nrk.no

Betalte hackerne: – Vi var presset opp i et hjørne

Kategori: IT-sikkerhet

LØSEPENGEVIRUS: Daglig leder Tor Olav Jacobsen forteller om våkenetter etter at alle bedriftens datamaskiner ble låst av kriminelle. Foto: Martin Gundersen / NRK

Få snakker høyt om at de har blitt offer for digital utpressing. Papirkompaniet åpner nå opp om dataangrepet som brakte selskapet til knærne i fem uker.

– Vi er i godt selskap, men det er kanskje ikke noe å skryte av, sier Tor Olav Jacobsen.

Han er daglig leder og største eier i Papirkompaniet. Selskapet med 19 ansatte leverer alt fra kort til kosedyr til norske butikker.

Sommeren 2019 ble de offer for skruppelløse kriminelle som hadde kryptert alle datamaskiner og servere selskapet eide. Slik ble de med i en stadig mindre eksklusiv klubb av norske virksomheter.

De siste tre årene har NRK identifisert minst 30 andre virksomheter som har blitt rammet av løsepengevirus. De mest kjente er Hydro, Amedia og Østre Toten kommune.

– Jeg må innrømme at det var et par våkenetter etter at jeg oppdaget hva som hadde skjedd og forstod omfanget, sier Jacobsen.

Alle maskiner låst

«Alle dine filer er nå kryptert!», startet en tekstfil som lå på selskapets datamaskiner. Jacobsen kom på kontoret etter at en selger oppdaget at nettbutikken deres var nede.

NOTATET: Dette var beskjeden Jacobsen ble møtt med. Enkelte opplysninger er sladdet. Foto: Tor Olav Jacobsen

Det var en søndag midt i fellesferien.

– Jeg tenkte «det her kan sikkert løses med backup», sier Jacobsen i dag.

Han ler nervøst. Slik gikk det dessverre ikke. Selskapet hadde en sikkerhetskopi av selskapets viktigste filer, men også den hadde blitt kryptert.

Det tok fem uker før selskapet å komme seg tilbake på beina. Men for å komme tilbake i drift tok Jacobsen et kontroversielt valg. De betalte de kriminelle i overkant av 130.000 kroner for å få tre passord for å åpne opp de to viktigste IT-systemene.

– Kunne vi unngått det så ville vi selvfølgelig gjort det. Det var et valg vi følte vi måtte … vi var presset opp i et hjørne, sier Jacobsen.

– Har du selv hatt betenkeligheter med at dere har betalt ut penger til kriminelle?
– Ja. Det er ikke noe man ønsker å gjøre. Derfor begrenset vi det så mye vi kunne. Vi aksepterte å miste en del data.

Papirkompaniet anslår selv at de tapte omtrent tre millioner kroner på dataangrepet. Katastrofen ble likevel avverget. Frykten var at kundene skulle gå til andre, mens selskapet lå med brukket rygg.

– Når ting tar lang tid så får kundene fort nye kjøpsmønster. Da kan de finne på å kjøpe varene vi har av andre.

Ikke anbefalt å betale løsepenger

Politiet og en rekke IT-eksperter advarer mot å utbetale løsepenger. De mener at man ikke kan være sikker på at man vil få dataene tilbake og at det finansierer kriminalitet.

– Men dette bildet er ikke helt svart-hvitt. Noen virksomheter havner i en så lei knipe at de ikke ser andre løsninger enn å betale, sier Thomas Tømmernes som leder Ateas avdeling for IT-sikkerhet.

Det var Atea som hjalp Papirkompaniet med å håndtere dataangrepet og forhandlinger med de kriminelle.

ADVARER MOT Å BETALE: – Husk at det å betale gir ingen garanti for at data som er stjålet ikke lekkes nå eller senere, sier Thomas Tømmernes i Atea. Han mener betaling ikke er en garanti for å få dataene tilbake eller unngå at de publiseres på nett. Foto: Benjamin A. Ward / Atea / DNX

Tømmernes advarer likevel sterkt mot å betale ut løsepenger. Han forteller at mange tror det magisk vil løse problemene, noe det ikke gjør.

– Selv om man øyensynlig raskt får dataene sine tilbake og kan fortsette produksjon vil kvalitetssikring og gjenoppretting av data uansett ta tid. Man må huske at en kompetent kriminell aktør har vært på innsiden av systemene, sier Tømmernes.

De kriminelle kan ha lagt inn en bakdør i systemene som gjør at de kan angripe på nytt. Det er også mulig at sensitive persondata likevel publiseres på det mørke nett. Betaling gir ingen garantier, konstaterer Tømmernes.

Kjenner du til flere datainnbrudd? Tips journalisten på martin.gundersen@nrk.no eller +47 47756515 (også Signal).

Utbetaling av løsepenger er absolutt siste utvei, understreker Jan Søgaard som er sjef for Netsecurity. Også de hjelper bedrifter å håndtere dataangrep.

– Vi har i flere tilfeller utbetalt løsepenger på vegne av kunder. Det ønsker vi ikke å gjøre, men særlig for de mindre selskapene vil det være situasjoner der det ikke finnes alternativer, sier Søgaard.

– Vi har i disse sakene forhandlet ned beløpet. Jeg kan ikke oppgi konkrete beløp, men vi snakker ikke om millioner.

Konkurser etter dataangrep

Thomas Tømmernes i Atea kjenner til to tilfeller der selskaper har gått konkurs som følge av et digitalt utpressingsforsøk. Tømmernes ønsker ikke å navngi selskapene.

– Det ene var innenfor turistnæringen og ble utsatt for digital utpresning. De hadde ikke backup som fungerte eller betalingsmidler. De gikk konkurs i forbindelse med at de ikke fikk dataene tilbake, sier Tømmernes.

Det andre selskapet opplevde at kundenes data kom på avveie.

– De mistet tilliten, noe som førte til at mesteparten av kundene sa opp avtalen med selskapet.

NRK ble først kjent med dataangrepet mot Papirkompaniet gjennom målrettede Google-søk.

Ha sikkerhetskopi

– Det var den første gangen vi hadde opplevd den typen sikkerhetsbrudd. Vi trodde vi var godt dekket med backuper og rutiner. Det var vi tydeligvis ikke, sier Jacobsen.

I etterkant av dataangrepet har Papirkompaniet oppgradert alle sine IT-systemer. De tar nå en sikkerhetskopi av de viktigste filene på en harddisk som ikke er koblet til internett eller noen andre datamaskiner.

Om ulykken skulle inntreffe igjen vil denne sikkerhetskopien sikre at de ikke vil stå i samme situasjon, forteller Jacobsen.

LES OGSÅ: Slik kom de kriminelle seg inn i Nordic Choice sine IT-systemer

28 kommentarer

    • Dersom du har jobba med dette i 30 år, er det da ett ledd i sikkerhetsstrategien din å publisere kommentarer uten bokstaven d? Ellers anbefales nytt tastatur.

      Verden er ikke like enkel, og mange bedrifter har backup. Det vil likevel for enkelte være en komplisert og langvarig affære å rekonstruere og få opp igjen likeverdige systemer som de hadde fra før.

      Ha en person- og datasikker dag 🙂

    • Martin Gundersen (NRK) (svar til roger kliner)

      Som det kommer frem i saken har man mange bedrifter en sikkerhetskopi, men også denne kan bli kryptert / ødelagt / gjort ubrukelig om inntrengerne har fått oppholde seg i systemet over tid.

    • Martin, hvis den enkelte tar sikkerhetskopier og lagrer disse offline – og de kriminelle har tilgang i lengre tid i systemet – så betyr det at sikkerhetskopier til langt tilbake i tid må tas vare på fordi de nyeste sikkerhetskopiene sannsynligvis vil være korrupte? Hvordan vet man hvilken sikkerhetskopi tilbake i tid den enkelte skal bruke for å opprette et system hvis de ikke vet når de kriminelle fikk tilgang til systemet?

    • Kris Sestad (svar til roger kliner)

      Vi har kryptert dine D’er.
      For å få låst opp D’ene dine må du sende rause mengder Snickers og Twist til undertegnede.

    • Christian Thoresen (svar til Tom Olsen)

      Uansett vil det være en risiko for en bedrift å stå fram med at de har betalt – jeg personlig ville ikke handlet hos en bedrift som finansierer kriminell virksomhet. Basert på vareutvalget i bakgrunnen av bildet ser det dog ut til at det er lite sannsynlig at jeg ville lagt igjen stort med penger hos PapirKompaniet uansett – og det kan jo her være sannsynlig at det er en såpass sterk korrelasjon mellom å være kunde og å ikke bry seg om slikt at det ikke har noen nevneverdig negativ effekt av å stå fram.

    • knut kristian fondal aas (svar til Tom Olsen)

      Hei!

      Jeg har også på andre fora etterlyst lovgiving som kriminaliserer det å utbetale løsepenger. Det ryktes fort og stopper dette effektivt. Hvis ikke vil dette bare koste oss enorme mengder tid, hodebry , økonomiske tap for bedrifter og bare øke.

    • Hans Monsen (svar til Tom Olsen)

      Det eralltsiveldigenkelt for dem som ikke står i situasjonen selv. Konsekvensene av et slik angrep blir fort større enn selskapet er i stand til å bære. Det er mer snakk om nødverge enn å støtte kriminalitet. Hvis du fikk valget mellom å tape alt du har ellerbetale en løsesum du kunne klare hva ville du gjort?

    • Rune Valle (svar til Tom Olsen)

      Å kriminalisere utbetaling av løsepenger vil gavne de kriminelle. Som det ble sagt her, greide de profesjonelle sikkerhetsfolkene å prute ned kravet. Videre er det større fare for at ofe ikke hadde gått i kontakt med slik hjelp, noe som ville kunne gjøre det lettere å angripe igjen. Det ville og gjøre det enda verre å gripe gjerningspersonen når de først gjør en tabbe, da politiet ikke ville blitt informert i samme grad.

  1. Hadde satt pris på om det ble laget en god artikkel som ble godt og synlig publisert om gode backupløsninger og alt som kanskje virker som «åpenbare» standarder hva gjelder passord og sikkerhet. Har prøvd å holde disse samtalene med min far i 60åra som driver mindre bedrifter, men det går i det samme om at de er såpass små så det skjer trolig ikke med dem og det gjør ikke noe osv osv.

    3-2-1 regelen liker jeg godt og følger selv med mine personlige filer og det essensielle for jobben da den er forholdsvis enkel å forstå fordelene til, men virker vanskeligere å følge opp. Selvfølgelig dette med backup off-site som jeg prøver å drille mest inn.

    Svar på denne kommentaren

  2. Ved å betale oppnår de tre ting
    1. De får kanskje tilgang til filene sine igjen
    2. De bidrar til å finansiere den videre virksomheten til utpresserne
    3. De viser at de er villige til å betale og derfor er ett attraktivt mål for nye angrep

    Pga 2. burde det gjøres straffbart å betale løsepengene. Vi får ikke bukt med dette problemet så lenge det er lønnsomt å angripe norske bedrifter. Om ingen betaler, fordi de risikerer fengsel og bøter, vil utpresserne se seg om etter andre mål.

    Svar på denne kommentaren

    • Hecker (svar til Nah)

      Må være mulig å spore bitcoins vel på noe måte for politiet og dermed ta dem som står bak pengekravet

  3. Jeg erfarte som vanlig bruker i den «DOS-olithiske» epoken hvor lite vits det var i å skrive allerede korrupte filer til en floppy.

    Jeg husker en tidligere fase av digitaliseringsapokalypsen hvor f. eks. banker tok sikkerhetskopier på (gjesp) døde trær. Er det noen som gjør det fremdeles? Eller er «air-gapping» av maskiner betraktet som «best practice», f. eks. av forsvar og etterretning?

    Svar på denne kommentaren

  4. Christian Thoresen

    Om noen tenker at det er rart at folk ikke har skjønt at man bør være forsiktige med å klikke på lenker eller åpne vedlegg – det finnes offentlige institusjoner i Norge som sender invitasjonen til sine IT-sikkerhetskurs nettopp på en slik måte som bør få varselbjellene til å ringe for fullt:
    – En e-post med litt tekst om at du ikke har deltatt på kurset med en lenke og et intetsigende bilde.
    – Ingen klar informasjon om hvem som er avsender og ansvarlig for kurset (ekstern kursholder, som ikke engang har samsvar mellom bedriftsnavn og domene).
    – Avsenderadresse tilsynelatende i domenet, men som Outlook gir tydelig beskjed om at ikke kan verifiseres.

    Jeg tenkte umiddelbart at her er det noen som røver seg på et angrep eller i beste fall bare prøver å svindle til seg kunder til et sikkerhetskurs og at dette var så åpenbart at IT-avdelingen kom til å stoppe flere slike e-poster. Etter et par purringer på å delta, sendt med samme oppsett tok jeg kontakt med IT. Det var visst en reell invitasjon og det virket ikke som de hadde så mye forståelse for at den så mistenkelig ut…

    Svar på denne kommentaren

  5. Her er mye å ta tak i.

    Det er kanskje «enkelt» å sikre data MEN hvor enkelt er det å kjøre en «restore»? Det koster penger. Dermed blir det ikke enkelt lengre. Det vet folk som jobber med IT og $$.

    Når man er utsatt for ransomware er det herlig (og kanskje flaks) om man fremdeles har data man kan bruke til en restore.

    Jeg jobber for et firma som selger løsning som hjelper mot ransomware og snakket med en UK kunde på Torsdag. Han sa klart fra at å få tak i dataen er en ting, men å få tak i nye servere, plass i datacenter, rack space, IP etc. det tok mye lengre tid enn å flytta data from A til B.
    Den kunden brukte 22 dager på comeback og han var lykkelig. Mesteparten på å bygge opp ny infrastruktur som han kunne sende data til. Jeg vet og om andre kunder hvor hackerne sletta alt av backup sånn at kunden ikke hadde valg.

    offsite/onsite etc.. har man admin password så har man alt. sånn er det bare.

    Faktum er at dette er IKKE et enkelt tema,
    det finnes MANGE svar på forskjellige omstendigheter og verden er ikke svar-hvit.

    Folk som diskuterer i svar/hvitt har neppe real life erfaring. f.eks; Det må feks gå an å betale litt NOK for å unngå konkurs og at personlig data blir lagt ut. Klart det nører oppunder MEN selvforsvar mot en kommersiell død er fremdeles lovlig eller?

    Svar på denne kommentaren

    • Frode Fredriksen (svar til erik)

      Det går an å sikre seg mot at idioter klikker på lenker eller laster ned vedlegg også…

  6. Er det nå en skal begynne å snakke om The Dawn Project og om vi ikke må tenke annerledes rundt programvare? Jeg sier ikke at det er enste løsningen, men det er tanker jeg mener bør tenkes.

    Svar på denne kommentaren

  7. Hva som ligger på den lokale PC/Mac er en ting, og også at kriminelle bryter seg inn på en server det samme. Men Dersom informasjon/data også er lagt opp i Skyen, hos f eks Microsoft Onedrive eller andre løsninger. Da har man jo kopier der?

    Svar på denne kommentaren

    • Frank R Petterson (svar til Per Henrksen)

      Riktig det. løsningen er å backe opp all data som blir modifisert, slik som txt filer. så fort de blir lagret.

  8. Ta en daglig kopi av alle de viktigste filene og legg dem på flere minnepenner eller harddisker
    Ta vare på dem og ha gjerne og en datamaskin som kan brukes til å scanne for virus. 1for eksempel, bruk Linux eller lignende. Windows virus vil ikke ødelegge Linux og motsatt.
    Bruk en nettsky tjeneste
    La være å piratkopiere med mindre du vet at piraten er ikke scam

    Svar på denne kommentaren

    • keal (svar til Ole)

      Jeg har utallige ganger prøvd å argumentere for at offline backup er et fundamentalt krav for sikring av data.

      Og omtrent like mange ganger har jeg blitt skarpt tilbakevist av folk som arbeider daglig med sikring: «Du skjønner ikke hvordan moderne backupsystemer virker! Det er ikke mulig å gjøre. Hvordan skulle vi da kunne …»

      Og så videre. Det liksom bare være slik, alle vet da det! Å få gehør for at jeg eksplisitt utfordrer denne tankegangen, er praktisk talt umulig.

      Hvis artikkelen ikke lyver, ser det jo ut som at Papirkompaniet nå faktisk har fått seg en offline backup. Så det er mulig. Vi må bare krysse fingre og tær for at de ikke bare har tatt en offline backup, men for det første at den lagres off-site, og for det andre (det aller viktigste!) at de ikke bare har én eneste offline-backup (som kanskje er to år gammel den dagen de får behov for den), men etablerte prosedyrer for å produsere ny offline backup regelmessig, f.eks. hver eneste dag.

      Hører vi på de som driver med sikkerhets-kopiering profesjonelt, går ikke slikt an.

      Nok en gang trekker jeg fram gode gamle http://www.taobackup.com/ Her er det vel søyle 3, Separation, som er mest relevant. Men igrunnen er samtlige sju søyler like relevante som for 25 år siden!

  9. Frode Fredriksen

    Hvem har sikkerhetskopi på en datamaskin tilkoblet et nettverk eller internett?

    Det er jo det samme som å be om trøbbel. IT-ansvarlig må jo ha IQ på frysepunktet eller langt under det…

    Det første jeg lærte, og det var før internett, man tok backup på eksterne disker. Og på den tiden jeg lærte det drev vi med floppydisker.

    Min backup tas i to omganger på to eksterne disker som kobles fra umiddelbart etter jobben er gjort. På den måten kan man ved infisering få gjenopprettet alle data.

    Det har så langt vært totalt unødvendig da jeg ikke åpner vedlegg i eposter selv fra mine beste venner. Vil de sende meg noe, får de gjøre det på en cd-rom eller på en minnepinne eller et sd-kort.

    Lurer på hva folk tenker med når de er på internett? Det kan i hvert fall ikke være med hodet.

    Svar på denne kommentaren

    • Prøv å få en selger av et typisk moderne backup-system med deg på det!

      For den saks skyld: Prøv å få med deg en typisk moderne datasenter-ansvarlig med deg på noe slikt. Eller nærmest hver eneste utvikler som har noe som helst å gjøre medd sikkeerhetskopiering. Offline, offsite backup er ganske enkelt ikke i samsvar med moderne ideer om hvordan man sikrer data.

      Such is life. And it is getting sucher and sucher every day.

Vil du kommentere? Svar på en quiz fra saken!

Vi er opptatt av kvaliteten på kommentarfeltet vårt. Derfor ønsker vi å sikre oss at alle som kommenterer, faktisk har lest saken. Svar på spørsmålene nedenfor for å låse opp kommentarfeltet.

Når skjedde dataangrepet?

Hva heter selskapet?

Hva gjør et løsepengevirus?

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.