Betalte løsesum trods politiets advarsler: Først halvanden måned senere er Techotels systemer tilbage

Illustration: Screendump / Christian Østergaard
Politi og eksperter fraråder at betale løsesum til hackere. Alligevel betaler de ramte virksomheder for at komme hurtigere online igen. Et dansk eksempel viser, at det ikke nødvendigvis fører til en hurtig genetablering.

Den 9. juni blev udbyderen af hotel-software AK Techotel ramt af ransomware, så de 900 hoteller, der brugte virksomhedens løsning øjeblikkeligt mistede overblik over eksempelvis bookinger til sommerens gæster.

Efter ni dages nedetid kom de væsentligste systemer op igen, mens de seneste systemer først blev genoprettet i slutningen af juli, oplyser ejer, direktør og udviklingschef Klaus Ahrenkilde til Version2.

En detaljeret gennemgang af sagen er han imidlertid ikke stemt for. Han henviser til, at sagen har betydet, at andre opgaver er blevet udskudt, hvorfor virksomheden har usædvanligt travlt.

Læs også: Dansk hotelbooking betaler stor løsesum til ransomware-banditter: »Det var det første vi gjorde«

»Jeg synes vi har skrevet meget om den sag på vores side efterhånden. Ti sider eller sådan noget,« siger direktøren med henvisning til den detaljerede gennemgang af sagen, som Techotel offentliggjorde i forbindelse med angrebet.

Her fremgik det blandt andet, at selskabet hurtigt valgte at betale løsesummen, men at data var krypteret fire gange og at dekrypteringsopgaven i sig selv var hård.

I dag er oplysningerne imidlertid fjernet og ransomwareangrebet fremgår ikke længere af AK Techotels hjemmeside.

»Nej, det har vi fjernet. Nu er vi videre, og vi bruger tiden på noget andet.«

I dag stammer eneste status fra virksomheden om sagen fra den 28/7, hvor AK Techotel melder, at support-mailadresserne til virksomheden nu er genetableret efter to Gmail-adresser har gjort det ud for det sædvanlige supportsystem indtil nu. Det fremgår ikke, at mail-problemerne skyldes et angreb. Men det bekræfter Klaus Ahrenkilde.

»Vi var i luften otte eller ni dage efter vi blev ramt den 9. juni.«

Men på jeres hjemmeside står der, at I stadig havde problemer – i hvert fald med jeres supportmail frem til slutningen af juli?

»Ja, men det har slet ikke noget med vores hosting at gøre. Vi har fokuseret på at få kundernes systemer op at køre først og fremmest. Vi lavede vores eget alternative supportsystem, som fungerede med to mailkonti.«

Mens han vurderer, at de mest væsentlige systemer for kunderne var kørende efter ni dage, var der altså både systemer, der var genetableret før og efter den dato. Senest altså med supportsystemet, som kom på plads igen den 28. juli.

Men vejen dertil er kraftigt omdiskuteret. Sikkerhedseksperter har gentagne gange rådet ofre til at lade være og senest har Politiet på det kraftigste frarådet, at man løser ransomwareproblemer ved at betale de kriminelle - selv om Politiet ikke betragter betalingen i sig selv som ulovlig.

»Vi anbefaler man undgår at betale løsepenge. For det første er man ikke garanteret, at de kriminelle løser problemet, når man har betalt, men man motiverer også yderligere afpresning ved at vise, man er villig til at betale,« sagde sektionschef i politiets Landsdækkende Center for It-Kriminalitet Anders-Emil Nøhr Kelbæk i sidste uge til Version2.
Hvorfor vælger I den vej, som både politiet og sikkerhedseksperter fraråder kraftigt?

»Vi vælger det, som vores kunder foretrækker. Det er at komme i drift så hurtigt som overhovedet muligt. Det var højsæson for hotellerne og vi skal huske på hvor stort det var. Det var næsten 1000 hoteller, der lå ned på grund af dette her. Så vi vælger naturligvis det der bidrager positivt til vores kunders drift,« siger Klaus Ahrenkilde.

Han svarer ikke på om hackergruppen har truet med at offentliggøre kunders data, som Version2 har beskrevet, at det sker i en række sager. Han peger dog på, at det ikke har været en afgørende faktor i beslutningen.

»Jeg ejer virksomheden og skal ikke stå til regnskab over for andre aktionærer end mig selv. det betyder, at vi kan tage disse her beslutninger meget hurtigt. Vi tog dem meget hurtigt sammen med vores rådgiver. Og førsteprioriteten var at få hotellerne op at køre igen,« siger han.

Valget om at betale blev truffet efter en konsulentvirksomhed havde rådet Klaus Ahrenkilde til at betale løsesummen, fortæller han. Her fik han at vide, at man typisk kunne nøjes med et døgns nedetid, hvis man betalte.

Sådan gik det ikke, men han er stadig overbevist om, at det var det rette valg at betale.

»Det kan man altid reflektere lidt over, men jeg tror der er mange, der vælger at betale,« vurderer han.

»Der var ting vi måtte ind og hente for at få vores søge-system op at køre og den slags. Det havde taget os meget længere tid, hvis vi ikke havde betalt.«

Selve SQL-databasen med kundernes oplysninger havde AK Techotel en brugbar backup af, men alle de mindre systemer, der skulle holde virksomheden kørende på andre punkter, var ramt af ransomwarens kryptering uden en brugbar backup. Hvilke og hvor mange systemer, der konkret var tale om oplyser Klaus Ahrenkilde ikke, men han nævner at blandt andet en exchange-server var ramt.

Sluppet billigt

AK Techotel vil ikke oplyse hvad prisen for at frigive data var, men direktøren vurderer, at de sluppet billigt i forhold til andre sager.

»Vi er en lille virksomhed, i mine øjne for lille til, at det giver mening at angribe os med sådan noget som dette her. De tal jeg hører andre har betalt er helt sindssyge i forhold til vores. Hvis man var hacker forestiller jeg mig, at man ville vælge nogle af dem,« mener Klaus Ahrenkilde.

Han kender ikke navnet på den konkrete ransomware, der ramte virksomheden, men han betragter det som »en giftig én«. Han ønsker ikke at undersøge det nærmere eller at uddybe angrebet over for Version2 i dag på grund af tidsnød. Omkring nytår vil han til gengæld gerne dele erfaringerne med Version2’s læsere, lyder det fra direktøren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Henrik Secher Jarlskov

Lige så meget som jeg har respekt for at de vælger at dele oplysningerne omkring hvordan de har håndteret sagen lige så hurtigt mister jeg den igen når de vælger at "gemme" det væk, da det "jo ligger i fortiden".

Så når andre bliver ramt i fortiden er det ikke let at gå ind og fremfinde erfaringer fra dem.

Til gengæld har Karma det med at "vende tilbage" og ramme en og selvom den stakkels direktør ikke kan forstå at hackere vil gå efter så "lille" en sum så har han jo netop givet dem et yderligere incitament. Så mon ikke han i fremtiden får brug et bedre og mere konsistent backup system.

  • 18
  • 3
#2 Povl H. Pedersen

Jeg synes at sagen her er håndteret så meget bedre end Bauhaus der lukker ned for al information. Ingen må vide hvad der er ramt og hvor hårdt. Der kan være flere årsager, den ene er tysk topstyring der slet ikke passer ind i andre lande end Tyskland, det andet kan være at Bauhaus har været ramt så hårdt at de ikke vil have det ud. Her burde V2 have fået en kopi af anmeldelsen til datatilsynet. Hvis click&collect er ramt, så er der nok nogle der potentielt har haft adgang til kundedata.

Men ud fra statistikker, så er der nu 70% sandsynlighed fro at AK Tekhotel og Bauhaus rammes indenfor det næste år. Dette tal er ret højt, taget i betragtning at man burde lære af sine fejl. Men sikkerhed er ikke let, og tager tid at implementere rigtigt. En ting er backup, men noget andet er at holde malware ude, og passe på kunders data.

Det er ikke trivielt at redesigne sit netværk og forhindre vandret bevægelse. At fjerne cached credentials lokalt, og give admins flere konti med forskellige rettigheder er i den lette ende.

At omlægge netværk til mikrosegmentering, og kun udstille nødvendige services, og tillade administration fra få servere der kun kan nås gennem jumpserver/bastion host med MFA logon er ikke helt trivielt Og så laver man selvfølgelig egress filtering ved samme lejlighed. (dvs ingen server internetadgang, kun adgang fra servere til known good hosts (Typisk via proxy)).

  • 9
  • 1
Log ind eller Opret konto for at kommentere