Kvällen före Lucia, vid åttatiden, upptäcktes att stora mängder data skickades från det it-system som Ölandskommunerna Borgholm och Mörbylånga delar.

Avvikelsen upptäcktes med hjälp av nätövervakningsverktyg – men då hade data skickats ut sedan strax före halv elva på förmiddagen.

– När vi upptäckte att det inte var någon internt som skickade ut data så stängde vi ner vår internetlina för att stoppa transporten in och ut. Vi såg direkt att det här låg över vår kompetensnivå så vi tog in extern hjälp från säkerhetsföretaget Truesec, sen fick de ta över kommandot för vad som skulle ske, säger it-chefen Niklas Palmqvist.

Hann inte kryptera

Kommunerna hade tur – enligt den utredning som gjorts förberedde angriparna att kryptera filer och genomföra en ransomwareattack men så långt hann de inte innan internetuppkopplingen stängdes av.

Vilka var det då som tog sig in? Enligt den utredning som Truesec gjort åt kommunen handlar det med största sannolikhet om en aktör som har kopplingar till Cuba Ransomware. Det är samma grupp som ha slagit till mot Montenegro tidigare i höstas och där pekade landet ut Ryssland som aktör bakom attacken men det som säkert tycks kunna sägas om gruppen är att de som ingår är rysktalande.

Enligt USA:s cybersäkerhetsmyndighet Cisa och landets federala polis FBI ska gruppen fått in 60 miljoner dollar i lösensummor från 100 organisationer mellan december 2021 och augusti 2022.

Allt kan vara röjt

Vad angriparna faktiskt kommit över i den här attacken är oklart men 85 GB data ska ha kopierats.

– De var inne i hela vår it-miljö och vi kan bara se mängden som kopierats. Det innebär att de kan ha kommit över alla uppgifter vi har.

Och det är också i den anmälan till Integritetsskyddsmyndigheten som kommunerna lämnat in som man ser vidden av det som skett konstaterar han.

– Där säger vi att all information kan vara röjd för vi vet inte vad angriparna har haft för sig de dagar då de rotade runt i våra system. Även om ingen större kopiering skett betyder inte det att de inte kan ha sett olika uppgifter. Och det är ju inte så roligt att veta för någon som exempelvis är inskriven i individ- och familjeomsorg.

Infört tvåfaktor

När det gäller medarbetarnas arbete så behövde de aldrig gå över helt till manuella rutiner även om it-systemet kopplats bort från internet. En del manuell hantering krävdes visserligen men det gick hela tiden att komma åt systemen internt.

Och efter en vecka ungefär så var allt uppe igen – med den skillnaden att användarna bytt lösenord och att det nu krävs tvåfaktorsautentisering.

– Så det upplevs såklart som krångligare nu även om jag tror det är ett övergående bekymmer. Allt fler system kräver ju tvåfaktorsautentisering så vi lär vänja oss.

Känd sårbarhet

Den utredning som gjorts visar att attacken skedde genom en känd sårbarhet i Outlook Web Access som Microsoft patchat. Men hålet hade inte täppts till som det skulle. Den 20:e december – efter att bland annat det här intrånget rapporterats – så uppmärksammades att en ny metod för att utnyttja hålet hade börjat användas.

– De lyckades ta sig in i systemet genom det hålet i kombination med att de kommit över en användares lösenord troligtvis genom phishing. En användare som egentligen bara hade mejl hos oss, säger Niklas Palmqvist.

Borde upptäckts

Så hur ser han då på den säkerhet som kommunerna hade – hålet var ju patchat även om det visade sig att det inte räckte?

– Jag känner att vi borde upptäckt intrånget mycket tidigare. Intrånget skedde den 16:e november och angriparna var aktiva fram till den 23:e – sedan tog de en paus på nio dagar och började grotta runt i våra servrar den 2 december igen. Och vi upptäckte dem först den 12 december efter att de skickat ut data ur systemen i tio timmar

Aktiviteten finns i loggarna om man analyserar dem konstaterar han – men det är ingen som har ägnat sig åt att gå igenom dem på det viset.

– Man måste arbeta mer rutinmässigt med de verktygen. Vi har inte arbetat med dem på rätt sätt och det är ju också så att det går åt mer tid och resurser för att göra det, säger han.

Utredningen som gjorts visar rätt tydligt hur angriparna agerat efter att de tagit sig in i systemen och det är en kunskap som Niklas Palmqvist gärna delar med sig av till andra kommuner.

– Vi försöker föra våra erfarenheter vidare via olika nätverk för vi vill ju gärna varna andra som kanske har samma brister och kan se hur vi löst det. Andra brister kanske vi kan lösa tillsammans, säger han.