Lørenskog-angrepet: Kommunens FAQ sier mer enn pressemeldingen

Lørenskog kommune bekreftet mandag ettermiddag at kommunen i helgen ble utsatt for et alvorlig dataangrep som påvirker flere IT-systemer.

I pressemeldingen skriver kommunen at de jobber med å sikre systemene, få oversikt og begrense konsekvensene.

“Det er for tidlig å si sikkert hvor stort omfang hendelsen har.”

Kommunen skriver også:

“Per nå ser vi ikke spor av at personsensitive data er hentet ut.”

Det er en viktig opplysning. Men det er også en tidligfaseformulering. Den betyr ikke at datatyveri er utelukket. Den betyr at kommunen foreløpig ikke har funnet spor av det.

VGs første omtale løftet naturlig nok frem at kriseledelse er satt, at flere tjenester er påvirket, og at politiet, Datatilsynet og NSM er varslet. VG skrev også at kommunen foreløpig ikke har tegn til at sensitive personopplysninger er hentet ut.

Men det mest interessante står ikke i pressemeldingen.

Det står i kommunens egen spørsmål-og-svar-side om IT-hendelsen.

Der blir bildet tydeligere.

Kommunen bekrefter at angrepet ble oppdaget lørdag 9. mai, etter at en av kommunens tjenester fikk problemer med nettilgang:

“En av kommunens tjenester hadde lørdag problemer med nettilgang. De meldte dette til IT-avdelingen, som da oppdaget dataangrepet.”

Kommunen bekrefter også at alle systemer ble stengt ned:

“Som en sikkerhetsmekanisme stengte IT-avdelingen ned alle kommunens systemer i helgen.”

Og videre:

“Da hendelsen inntraff, ble alle kommunens systemer stengt ned av IT-avdelingen, og ingen av kommunens tjenester hadde tilgang til sine fagsystemer.”

Dette er ikke vanlig IT-trøbbel.

Dette er en respons man ser når en organisasjon ikke lenger kan stole på tilstanden i eget miljø. Da handler det ikke først og fremst om å få systemene raskt opp igjen. Det handler om å hindre videre spredning, sikre logger, beskytte identiteter, kartlegge tilgangsveier og starte systemene kontrollert opp igjen.

Det mest alvorlige punktet i kommunens egne svar er likevel dette:

“Vi har mottatt en melding i forbindelse med dataangrepet. Etter anbefaling fra vår sikkerhetspartner går vi ikke i dialog med aktøren.”

Og rett etter:

“Vi vet hvilken aktør som står bak dataangrepet. Vi ønsker ikke å gå ut med mer informasjon om dem nå.”

Det er en helt annen type opplysning enn “alvorlig IT-hendelse”.

Når en kommune bekrefter at den har mottatt en melding fra aktøren bak angrepet, at den ikke går i dialog etter råd fra sikkerhetspartner, og at den vet hvilken aktør som står bak, peker det mot et mønster som ofte forbindes med moderne ransomware- og utpressingsoperasjoner.

Oppdatering 19:17: Brevet ble funnet inne i kommunens system

Romerikes Blad har nå publisert nye detaljer som gjør bildet betydelig tydeligere.

Ifølge lokalavisen oppdaget IT-avdelingen ikke bare et pågående dataangrep da de undersøkte nettverksproblemene lørdag. De oppdaget også et digitalt brev som aktøren hadde lagt igjen inne i kommunens system.

“Da oppdaget de også et brev som aktøren hadde lagt igjen inne i systemet vårt,” sier kommunikasjonssjef Kristin Klokkervold til Romerikes Blad.

Klokkervold ønsker ikke å si hva som sto i brevet eller hvordan kommunen fant ut hvem avsenderen var.

“Vi er blitt anbefalt å ikke gå i dialog med dem. Vi vet hvem aktøren er, men har ikke snakket med dem,” sier hun.

Kilde: Romerikes Blad

Dette er en viktig presisering.

Tidligere på dagen omtalte flere medier dette som at kommunen hadde “mottatt et brev fra angriperne”. Romerikes Blad beskriver nå noe mer spesifikt: brevet ble funnet inne i kommunens egne systemer under håndteringen av et aktivt dataangrep.

Det passer svært tett med hvordan moderne ransomware- og utpressingsoperasjoner ofte fungerer.

I slike angrep legger aktørene gjerne igjen et såkalt ransom note i det kompromitterte miljøet — typisk som tekstfiler, skrivebordsbakgrunn, meldinger på servere eller instrukser inne i systemene. Formålet er å varsle offeret om kompromitteringen, opprette kontaktpunkt og gi videre instrukser.

Intel 471 beskriver hvordan ransomware-operasjoner ofte starter med at offeret finner et løsepenge-notat som instruerer dem til å kontakte angriperne via e-post, Telegram, Tox-chat eller Tor-baserte forhandlingsportaler.

IBM beskriver tilsvarende at moderne ransomware-angrep ofte inkluderer digitale løsepenge-notater med betalingsinstruksjoner, kontaktpunkter og videre fremgangsmåte etter kompromittering.

Trend Micro beskriver hvordan enkelte ransomware-grupper bruker egne chat- eller portalsystemer for forhandling med offeret. I praksis kan dette få et nesten “kundeservice-lignende” preg: angriperen gir instruksjoner, oppretter kontaktflater, svarer i chat, setter frister og forsøker å styre offerets beslutninger.

Det er selvfølgelig ikke kundeservice i legitim forstand.

Det er industrialisert kriminalitet.

Men det viser hvor profesjonalisert moderne digitale utpressingsoperasjoner har blitt.

Derfor er brevet en viktig operativ indikator. Ikke fordi det alene beviser ransomware, men fordi det passer inn i et kjent forløp:

  • kompromittering
  • bred nedstenging
  • digitalt brev etterlatt inne i det kompromitterte miljøet
  • kjent aktør
  • ingen dialog etter råd fra sikkerhetspartner
  • kontrollert gjenoppretting
  • uavklart spørsmål om datatyveri, kryptering eller krav

Det flytter saken enda lenger bort fra “vanlig IT-feil” og nærmere et alvorlig, systematisk utpressingsscenario.

Det betyr fortsatt ikke at man kan slå fast at dette er ransomware.

Kommunen har ikke brukt det ordet offentlig. Den har heller ikke bekreftet kryptering, løsepengekrav eller datalekkasje.

Men kommunen har bekreftet flere forhold som er typiske for slike hendelser:

  • aktiv nedstenging av hele miljøet
  • fagsystemer utilgjengelige
  • gradvis og kontrollert gjenåpning
  • ekstern sikkerhetspartner
  • digitalt brev etterlatt inne i systemet
  • kjent aktør
  • ingen dialog med aktøren etter råd fra sikkerhetspartner

I tidligere norske kommunesaker har lignende mønstre utviklet seg alvorlig.

Da Østre Toten kommune ble rammet i januar 2021, beskrev KS angrepet slik:

“Angrepet mot Østre Toten innebærer at noen har brutt seg inn i datasystemene, kryptert data og slettet alle sikkerhetskopier.”

Kilde: KS

Kommunal Rapport skrev den gangen at kommunen selv omtalte hendelsen som et løsepengevirus:

“Våre datasystemer er i natt blitt angrepet av et løsepengevirus (cryptovirus).”

Kilde: Kommunal Rapport

Konsekvensene ble store. Ifølge NOKIOS ble det senere klart at store deler av kommunens digitale infrastruktur var utilgjengelig:

“Alle data på de fleste kommunale systemer ble kryptert. Sikkerhetskopier og logger ble slettet.”

Kilde: NOKIOS

Datatilsynet ila senere Østre Toten kommune et overtredelsesgebyr på 4 millioner kroner. Tilsynet viste blant annet til mangler ved logging, backup og sikkerhetstiltak ved pålogging.

Kilde: Datatilsynet

Poenget er ikke at Lørenskog-saken er lik Østre Toten-saken.

Det vet vi ikke.

Poenget er at tidlige formuleringer i slike saker ofte er forsiktige, mens de tekniske detaljene i etterkant viser hvor alvorlig hendelsen faktisk var.

I Østre Toten startet også offentligheten med korte meldinger om angrep, nedetid, manuelle rutiner og varsling. Først senere ble det tydelig hvor omfattende kompromitteringen var.

Det samme ser man internasjonalt og i flere norske hendelser: Når angripere etterlater digitale brev eller løsepenge-notater inne i kompromitterte systemer, når systemer stenges ned bredt, og når organisasjonen må gjenopprette tjenester gradvis, er det sjelden snakk om en enkel feilretting.

Det er hendelseshåndtering.

Og i mange tilfeller: krisehåndtering.

Det gjør Lørenskog kommunes FAQ langt viktigere enn den første pressemeldingen.

Pressemeldingen sier at kommunen håndterer en alvorlig IT-hendelse.

Kommunens egne svar viser hvorfor den er alvorlig.

De viser at kommunen ikke bare har opplevd nedetid. De viser at kommunen har identifisert et angrep, funnet et digitalt brev inne i systemene, stengt ned hele miljøet, startet gradvis gjenoppretting og valgt ikke å gå i dialog med aktøren.

Dette er operative signaler.

De peker ikke nødvendigvis på ett bestemt utfall. Men de peker tydelig bort fra “vanlig IT-feil”.

Den mest nøkterne vurderingen nå er derfor:

Lørenskog kommune står i en alvorlig og målrettet sikkerhetshendelse hvor tilgjengelighet allerede er rammet, integritet må kontrolleres, og mulig konfidensialitetsbrudd fortsatt må undersøkes.

At kommunen foreløpig ikke har funnet tegn til uttak av sensitive data, er positivt.

Men det avgjørende ordet er “foreløpig”.

Ved denne typen hendelser kan det ta dager eller uker å avklare:

  • hvordan angriperen kom inn
  • hvor lenge aktøren hadde tilgang
  • om det har vært lateral bevegelse
  • om administratorrettigheter er misbrukt
  • om data er pakket, flyttet eller forsøkt eksfiltrert
  • hvilke logger som finnes
  • hvilke systemer som må bygges opp igjen
  • om angriperen hadde vedvarende tilgang

Kommunen gjør rett i å være forsiktig offentlig. I en aktiv hendelse kan for mye informasjon skade både etterforskning, gjenoppretting og sikkerhetsarbeid.

Men samtidig viser denne saken hvor mye som kan leses ut av få setninger.

“Vi har mottatt en melding.”

“Vi går ikke i dialog med aktøren.”

“Vi vet hvilken aktør som står bak.”

“Da oppdaget de også et brev som aktøren hadde lagt igjen inne i systemet vårt.”

“Alle systemer ble stengt ned.”

Dette er ikke pynt i en FAQ.

Det er tekniske og operative spor.

Og akkurat nå sier kommunens egne svar mer om alvorlighetsgraden enn pressemeldingen gjør.

Kilder

Tags Cybersecurity Norway