Stanset dataangrep med bistand fra Atea

For IT-avdelingen startet det hele onsdag 8. februar, da de får beskjed fra lokalt politi om at de potensielt er utsatt for et dataangrep. En uke tidligere ble en nabokommune angrepet, og nå kan flere titalls være utsatt på grunn av en felles tilknytning til et revisorfirma som leverer tjenester til offentlige og private virksomheter i hele regionen. De er nå komprimert, og kundelister med påloggingsinformasjon er solgt på Russian Market på Dark Web for 10 dollar. Politiet har allerede etterforsket saken hos nabokommunen i en uke når IT-avdelingen i Sør-Varanger kommune blir oppringt. 

- Det føles ikke noe godt når hendelsen skjer, men vi er klar over trusselbilde. I dag er aktørene så gode at de kan finne bakdører inn i alle systemer. Det som derimot var overraskende, var at angrepet kom fra en tredjepart. Jeg ville tenkt at det var mer sannsynlig at det skulle komme innenfra, fra en bruker-pc, sier Anders Hovland Greve, enhetsleder for IT og servicekontor i Sør-Varanger kommune.   

Har vært inne i systemene   

Klokken fire på ettermiddagen er IT-avdelingen godt i gang med å kartlegge situasjonen. De finner raskt ut at brukeren nylig har vært innlogget i deres systemer, og tidspunktene sammenfaller med angrepet hos nabokommunen som skjedde uken før. I løpet av kvelden blir de oppringt av politiet, Nasjonal Sikkerhetsmyndighet (NSM) og Nasjonalt Cybersikkerhetssenter (NCSC).  

Gjennomgang av loggkildene avdekket at aktøren har kjørt et kartleggingsverktøy for å få oversikt over domene hos kommunen, samt undersøkt hvilke veier de trenger å gå for å få full domenetilgang.

Neste dag, torsdag 9. februar, ser IT-avdelingen at de trenger hjelp fra et Incident Response Team (IRT).   

Sør-Varanger kommune ringer Atea IRT som består av høyt sertifiserte og erfarne sikkerhetskonsulenter med bred faglig kompetanse. Sikkerhetskonsulentene er spesialisert på hendelseshåndtering ved uønskede hendelser i virksomheters IT-miljø og har dyp innsikt i gjeldende trusselbilde. Atea IRT er en av de aktørene som er godkjent av Nasjonal sikkerhetsmyndighet igjennom «Kvalitetsordning for leverandører som håndterer IKT-hendelser», opprettet av NSM i 2016.  

En time senere er Lead Incident Handler og Sikkerhetsarkitekt Per Tore Stokke fra Atea på saken. Atea IRT kom med konkrete tiltak som skulle iverksettes med en gang. Brannmuren ble stengt, de låste ned serveren og slo av nettverkskortene. Dette var tiltak for nedstenging, som samtidig gjorde det mulig å fortsette daglig drift og arbeide med hendelsen.   

- At den lokale it-avdelingen hadde håndtert angrep bra, det gjorde jobben lettere for oss, sier Stokke i Atea.   

Ransomware på et tidlig stadie 

Angrepet kommunen er utsatt for er forløper til et ransomware-angrep. Ransomware er skadelig kode som krypterer informasjon på systemene som blir hacket. Som navnet antyder, er ransomware et utpressingsvirus. Angriperen bruker det til å kryptere informasjon, slik at den blir utilgjengelig for den som eier den. Deretter blir eieren av informasjonen utpresset av angriperen, som krever løsepenger for dekrypteringsnøkler som kan gjøre informasjonen tilgjengelig igjen.  

Angrepet var på et tidlig stadie når IRT-teamet var på saken, og det fikk derfor ikke store konsekvenser. Politiet og NCSC har i ettertid vurdert angrepet. Det har enten vært flere aktører som har vært inne i systemene for å kartlegge og forberede dataen for videresalg, eller er det snakk om et ressursspørsmål der en aktør bare har vært innom og fått et fotfeste, men prioritert angrep på nabokommunen. Dette er bare synsing, og ikke noe man kan si med sikkerhet.     

- NCSC anbefalte oss sterkt å ta kontakt med en godkjent leverandør for hendelseshåndtering. Vi kontaktet Atea IRT, og det er nok den beste avgjørelsen vi kunne tatt. Det hjalp oss videre i prosessen og har hjulpet oss med tiltak i ettertid, sier Greve.