top of page
Log ind
Support
HÆNDELSER
EU's sårbarhedsdatabase
Når skaden er sket
Opret sikkerhedshændelse
Alle sikkerhedshændelser
SAMARBEJDE
Samarbejdsgrupper
INFORMATIONER
Nyhedsopslag
Events
Kurser
Varslingstjenesten
Sikker på nettet
Vejledninger
Ordliste
Cyber Treath Maps
Gratis Sikkerhedstjek
Podcast
Gratis Systemoverblik
IT-risikovurdelingsværktøjet
SERVICES
Leverandører
Løsninger
Forsikringer
Jobs
MEDLEMMER
Medlemmer
Din formular er gemt
Se alle
Generelt
Hvilken hændelse skete
Vælg
Tidspunkt for hændelsen
Status for hændelsen
Beskrivelse af hændelsen
Lørdags-frokosten 24. februar blev afbrudt af en SMS på telefonen: ”Vi er under DDoS angreb og hjemmesiden er ikke tilgængelig!” Igen havde vi besøg af russiske cyberkrigere, der allerede havde annonceret deres angreb på det sociale medie Telegram med de hånende ord fra citatet i indledningen. Samme gruppe havde angrebet Movia fire gange sidste år. Det var lykkedes os at inddæmme angrebene, så de sidste to angreb gik upåvirket hen, men denne gang havde den russiske gruppe ændret på angrebet, så den smuttede uden om vores forsvar. Og så i en weekend, hvor alle holdt fri.
Hvad var målet for angrebet ?
En datamængde på 1.700 gange mere end normalt væltede ind på Movia hjemmeside og lagde den ned.
Hvad var betydningen for jer ?
Movia har kun marginal kundekontakt på vores webside, fordi al kundekontakt foregår i Din Offentlige Transport (DOT), og i Københavns Lufthavn landede og lettede flyene også uden en hjemmeside.
Hvad foretog i jer ?
Søndag aften 25. februar havde vi alt oppe og snurre igen til trods for, at angrebet forsatte en uge mere, hvor størrelsen på angrebet bølgede op og ned i takt med annonceringerne på Telegram. Vi kunne direkte følge retorikken på mængden af data, der kom ind. Mens vi hen over weekenden knoklede og tænkte som gale for at finde en god måde at afværge angrebet, kunne vi til ærgrelse læse kommentarer i aviserne om, at vi havde sovet i timen .. ”for vi var da blevet advaret” Og ”at opbygge et godt forsvar er en let opgave.” Sådan føltes det ikke den weekend. Vi havde jo haft et velfungerende forsvar i 2023, og det var ikke bare sådan lige at udtænke et nyt.
Hvad har I lært af hændelsen?
Retrospektivt og med den viden, som vi nu har tilegnet os, er det nok rigtigt. Vi kunne godt have gjort mere. Jeg er meget tilfreds med de actions, vi tog den weekend, og når man først har fundet en løsning, ser det jo altid simpelt ud. Det kunne vi godt have haft på plads inden, hvis vi havde vidst, at det vi havde, ikke var godt nok. Og faktisk vil jeg sige, at det gælder alle it-chefer og it-professionelle. Vi sover alle sammen. Når man følger den russiske gruppes angreb rundt i Europa, vælter de troligt alle de websider, de kommer i nærheden af, selvom dem som allerede har været ramt jo nu ved, at svaret findes. Movia er altså ikke alene om have haft paraderne nede indledningsvist. Og det spiller helt ind i formålet med angrebet.
Har I fået ekstern hjælp?
Konkret information i relation til hændelsen
Navn på Hackergruppe
Hvilke IP-adresser er identificeret ifm. hændelse
Hvilke domæner, url mv. identificeret ifm. hændelsen
Filnavne, filstier og filhashes relateret til hændelsen
Reel pakkedata fra angrebet
Document
Document
Document
Upload filer (f.eks. logs mv.)
Upload
Hvilke partnere har hjulpet jer og skriv gerne lidt om samarbejdet evt. kontaktdetaljer
Ønsker du hjælp fra andre i Cybercircle, så skriv dine kontaktinformationer her.
Gem
Offentliggør
bottom of page
