Vi har stöd för uppdaterade webbläsare. Uppdatera webbläsaren om du vill se innehållet på den här webbsidan på rätt sätt.

Är du inte säker på vilken lösning som är bäst för ditt företag?
Fallstudie

Utpressningstrojanen i Baltimore

Attacken med utpressnings­trojaner i Baltimore inträffade i maj 2019 och påverkade företag, statliga myndigheter och den offentliga sektorn i stor skala, vilket vände upp och ned på staden och kostade 18 miljoner dollar att åtgärda. Vi kommer att gå igenom hur attacken med utpressnings­trojaner genomfördes i Baltimore, konsekvenserna av den och vad företag kan göra för att lära sig av dessa incidenter och skydda sig mot utpressnings­trojaner.

Skydda ditt företag mot utpressnings­trojaner med Avast Business-serverantivirus

När ägde Baltimore-attacken rum?

Attacken med utpressnings­trojaner i Baltimore inträffade den 7 maj 2019, en tid som redan var turbulent för staden. Den tidigare borgmästaren i Baltimore, Catherine Pugh, hade precis lämnat sin post den 2 maj efter en skandal som involverade brottsanklagelser och efterföljande fängelsestraff – hennes efterträdare, Bernard C. Young, tog över rodret den 9 maj. Hackare angrep stadens digitala infrastruktur vid en tidpunkt då stadens prioriteringar för cybersäkerhet hade hamnat i skymundan. Attacken varade i över två veckor.

Händelsen 2019 var andra gången staden utsattes för ett dataintrång. I mars 2018 inaktiverade en utpressningstrojan stadens nödsystem i över 12 timmar, och den 25 november 2020 inträffade en tredje attack med utpressnings­trojaner som påverkade Baltimores över 170 kommunala skolor, flertalet utbildningssystem och upp till 115 000 elever.

Hur genomfördes attacken med utpressnings­trojaner i Baltimore?

Den 7 maj 2019 twittrade Baltimore Department of Public Works att dess e-posttjänster var otillgängliga. Driftavbrottet kom sedan att även omfatta telefonlinjerna. Efter detta sågs en dominoeffekt över hela staden där upp till 10 000 stadsförvaltningssystem, inklusive transportdepartementets, blev otillgängliga.

Det var ett försök till en cyberattack på nödtelefonlinjerna, liknande den framgångsrika attacken mot staden 2018, som väckte misstankar. Stadstjänstemän, i samarbete med FBI, kunde sedan konstatera att staden fallit offer för en attack med utpressningstrojanen RobbinHood.

De illvilliga hackarna använde RobbinHood för att låsa ute stadstjänstemän från alla operativsystem, hålla samtliga data gisslan och göra alla system och applikationer otillgängliga. Två dagar efter den första attacken lade hackare ut en begäran om en lösensumma som riktade sig till den nya borgmästaren, där man krävde tre Bitcoin per låst system eller 13 Bitcoin (då värda ca 76 000 dollar) för att ge tillbaka åtkomsten till alla system. I utpressningsmeddelandet nämndes det att lösensumman skulle öka med 10 000 dollar varje dag från och med den 11 maj om ingen betalning gjordes och att samtliga komprometterade data skulle raderas permanent.

Vad är RobbinHood?

RobbinHood är en sofistikerad typ av utpressningstrojan som återspeglar mer finslipade metoder, som har setts i avancerade typer av utpressnings­trojaner såsom Ryuk, Locky och Petya, och tar sig in via hackade Remote Desktop Protocols (RDP). Detta gör det möjligt för hackare att bryta kopplingen mellan din associerade maskinvara och ditt nätverk, förstöra ditt cybersäkerhetsförsvar (liksom all återställningsprogramvara) och begränsa åtkomsten till alla filer och mappar via kryptering. Detta gör det omöjligt att återställa konfidentiella data om inte en lösensumma betalas i utbyte mot en dekrypteringsnyckel.

Hur agerade staden?

När borgmästare Young underrättades om att staden hade utsatts för en attack gjorde han ett officiellt uttalande och nämnde att ett stort antal av stadens tjänster tillfälligt hade ersatts av manuella processer och att många tjänster var otillgängliga, såsom stadens kortbetalningssystem som lät medborgarna betala fastighetsskatt och parkeringsavgifter. Han förklarade också att staden samarbetade med FBI och teknikexperter som Microsoft för att få igång alla system igen. Han erkände att det kunde ta veckor eller till och med månader att åtgärda problemen eftersom flera system skulle behöva byggas om.

Under två veckor kunde stadens anställda inte komma åt sitt e-postsystem. Därför skapade de Gmail-konton för att motverka effekten och göra det möjligt för medborgarna att betala för viktiga tjänster, t.ex. vattenräkningar. Tyvärr ledde det storskaliga skapandet av konton till att Googles spamsystem reagerade med att blockera kontona, men efter att ha kontaktats avblockerade Google dessa konton.

National Security Agency (NSA) ansågs av många vara ansvarigt för attack eftersom man trodde att hackare hade använt exploateringsverktyget EternalBlue (tidigare skapat av NSA) för att penetrera Windows-systemen. Verktyget stals och läcktes ut av Shadow Brokers i april 2017. Det blev ett populärt verktyg för nya och utvecklade utpressnings­trojaner och ansågs därför vara åtkomstpunkten för attacken.

National Security Agencys (NSA) seniora rådgivare till chefen för cybersäkerhetsstrategi, Rob Joyce, svarade att fokus på EternalBlue var ”kortsiktigt” – Microsoft skickade ut uppdateringar för att motverka EternalBlue och det tog Baltimore över två år att åtgärda detta samt alla andra svagheter inom IT-infrastrukturen. Efter en noggrann undersökning av attacken fastställde utpressningstrojananalytikern Joe Stewart att det faktiskt inte fanns några spår av EternalBlue-exploatering i utpressningstrojanens kod, men att den kunde ha främjat spridningen av den skadliga koden.

Betalade Baltimore County lösensumman?

Baltimore County betalade inte lösensumman, trots starka påtryckningar då hackare släppte känslig information om stadens anställda och hotade att släppa ytterligare information. De flesta av stadens operativsystem var igång igen i mitten av juni och flera andra system, till exempel de som rörde e-tillstånd, fastigheter och anställdas konton, var i full drift i slutet av samma månad.

Borgmästare Young släppte ett videouttalande på Twitter som svar på den offentlig kritiken och kravet att lösensumman borde betalas. Han förklarade:

”För det första har vi fått rådet av både Secret Service och FBI att inte betala lösensumman. För det andra jobbar vi helt enkelt inte på det sättet. Vi kommer inte att belöna kriminellt beteende. Om vi betalade lösensumman finns det ingen garanti för att de kan eller kommer att låsa upp vårt system.”

”Det finns inget sätt att spåra betalningen eller ens kunna bekräfta vem vi betalar pengarna till. På grund av hur de begärde betalningen finns det inget sätt att veta om de lämnar annan skadlig kod i vårt system för att tvinga oss att betala nya lösensummor i framtiden. I slutändan skulle vi fortfarande behöva vidta alla de åtgärder som vi har vidtagit idag för att garantera en säker miljö. Jag är övertygad om att vi har valt det bästa tillvägagångssättet.”

Borgmästarens biträdande stabschef, Sheryl Goldstein, lämnade ytterligare kommentarer:

”De federala utredarna har avrått oss från att betala lösensumman. Statistiken visar att chansen att få tillbaka sina data om man betalar lösensumman är mindre än hälften, och även om man betalar lösensumman måste man fortfarande gå in i sitt system och se till att de är rensade. Man kan inte bara säkerhetskopiera det och tro att allt är borta, så vi skulle behöva bära merparten av dessa kostnader i alla fall.”

Vad var konsekvenserna av attacken med utpressnings­trojaner i Baltimore?

Attacken med utpressnings­trojaner i Baltimore 2019 varade i ungefär en månad och det kostade upp till 18,2 miljoner dollar att lösa tjänsteavbrottet, inklusive avhjälpning, ny hårdvara och förlorade eller försenade intäkter. 35 % av de över 10 000 kommunalanställda fick tillbaka åtkomsten till sina konton under denna tid – detta ökade till 95 % under de följande månaderna.

I likhet med attacken i Atlanta 2018 drabbade attacken i Baltimore myndigheter, kommunal försörjning, parkeringstjänster med mera och allt behövde hanteras manuellt.

Till skillnad från attacken med utpressnings­trojaner på NHS i Storbritannien, som avsevärt påverkade verksamhetskritiska tjänster, påverkades Baltimores akutmottagningar inte direkt av RobbinHood-attacken och förblev i drift. Den påverkade dock fastighetsmarknaden i Baltimore, där anställda inte kunde slutföra fastighetsförsäljningar förrän i slutet av juni.

I och med att det var andra gången Baltimore utsattes för en attack på ca 15 månader hamnade staden i blåsväder, men har sedan dess infört förebyggande åtgärder för att säkerställa att en tredje attack inte kommer att inträffa. Dessa inbegriper inrättandet av en ny cybersäkerhetskommitté, som leds av ordförande Brandon Scott. Kommittén arbetade med att genomföra en grundlig granskning av stadens sårbarheter och dess reaktion på attacken för att introducera nya policyer samt ny praxis och teknik för att utveckla en robust IT-infrastruktur.

Attacken på Baltimore Countys kommunala skolor 2020

Baltimore Countys kommunala skolor föll offer för en tredje attack med utpressnings­trojaner den 24 november 2020, två dagar före Thanksgiving. Trots två tidigare uppmärksammade attacker mot staden var åtgärderna för att skydda de stora mängderna känsliga data undermåliga. Samtliga konfidentiella uppgifter och tillhörande skolsystem krypterades, vilket påverkade ”alla aspekter av Baltimore Countys kommunala skolsystem.”

Trots att man hade säkerhetskopior av befintliga data uppskattades kostnaden för återställning till över 8 miljoner dollar. Över 9 000 personaldatorer fick återinstalleras (hårddiskarna formaterades och nya operativsystem installerades) efter attacken, liksom elevdatorerna. Vissa data eller lektionsplaneringar gick förlorade för alltid och skolnätverket fick byggas upp på nytt.

Händelsen orsakade omfattande störningar i fjärrundervisningen för upp till 115 000 elever, vilket var en kritisk händelse på grund av covid-19-pandemin. Den långsiktiga övergången till distans- och hybridarbete har lett till ett högre antal slutpunkter, vilket medför ytterligare cybersäkerhetsrisker.

Även om det är obekräftat huruvida en lösensumma betalades har Baltimore Countys kommunala skolor åtagit sig att göra följande:

  • Bygga om och stärka sin IT-infrastruktur
  • Införa nya processer, såsom multifaktorautentisering (MFA) för all personal
  • Installera nästa generations brandväggar och förbättrade enhetsskydd

2021 upptäckte dock ordföranden för fackförbundet Teachers Association of Baltimore County, Cindy Sexton, att störningen förblev olöst för vissa system, inklusive institutionens lönesystem – många anställda var överbetalda, underbetalda eller hade inte fått sina löner utbetalda alls.

Vilka lärdomar kan dras från attacken med utpressnings­trojaner i Baltimore?

Även om den krävda lösensumman var mycket mindre än kostnaden för att återhämta sig från cyberattacken vidhöll borgmästare Young att det finns många skäl till varför en lösensumma aldrig bör betalas:

  • Hackare ska inte belönas för kriminellt beteende eftersom detta kan göra staden mottaglig för fler attacker med utpressnings­trojaner i framtiden
  • Det finns ingen garanti för att ens system och tillhörande data kommer att låsas upp om betalningen görs

Attackerna i Baltimore belyser farorna med föråldrad säkerhetsprogramvara och IT-praxis. Utpressnings­trojaner kan kosta ditt företag miljonbelopp att åtgärda, för att inte tala om skadan det gör på anseendet. Det är av yttersta vikt att vidta proaktiva åtgärder och uppdatera sina cybersäkerhetsprocesser, inklusive:

Låt Avast skydda ditt företag mot attacker med utpressnings­trojaner

Vidta viktiga säkerhetsåtgärder för att försvara och skydda företaget mot hot från utpressnings­trojaner. Investera i antivirusprogram för företag som kan skydda Windows-servrar, korrigera sårbarheter och upptäcka och förhindra skadlig aktivitet i nätverket.

Stäng

Nästan klart!

Slutför installationen genom att klicka på den nedladdade filen och följa anvisningarna.

Initierar nedladdning …
Obs! Klicka här om nedladdningen inte påbörjades automatiskt.
Klicka på den här filen för att starta installationen av Avast.