Norske virksomheter har den siste uken jobbet mot klokka med å installere en kritisk sikkerhetsoppdatering. De som ikke er raske nok kan bli ofre for spionasje og løsepengevirus.
Nasjonal sikkerhetsmyndighet (NSM) advarer om at en mye brukt Microsoft-løsning for e-post bør anses som «mulig kompromittert» om nødvendige sikkerhetsoppdateringer ikke ble gjort innen onsdag i forrige uke.
Søndag kveld viste undersøkelser gjort av sikkerhetsselskapet Defendable at minst 269 Microsoft-servere i Norge fortsatt manglet disse oppdateringene. Undersøkelsene viste også at over 1500 servere måtte oppdateres for å forhindre utnyttelse av sårbarhetene.
Kollektivselskapet for hele Trøndelag, AtB, var en av virksomhetene som ikke hadde oppdatert sin e-postløsning søndag kveld.
– AtB har registrert et forsøk fra utenforstående på å hente ut informasjon fra en lokal epostserver gjennom et sikkerhetshull, sier Grethe Opsal, som er direktør for kommunikasjon og drift i AtB.
Hun oppgir at AtB ble kompromittert torsdag 4. mars. Inntrengerne hadde lagt igjen en bakdør som kunne gi dem adgang til selskapets e-poster. Det var heldigvis ingen forsøk på å utnytte denne muligheten, oppgir Opsal.
AtB gjorde tiltak samme dag for å stoppe utnyttelse av sårbarheten og mandag 8. mars ble e-postløsningen oppdatert.
– Dette sikkerhetshullet er i samarbeid med vår leverandør tettet, og det har ikke ført til noe skadeomfang eller negativ konsekvens for vår del, sier Opsal.
Tirsdag meldte Khrono at Høyskolen i Østfold stenger e-post til studenter og ansatte mens de undersøker nærmere. Øksnes kommune oppgir også på sine nettsider at noen har brutt seg i hos dem. De har foreløpig ingen indikasjon på at sensitive informasjon er på avveie.
– Våre IT-systemer vil sannsynligvis være utilgjengelig de neste dagene, skriver kommunen.
TIPS OSS: Vet du om virksomheter som er kompromittert som følge av sårbarhetene i Microsoft Exchange er vi interessert i å snakke med deg. Nå journalistene på telefon / Signal (+47 47756515) og epost (martin.gundersen@nrk.no).
Ny trusselaktør på markedet
Dette kommer etter at det ble kjent at en ny trusselaktør «Hafnium» hadde utnyttet såkalte 0-dags sårbarheter for å bryte seg inn i e-postservere. Microsoft mener selv at denne trusselaktøren er statlig finansiert og er basert i Kina. Siden har flere aktører kastet seg rundt og utenlandske medier rapporterer om titusenvis av kompromitterte organisasjoner.
– Det er sannsynlig at det vil komme flere løsepengekrav fremover som følge av denne hendelsen, sier sikkerhetsrådgiver Håkon Lønmo i selskapet Defendable til NRKbeta.
Søndag kveld hadde heller ikke butikkjeden Tilbords oppdatert sin e-postløsning, viste undersøkelsene til Defendable. Mandag kveld oppga IT-sjef Petter Grålumstuen i Tilbords at systemet var oppdatert.
– Jo lenger tid sårbarheten er eksponert, jo lenger tid har ulike aktører på seg til å skaffe seg et fotfeste internt og gå under radaren, advarer Lønmo.
Tidsspørsmål
NSM meldte fredag at de hadde sett begrenset utnyttelse av sårbarhetene, men det kan endre seg fort.
– Vår vurdering er at det vil være et tidsspørsmål før dette blir aktivt utnyttet i større skala enn vi foreløpig har sett, sier seksjonssjef Tom-André Røgden ved Nasjonalt cybersikkerhetssenter.
Røgden forteller at NSM tar direkte kontakt med berørte virksomheter.
– Det er ikke nødvendigvis nok å bare installere sikkerhetsoppdateringen. Man må også gjøre undersøkelser for å avdekke om det er tegn på kompromittering, sier Røgden.
E-post er attraktivt mål
– Det spesielle med denne sårbarheten er at angriper får tilgang til all e-post for alle brukere, sier Lønmo i Defendable.
Ifølge Microsoft har trusselaktøren Hafnium historisk fokusert på å hente ut informasjon fra amerikanske industri- og forskningsinstitusjoner. Men etter at sårbarhetene har blitt kjent har fire nye grupper kastet seg rundt, ifølge Technology Review.
Lønmo og NSM frykter at norske virksomheter kan bli utsatt for spionasje eller løsepengevirus på grunn av denne sårbarheten.
Løsepengevirus har de siste årene blitt stadig mer populært blant kriminelle, gjerne i kombinasjon med trusler om å publisere e-poster og andre sensitive dokumenter.
I 2019 ble Hydro offer for et omfattende løsepengevirus som endte med å koste selskapet 800 millioner kroner, men de er langt fra alene.
Kappløp
Nyhetsbyrået Reuters meldte fredag at over 20.000 amerikanske virksomheter var utsatt, som følge av sårbarheten i Microsofts produkter.
Teknologinettstedene Wired og KrebsOnSecurity meldte i forrige uke om at over 30.000 mail-servere i USA kan være kompromittert, og at det er snakk om hundretusenvis på verdensbasis.
Til NRKbeta oppgir sikkerhetsselskapene Atea og Mnemonic om økt pågang som følge av sårbarhetene.
– Siden sårbarheten ble kjent, har Ateas Incident Respons Team (IRT), jobbet 24/7 med å hjelpe virksomheter som tar kontakt med mistanke om at de har blitt kompromittert, sier Thomas Tømmernes, som er sjef for IT-sikkerhet i Atea Norge.
– Vi ser at veldig mange virksomheter har vært berørt, i form av at uvedkommende har sjekket om virksomheten er sårbar eller at det er lagt igjen en bakdør som de kan benytte selv etter patching. Vi ser foreløpig ikke videre utnyttelse av sårbarheten, utdyper Tømmernes.
Tirsdag 1822: Saken er oppdatert med informasjon om at Øknes kommune er utsatt for et datainnbrudd som har sammenheng med sårbarhetene i Microsoft Exchange.