På kvällen den 12 december 2022 noterades att stora mängder data kopierades ut från kommunernas nätverk. För att hindra den okända kopieringen stängdes förbindelserna till internet ner. Analysen visade sedan att de kriminella aktörerna tog sig in i kommunernas IT-system redan 16 november 2022 via en då okänd sårbarhet i mailservrarna i Mörbylånga kommun. Analysen visade också att totalt 85 gigabyte data kopierats från Mörbylångas IT-miljö, dock går det inte se vilken data som kopierats.

– På våra servrar hade aktören installerat verktyg för fjärrstyrning och krypteringsprogram. Med största sannolikhet planerade aktören att kryptera vår information för att sedan kunna kräva pengar mot dekrypteringsnyckeln. Den kopierade informationen kan också tänkas användas i utpressningssyfte, säger Niklas Palmqist, it-chef.

Med hjälp av en användares inloggningsuppgifter lyckades hackarna använda en sårbarhet som inte var känd, så kallad zero-day. Virusskyddet på många av Mörbylångas servrar, notifierade endast om skadlig kod utan att åtgärda. På två skrivarservrar som användes av aktören saknades virusskydd helt. Loggarna som innehåller notifieringarna om skadlig kod redan den 16 november lästes aldrig.

Lösenorden på två opersonliga konton med stora rättigheter var för enkla så att de kunde maskinellt knäckas. Med hjälp av Truesec har kommunernas IT-miljö rensats från skadlig kod, sårbarheten har åtgärdats och alla lösenord är nya med högre krav på komplexitet.

Analysen visar att aktören med största sannolikhet har kopplingar till den ryska gruppen ”Cuba Ransomware”. De har varit aktiva sedan 2020 och har tjänat stora summor på att utpressa organisationer genom kryptering av data eller hot om att publicera information som de kommit över.

– Kommunen fortsätter nu att utveckla informationssäkerhetsarbetet så att vi säkerställer att vi hanterar digital information på ett tryggt sätt, säger Borgholms kommunchef Jens Odevall.