truesec tillsammans med personal på IT-avdelningen analyserar och rensar, återställer eller installerar om servrar. Interna system är igång så att verksamheterna ändå kan komma åt tex journaler.
  • 19 december klockan 20:00: Vi är säkra på att all skadlig kod är borta, servrarna är igång, Internetförbindelserna är igång och vi har tagit emot all mail som väntat i kö.

Orsaker

Med hjälp av en användares inloggningsuppgifter lyckas de använda en sårbarhet som inte var känd, så kallad zero-day.
Virusskyddet på många av Mörbylångas servrar, notifierade endast om skadlig kod utan att åtgärda. På två skrivarservrar som användes av aktören saknades virusskydd helt. Loggarna som innehåller notifieringarna om skadlig kod redan den 16 november lästes aldrig.
Lösenorden på två opersonliga konton med stora rättigheter var för enkla så att de kunde maskinellt knäckas.

Åtgärder

• Alla användare har fått nya lösenord och sedan bytt till egna med mer komplexitet.

• Alla systemkonton och servicekonton har fått nya och mer komplexa lösenord.

• Webbmailen är nu åtkomlig via en proxytjänst som kräver multifaktor-inloggning.

• Tjänsten Active-Sync, som inte stödjer multifaktor-inloggning, är inaktiverad.

• Ett fåtal servrar har återställts till datum innan 16/11.

• Ett fåtal servrar har installerats om.

Förlängd betygsättning

Tiden för betygsättning för elever i årskurs 6-9 förlängs till torsdag 22 december 2022. Detta för att möjliggöra för elever och lärare att få tillgång till ett så stort underlag som möjligt inför betygsättningen. Betygen kommer att skickas hem till respektive elev i början av vårterminen istället för nu. Vi hoppas förståelse i den uppkomna situationen.

Vart kan jag vända mig för mer information?

  • Kommunens servicecenter kan vägleda dig vidare i de fall du inte vet vem du ska prata med. Telefonnummer: 0485 – 880 00 
    Det går även bra att göra ett besök i servicecenter i Stadshuset på Torget i Borgholm, öpettider: 08:00-16:00.
  • Nyheter publiceras på www.borgholm.se samt på kommunens facebook.
  • För frågor som rör de kommunala bolagen kan du vända dig till Borgholm Energis kundtjänst, 0485 – 883 00