TDC ændrer i mail-filter efter ransomware-angreb mod kommuner

Nordfyns Kommune, der i denne uge blev ramt af ransomware, anvender en mail-filter løsning fra TDC. Nu har TDC ændret i filteret for at undgå lignende angreb.

Foto: Kay Nietfeld

Flere danske organisationer - blandt andet Nordfyns Kommune - har i denne uge ufrivilligt fået krypteret en stribe filer som følge af et vellykket ransomware-angreb i form af en vedhæftet og ondsindet fil i en mail.

I Nordfyn Kommunes tilfælde blev filen ikke stoppet, inden den nåede frem til medarbejderens indbakke, selvom kommunen anvender en løsning fra TDC, der netop skal bortfiltrere farlige email.

Kort efter denne uges ransomware-angreb begyndte i mandags, har TDC ændret - tirsdag formiddag - i virksomheds antivirus-filter, så risikoen for, at noget lignende gentager sig, skulle være mindre, skriver Version2.

Som Version2 tidligere i dag har fortalt, har malwaren i mailen til Nordfyns Kommune været skjult som en eksekverbar fil pakket ind i flere zip-filer. Og det har haft betydning for, hvordan mailen er blevet håndteret af TDC’s filter.

Hvis der er vedhæftet en eksekverbar fil direkte i en mail, eller hvis der ligger en eksekverbar fil i 1. niveau af en zip-fil, så bliver filen ikke alene scannet for virus, men den bliver også - for en sikkerheds skyld - holdt tilbage i 24 timer. Ligger den eksekverbare fil i en zip-fil i en zip-fil, bliver den stadig scannet, men ikke holdt tilbage.

»Vi scanner eksekverbare filer, selvom de ligger i en zip-fil i en zip-fil, men filen er ikke blevet sat i karantæne, da det netop var en indlejret zip-fil,« siger sikkerhedschef i TDC Lars Højberg.

Og i første omgang har de antivirus-filtre, TDC benytter, ikke opdaget noget fordækt i filen til Nordfyns Kommune.

Var mailen med zip-filen, der indeholdt zip-filen med den eksekverbare fil, derimod blevet sat i karantæne i 24 timer, så medgiver Lars Højberg, at der ville være en vis sandsynlighed for, at både et eller flere af TDC's antivirusprogrammer, plus eventuelle lokale beskyttelsesprogrammer, var blevet opdateret, så den ondsindede fil kunne være opdaget i tide.

»Det ville selvfølgeligt have øget sandsynligheden for, at den ville kunne være blevet fanget,« siger han.

TDC har i forlængelse af denne uges ransomware-angreb ændret procedure, så zip-filer, der indeholder andre zip-filer, ligeledes bliver sat i karantæne i 24 timer.

Det her er jo en service, I tager penge for. Det virker lidt nemt, at TDC’s filter har kunnet snydes ved at lægge en eksekverbar-fil i ind i zip-fil i en zip-fil. Hvad siger du til det?

»Du har ret i, at sandsynligheden for, at den ondsindede fil var blevet fanget havde været større, hvis en mail med en zip-fil i en zip-fil ikke kun var blevet virus-scannet, men også sat i karantæne i 24 timer inden ny scanning. Og det kan jeg kun beklage. Nu er der rettet op på det,« siger Lars Højberg.

Tilbage i Nordfyns Kommune er it-chef Per Stenaa ved at tage sine sikkerhedsforanstaltninger op til revision.

»Jeg har været tilfreds indtil i mandags,« siger han.

Nu er Per Stenaa i dialog med KMD omkring kommunens firewall-opsætning, og så har han sat en proces i gang for at få skiftet den lokale antivirus-løsning. Og så har han rettet henvendelse til TDC i direkte forlængelse af angrebet i starten af ugen, men han har endnu til gode at høre fra virksomheden.

»Og så forventer jeg at få en tilbagemelding fra TDC i forhold til deres tilgang til det. Det mangler jeg at få.«

Når tilbagemeldingen fra TDC kommer, vil han vurdere situationen derfra.

Deltag i debatten på Version2.