Hacking

Ungdomsuddannelser lagt ned af it-kriminelle

Himmerlands Erhvervs- og gymnasieuddannelser er uden internet, og en del af deres it-infrastruktur er blevet ramt af et ransomwareangreb

It-kriminelle har haft held med et angreb, hvor de forsøger at afpresse offeret for penge. Arkivfoto: Michael Koch

Ole Sanvig Knudsen

Journalist

28. november 2023 kl. 19:31
Opdateret 29. november 2023 kl. 17:43

Eleverne på Himmerlands Erhvervs- og gymnasieuddannelser (HEG) kommer til at opleve en alternativ undervisning i de kommende dage. Årsagen er et angreb på skolen; ikke et fysisk angreb, men fra en gruppe it-kriminelle, der har haft held med at plante en ransomware på en del af skolens it-systemer.

Det fortæller HEG-direktør Ulf Givskov Bender.

- Det har haft den konsekvens, at vi har måttet lukke ned for vores internetforbindelse, så vores undervisningsmaterialer ikke er tilgængelige, så det har ret stor på påvirkning for vores mulighed for at fortsætte vores undervisning, siger Ulf Givskov Bender.

Et ransomware-angreb finder sted ved, at de it-kriminelle får placeret den ondsindede fil - ransomwaren - et sted skjult i offerets it-systemer, og så går programmet i gang med at kryptere filerne med en krypteringsnøgle, som kun angriberen kender. Uden nøglen kan man ikke dekryptere filerne, så man har bare en stor bunke tegn, der ikke giver nogen som helst form for mening i den krypterede form.

Så for ikke at gøre skaden større end den allerede er, så er det angrebne system blevet lukket ned, og den store internetkontakt slukket. Og uden energidrik og internet dur helten som bekendt ikke.

Ukendt tidsramme

Hvornår skolen kan få systemerne op at køre igen er et godt spørgsmål.

- Det optimistiske bud er, at vi er oppe at køre igen på fredag, men det realistiske er nok engang i næste uge, siger Ulf Givskov Bender.

For selv om skolen har backup af stort set alting, en backup der helt efter bedste skik på området ligger offline, og derfor ikke er blevet krypteret sammen med filerne fra den daglige drift, og et eventuelt datatab er ret begrænset, så kan man ikke bare gå i gang med at genindlæse systemerne.

- Vi er nødt til at finde ud af, hvornår det her er kommet ind i vores system. Problemet er, at hvis vi genetablerer vores systemer fra et tidspunkt, hvor den ransomware har ligget der, så kommer det bare igen, når vi starter op, siger Ulf Givskov Bender.

Derfor er it-eksperter i gang med at gennemgå filerne for at sikre, at man starter et sted, hvor der ikke ligger ondsindet software gemt. Men det er altså et arbejde, der kan tage sin tid.

For at afbøde virkningerne af angrebet, og undgå, at eleverne kommer til at sidde i flere dage uden at lave noget, er nogle af eleverne blevet sendt hjem for at blive undervist derfra. Derhjemme har de internet, og dermed adgang til de undervisningsmaterialer, der kun ligger online.

Andre elever har knap så store udfordringer med manglen på internetadgang på skolen, håndværksfagene har det lettere lige der - en fukssvans fungerer trods alt stadig uden forbindelse til internettet.

På andre områder har skolen også fået en påmindelse om, hvor afhængig af internettet vi egentlig er. IP-telefoner virker ikke, skolens mailserver er lukket ned af sikkerhedshensyn, så al kommunikation med omverdenen er blevet bøvlet.

- Det er klart, at som skole, så er man rigtig, rigtig afhængig af at kunne kommunikere, siger Ulf Givskov Bender.

Undersøger persondata

Men det er praktiske problemer. Skolen er også ved at forsøge at finde ud af, om - eller i hvor høj grad - persondata er blevet kompromitteret. I udgangspunktet er det system, de it-kriminelle har været inde i, ikke et system, hvor der bliver opbevaret personfølsomme oplysninger.

- Det har vi behov for at finde ud af, om der har været, og det er vi ved at afdække nu, så vi kan orientere de personer, hvis data kan være blevet lækket, siger Ulf Givskov Bender.

For det er andet trin af den to-trinsraket, et ransomwareangreb typisk er: Ikke alene bliver filerne krypteret og gjort ubrugelige, men filerne er også blevet downloadet af de it-kriminelle, der så bruger dem som en slags yderligere afpresning: Betal nu, eller også offentliggør vi jeres data.

- Vi er nok ikke ude i, at der ligger ret følsomme oplysninger. Men der kan fx ligge en fil med nogle elevers pasnumre, hvis læreren har haft dem liggende i forbindelse med en studietur som en sikkerhed, hvis en elevs pas bliver væk.

- I sådan en fil vil der ligge for eksempel pasnumre og cpr-numre, og vi kan ikke være helt sikre. Det er jo over 160-170 læreres materialer, det drejer sig om, så der kan ligge noget. Men det er ikke hjertet af der, hvor vi opbevarer personfølsomme oplysninger, siger Ulf Givskov Bender.

Det er trods alt en trøst, for de it-kriminelle har sat en frist til at betale løsesummen på 24 timer fra angrebet blev sat i gang, før de går i gang med at finde ud af, hvilke af de stjålne data, der er interessante nok til, at man kan forsøge at sælge dem videre på det mørke internet - og det er onsdag.

Hvor mange penge, angriberne forsøger at presse ud af skolen, ved direktøren i øvrigt ikke. Det har de kriminelle nemlig ikke skrevet i forbindelse med angrebet.

- Vi ved faktisk ikke, hvad det er, de forlanger af os. Der lå et dokument med en kode hvor der stod adressen på en platform, hvor vi skal logge ind og se, hvad det er, de ønsker af os, men det har vi ikke gjort. Dels fordi vi kan jo blive sporet, hvis vi går derind, dels fordi vi ikke ved, hvilke risici, vi udsætter os for ved at gøre det, siger Ulf Givskov Bender.

Om angrebet har bredt sig til andre af skolens systemer, ved man ikke endnu - men risikoen er til stede, så skolen er ved at lave en risikovurdering af de enkelte systemer og hvor tæt på den angrebne server, de har været og hvilken angrebsvej, der kan være. Om nødvendigt vil man vælge at lukke enkelte systemer ned efter behov.

Du kan læse mere om ransomware på linket her.