Betalte løsesum trods politiets advarsler: Først halvanden måned senere er Techotels systemer tilbage
Den 9. juni blev udbyderen af hotel-software AK Techotel ramt af ransomware, så de 900 hoteller, der brugte virksomhedens løsning øjeblikkeligt mistede overblik over eksempelvis bookinger til sommerens gæster.
Efter ni dages nedetid kom de væsentligste systemer op igen, mens de seneste systemer først blev genoprettet i slutningen af juli, oplyser ejer, direktør og udviklingschef Klaus Ahrenkilde til Version2.
En detaljeret gennemgang af sagen er han imidlertid ikke stemt for. Han henviser til, at sagen har betydet, at andre opgaver er blevet udskudt, hvorfor virksomheden har usædvanligt travlt.
»Jeg synes vi har skrevet meget om den sag på vores side efterhånden. Ti sider eller sådan noget,« siger direktøren med henvisning til den detaljerede gennemgang af sagen, som Techotel offentliggjorde i forbindelse med angrebet.
Her fremgik det blandt andet, at selskabet hurtigt valgte at betale løsesummen, men at data var krypteret fire gange og at dekrypteringsopgaven i sig selv var hård.
I dag er oplysningerne imidlertid fjernet og ransomwareangrebet fremgår ikke længere af AK Techotels hjemmeside.
»Nej, det har vi fjernet. Nu er vi videre, og vi bruger tiden på noget andet.«
I dag stammer eneste status fra virksomheden om sagen fra den 28/7, hvor AK Techotel melder, at support-mailadresserne til virksomheden nu er genetableret efter to Gmail-adresser har gjort det ud for det sædvanlige supportsystem indtil nu. Det fremgår ikke, at mail-problemerne skyldes et angreb. Men det bekræfter Klaus Ahrenkilde.
»Vi var i luften otte eller ni dage efter vi blev ramt den 9. juni.«
Men på jeres hjemmeside står der, at I stadig havde problemer – i hvert fald med jeres supportmail frem til slutningen af juli?
»Ja, men det har slet ikke noget med vores hosting at gøre. Vi har fokuseret på at få kundernes systemer op at køre først og fremmest. Vi lavede vores eget alternative supportsystem, som fungerede med to mailkonti.«
Mens han vurderer, at de mest væsentlige systemer for kunderne var kørende efter ni dage, var der altså både systemer, der var genetableret før og efter den dato. Senest altså med supportsystemet, som kom på plads igen den 28. juli.
Men vejen dertil er kraftigt omdiskuteret. Sikkerhedseksperter har gentagne gange rådet ofre til at lade være og senest har Politiet på det kraftigste frarådet, at man løser ransomwareproblemer ved at betale de kriminelle - selv om Politiet ikke betragter betalingen i sig selv som ulovlig.
»Vi anbefaler man undgår at betale løsepenge. For det første er man ikke garanteret, at de kriminelle løser problemet, når man har betalt, men man motiverer også yderligere afpresning ved at vise, man er villig til at betale,« sagde sektionschef i politiets Landsdækkende Center for It-Kriminalitet Anders-Emil Nøhr Kelbæk i sidste uge til Version2.
Hvorfor vælger I den vej, som både politiet og sikkerhedseksperter fraråder kraftigt?
»Vi vælger det, som vores kunder foretrækker. Det er at komme i drift så hurtigt som overhovedet muligt. Det var højsæson for hotellerne og vi skal huske på hvor stort det var. Det var næsten 1000 hoteller, der lå ned på grund af dette her. Så vi vælger naturligvis det der bidrager positivt til vores kunders drift,« siger Klaus Ahrenkilde.
Han svarer ikke på om hackergruppen har truet med at offentliggøre kunders data, som Version2 har beskrevet, at det sker i en række sager. Han peger dog på, at det ikke har været en afgørende faktor i beslutningen.
»Jeg ejer virksomheden og skal ikke stå til regnskab over for andre aktionærer end mig selv. det betyder, at vi kan tage disse her beslutninger meget hurtigt. Vi tog dem meget hurtigt sammen med vores rådgiver. Og førsteprioriteten var at få hotellerne op at køre igen,« siger han.
Valget om at betale blev truffet efter en konsulentvirksomhed havde rådet Klaus Ahrenkilde til at betale løsesummen, fortæller han. Her fik han at vide, at man typisk kunne nøjes med et døgns nedetid, hvis man betalte.
Sådan gik det ikke, men han er stadig overbevist om, at det var det rette valg at betale.
»Det kan man altid reflektere lidt over, men jeg tror der er mange, der vælger at betale,« vurderer han.
»Der var ting vi måtte ind og hente for at få vores søge-system op at køre og den slags. Det havde taget os meget længere tid, hvis vi ikke havde betalt.«
Selve SQL-databasen med kundernes oplysninger havde AK Techotel en brugbar backup af, men alle de mindre systemer, der skulle holde virksomheden kørende på andre punkter, var ramt af ransomwarens kryptering uden en brugbar backup. Hvilke og hvor mange systemer, der konkret var tale om oplyser Klaus Ahrenkilde ikke, men han nævner at blandt andet en exchange-server var ramt.
Sluppet billigt
AK Techotel vil ikke oplyse hvad prisen for at frigive data var, men direktøren vurderer, at de sluppet billigt i forhold til andre sager.
»Vi er en lille virksomhed, i mine øjne for lille til, at det giver mening at angribe os med sådan noget som dette her. De tal jeg hører andre har betalt er helt sindssyge i forhold til vores. Hvis man var hacker forestiller jeg mig, at man ville vælge nogle af dem,« mener Klaus Ahrenkilde.
Han kender ikke navnet på den konkrete ransomware, der ramte virksomheden, men han betragter det som »en giftig én«. Han ønsker ikke at undersøge det nærmere eller at uddybe angrebet over for Version2 i dag på grund af tidsnød. Omkring nytår vil han til gengæld gerne dele erfaringerne med Version2’s læsere, lyder det fra direktøren.
