Mespinoza/Pysa

Natt til lørdag ble datasystemene i Østre Toten kommune rammet av et destruktivt dataangrep, som både har kryptert innholdet og sletta alle sikkerhetskopier.

NRK som omtalte saken først skriver at ingen av de 1300 ansatte i kommunen får brukt noen av datasystemene. Ifølge ordfører Bror Helgestad, så kan sensitiv informasjon, herunder personnummer, helsedata og informasjon fra barnevernstjenesten, være på avveie.

– Angriperne har fått tak i alle våre data, og vi er svært bekymra, sier Helgestad til NRK.

Ansatte får verken sendt eller mottatt e-post. – Det kan ta flere dager før alle våre utsatte datasystemer er i drift igjen, heter det i en pressemelding.

NSM advarer mot løsepengevirus

Digi.no har mottatt et åpent varsel, som Nasjonal sikkerhetsmyndighet (NSM) sendte ut søndag formiddag, om et «pågående angrep knyttet til løsepengevirus mot en kommune».

Det aktuelle løsepengeviruset er kjent som «Mespinoza/Pysa» og man er kjent med lignende angrep mot lokale myndigheter i Frankrike og andre hendelser, heter det.

Varselet er utarbeidet av Nasjonalt cybersikkerhetssenter (NCSC) i samarbeid med Direktoratet for samfunnssikkerhet og beredskap og Kommune-CSIRT.

– Fra disse og andre kjente hendelser vet man at aktøren bak angrepet vil forsøke å komme seg inn i nettverket gjennom blant annet «brute force»-angrep mot internetteksponerte tjenester og brukere. For eksempel vil angriper forsøke å koble seg til fjernaksessløsningen RDP dersom dette er tilgjengelig.

Kartlagt

Dersom angriper kommer seg inn i nettverket, så har man tidligere observert at de vil forsøke å bevege seg «lateralt» (sideveis, journ.anm.) i nettverket. Man har observert bruk av verktøyet «Mimikatz» for å hente ut passord, og man vet at angriperen vil forsøke å dumpe passorddatabaser for å kunne få tilgang til flere brukere, heter det i vurderingen.

Den ikke-navngitte trusselaktøren tar seg tid til å kartlegge nettverket de har fått tilgang til og man har erfart at angriper deretter utfører en rekke ulike handlinger, som blir ramset opp slik:

• Skrudd av antivirusløsninger. For eksempel har angriper skrudd av Microsoft Defender igjennom lokale gruppe-policyer.
• Unntak for alle filer som har filendelsen ".exe» har blitt opprettet i Microsoft Defender
• Slette backup og skyggekopier av systemet
• Hente ut detaljer om nettverk, brukere, databaser og backup
• Bruk av flere PowerShell skripts for å kartlegge og automatisere
• Bevege seg lateralt ved hjelp av «PsExec»

Avhengig av hvor lett angriper oppnår tilgang til en administratorbruker, vet man at angriperen kan bruke alt fra timer til dager før man aktiverer løsepengeviruset, ifølge NSM.

Gode råd og tiltak

Sikkerhetsmyndighetene har utstyrt meldingen med en serie anbefalinger og tiltak. Det gjelder å ha oversikt over hvilke tjenester som er eksponert på internett, deriblant åpne RDP-tjenester og andre fjernaksessløsninger.

Det blir også anbefalt å benytte tofakturautentisering der det er mulig, samt å ha gode gjenopprettelsesrutiner, og hvis mulig å ha egen backup som er offline.

Videre nevnes blant annet at man bør overvåke aktivitet på administrator-kontoer, og det kan også vurderes å blokkere trafikk mot TOR-nettverket, dersom dette ikke er strengt nødvendig.

Geofiltrering og/eller blokkering av trafikk fra land man normalt ikke har trafikk mot, er også nevnt som et aktuelt tiltak. Det samme er behovet for kontroll over og overvåkning av trafikk mellom sikkerhetssoner.

Penn og papir

Logging av tjenester som man benytter er også nevnt. Disse loggene bør bevares over lengre tid, gjerne mer enn tre måneder, lyder rådet.

Alt dette kommer naturligvis i tillegg til ordinære og kjente anbefalte rutiner, som blant anet det å installere sikkerhetsoppdateringer så raskt som mulig, og å unngå å tildele administrator-rettigheter til sluttbrukere.

Østre Toten kommune gjør det klart at mange av oppgavene som normalt blir håndtert digitalt, nå må utføres manuelt. Det betyr mye telefonbruk og papirbasert aktivitet.

De hevder at tjenestetilbudet til de drøyt 14.700 innbyggerne ikke blir berørt av dataangrepet, men de ber samtidig om forståelse for at alt vil gå litt saktere på grunn av flere manuelle prosesser.

Les også