Dansk politi stemmer i: Betal ikke ransomware-afpresning

Illustration: Kaspersky
Man bidrager til kriminalitet, hvis man betaler ransomware-afpresning, lyder det kontant fra Landsdækkende Center for It-Kriminalitet.

Ransomwareangreb rammer nu store og små virksomheder som aldrig før. Kort før sommerferien blev Techotel ramt af et angreb, der ramte store dele af den danske hotelbranche midt i højsæsonen. Siden er Bauhaus blevet ramt - og det er kun nogle af de eksempler, vi kender til.

Læs også: Stadigt flere virksomheder vågner med ‘pistolen’ for panden: Digital afpresning driver ramte virksomheder til desperation

Derfor har Politiet gennem Landsdækkende Center for It-Kriminalitet (LCIK) lanceret en kampagne på Facebook med en række råd til danske borgere.

»Vi anbefaler man undgår at betale løsepenge. For det første er man ikke garanteret, at de kriminelle løser problemet, når man har betalt, men man motiverer også yderligere afpresning ved at vise, man er villig til at betale,« lyder det fra Anders-Emil Nøhr Kelbæk.

Han er sektionschef i LCIK og understreger, hvorfor man skal tænke sig om en ekstra gang inden man betaler hvad der kan virke som en lille sum for at få sine data tilbage:

»Det er ikke ulovligt at betale løsesum og afpresning, men det er klart at der er nogle nuancer. Man bidrager til kriminalitet, hvis man betaler. Man kan ikke nødvendigvis straffes for det, men der er altid et større billede, der gør, man kan støtte nogle andre grimme ting.«

Techotel endte ellers med at betale de kriminelle, og Bauhaus overvejede det. Om de også endte med at støtte deres foretagende ved vi ikke, men Version2 følger op, når det er muligt.

Det er altså ikke ualmindeligt, at danske virksomheder går mod de danske politis men også FBI's og danske sikkerhedseksperters anbefalinger om ikke at betale.

Pandoras ransomware-box

Samtidig bør man huske, at der ikke er nogen garanti for, at man får filerne tilbage, hvis man betaler.

»Der kan nemlig også være en ubevidst fejl i den software, de kriminelle bruger, så de faktisk slet ikke kan låse op for de angrebne filer. Selv hvis pengene er betalt.

Det bekræfter Keld Norman, der som white hat hacker hos Dubex flere gange har bidraget til nomoreransom.org med diverse brudstykker af forskellige ransomware, han kommer i berøring med, når han overvåger de mørke afkroge af internettet.

»De kriminelle laver tit fejl og de køber og sælger programmerne til hinanden. Derfor ser vi tit, at hackerne også snyder hinanden, og det går ud over ofrene for ransomware, hvis hackerne ikke kan låse filerne op, som de lover, fordi de er blevet snydt af dem, de har købt ransomwaren af,« siger Keld Norman.

Ingen eksempler på opklarede ransomwaresager

Selvom danskerne anmelder snesevis af ransomwareangreb kender politikomissæren endnu ikke en eneste dansk ransomwaresag, der har ført til anholdelse.

»Gerningsmændene bag ransomware sidder ofte i udlandet. Siden vi kun sender sagerne ud, kender jeg ikke til nogle sager der har ført til anholdelse,« siger Anders-Emil Nøhr Kelbæk, der fortsat opfordrer folk til at anmelde sagerne og i øvrigt håber, danskerne ser kampagnen fra Politiet på Facebook, enten som privatperson eller i relation til arbejdet:

»Et sidste råd er at gå ind på Nomoreransom.org, der løbende får nye nøgler ind til forskellige Ransomware-grene. Hvis man kan, giver det derfor god mening at slå koldt vand i blodet, for det sker fra tid til anden at ransomware-grene brydes af hackere og politi fra hele verden, der deler den viden med hinanden.«

I starten af næste uge vil Version2 forsøge at give et bedre indblik i økosystemet omkring ransomware. Hvor kommer den forhadte software fra, og hvad er hackernes seneste kneb? Læs med på Version2 i næste uge.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 René Nielsen

…. er intet umulig.

Jeg er måske lidt hård, men private virksomheder er altså ikke på finansloven!

Så for den virksomhed som er ramt af Ransomware er det eddermanede en billig bemærkning som den politikommissær fyrer af.

Det er i af ren nød at firmaer betaler gangsterne bag Ransomware for at få deres virksomhed op at køre igen.

Det der er brug for er, at politiet og efterretningstjenesten betragter Ransomware på linje med (økonomisk) terrorisme og nådesløst forfølger disse grupperinger i stedet for som i dag, blot at opgive fordi det sker fra udlandet.

Hack dem modsat, find ud af hvem de er, beslaglæg deres konti, efterlys dem via Interpol mv., offentliggør deres personlige detaljer, hvis deres banker ikke vil samarbejde indbring banken for Swift med mhp. udelukkelse fra SWIFT.

Kort sagt, gør al det som man gør imod mellemøstlige terrorbevægelser. Og ja, ligesom med terrorbevægelser, så får vi ikke fat i alle - fordi de beskyttes at nationalstater.

Men et par år senere, når hackeren står i lufthavnen og der ligger en ”Red Notice” vedrørende Ransomware på ham eller han opdager at hans kreditkort og bankkonti er spærret, så er det ikke så sjovt længere.

  • 44
  • 0
#2 ebbe hansen

…. er intet umulig.

For de danske myndigheder til gengæld er det mulige stærkt begrænset. Det har hidtil taget en lille evighed at få øget sikkerheden omkring nemid. Vi fastholder stædigt tele-logning, selv om det for mange år siden er kendt og erkendt ulovligt.

Jeg ved det ikke, men min tillid til at dansk politi formår at løse en opgave som denne, kan ligge på et meget lille sted. Så er det også meget nemmere at sende en stråmand i byen med budskabet "betal ikke".

  • 18
  • 2
#3 Louise Klint

LCIK’s opgave er at visitere de sager der kommer inden for it-kriminalitet og derefter sende dem ud til de politikredse, de er relevant for.

Men LCIK er vel ikke bare en fordelingscentral, er det?

Jeg kan huske dengang centeret blev oprettet, i januar 2019:

Som en del af lanceringen af LCIK er der blevet oprettet et selvbetjeningssystem, så borgere eller virksomheder, der er blevet taget ved næsen, anmelder det direkte til LCIK i stedet for til deres lokale politikreds.

-Så ser vi på det og kigger på, hvem gerningsmanden er, hvilken viden vi har om ham, og hvor han bor. Når vi så har fundet ud af, hvor han bor, så samler vi de her sager, binder en stor rød sløjfe om dem og sender dem ud til politikredsen, der så laver den videre retsforfølgning, forklarer Trine Møller [Vicepolitiinspektør, centerchef for LCIK]

Tidligere har hver enkelt politikreds skullet stå for det indledende efterforskningsarbejde og efterfølgende sende sagen videre til den politikreds, hvor gerningsmanden bor. Det har givet grobund for en del dobbeltarbejde, som LCIK nu skal være med til at fjerne.

-Vi kommer til at være hurtigt ude i forhold til at få identificeret gerningsmanden og få sagspakken ud til kredsene, så vi kan få stoppet ham, når han har lavet 10 forhold. Det er også rigtig meget, men vi har jo set nogen, der har lavet rigtigt mange forhold, siger Trine Møller.

LCIK arbejder også med forebyggelse:

Foruden at gøre indsatsen over for svindlerne hurtigere og mere overskuelig, vil LCIK også komme til at arbejde med forebyggelse. For når samtlige sager skal ind at vende i centret, bliver det muligt at få øje på de nye tendenser inden for it-relateret økonomisk kriminalitet langt hurtigere.

-Så vil vi hurtigere kunne gå ud og advisere både borgere og virksomheder og dermed også lukke hullerne hurtigere, forklarer Trine Møller.

06.01.19: https://www.dr.dk/nyheder/indland/nyt-politicenter-skal-saette-en-hurtig...

Version2 har set på centeret, efter et års virke. LCIK modtog knapt 27.000 anmeldelser om it-relateret økonomisk kriminalitet i 2019.

24.06.20: https://www.version2.dk/artikel/politiet-modtog-naesten-27000-anmeldelse...

  • 10
  • 0
#4 Sune Wallentin Gøttler

Tænk sig hvis man gjorde det ulovligt at betale kriminelle for en ulovlig handling eg. afpresning. Nogle vil stadig vælge at betale, men nu skal de så stå mål for både afpresningen og en straffesag Måske flere ville prioritere sikkerhed og kræve mere af politiets efterforskning.

  • 7
  • 2
#6 mikkel Holm
  • 5
  • 0
#7 Peter Hansen

Men jeg vil bare gerne lige skrive det en gang til: Som privat-person har jeg sat Windows FileHistory op på alle mine Windows-klienter. De sender deres backup-data til en NAS jeg har stående som udstiller et backupshare som SMB.

Windows FileHistory er egentlig glimrende med den ene undtagelse at credentials til SMB-sharet bliver gemt i Windows Credential Manageren. Og det er virkelig virkelig noget lort. Credentials skulle ligge i FileHistory-klienten istedet. Når først credentials til backup-mappen på SMB-sharet er havnet i Windows Crendential Manageren så har alle programmer der ønsker at browse SMB-sharet direkte adgang. Så ransomwhare kan i princippet blot browse stien og anmode om adgang fra Credential Manageren og vupti så kan den kryptere min FileHistory-backup.

Jeg har rapporteret det som en bug for godt og vel 23 år siden (sådan føltes det) men Microsoft er jo ligeglade.

  • 7
  • 0
#9 Sune Wallentin Gøttler

Hvordan tænker du virksomheder skal beskytte sig mod zero-day sårbarhed, når softwaren er proprietær og lukket kode? Eller skal der bruges opensource?

Måske naivt, forestillede jeg mig at en redundant backup kan sikre virksomheden, omend man ikke kan udelukke en hvis nedetid.

Er det ikke i sidste ende ligegyldigt om det er opensource ? Zerodays er vel pr. def. ikke kendte før de opdages. Klart med mere kontrol kan man måske hurtigere selv fikse et hul hvis man selv har fingre i koden.

  • 1
  • 1
#11 mikkel Holm

Måske naivt, forestillede jeg mig at en redundant backup kan sikre virksomheden, omend man ikke kan udelukke en hvis nedetid.

Det redundante backup vil have samme zero-day. Så er der en god chance for at blive ramt igen. Det sikre ikke virksomheden. Tilmed er det de færreste mindre virksomheder, der har råd til at betale dobbelt.

Er det ikke i sidste ende ligegyldigt om det er opensource ? Zerodays er vel pr. def. ikke kendte før de opdages. Klart med mere kontrol kan man måske hurtigere selv fikse et hul hvis man selv har fingre i koden.

Det var egentligt et spørgsmål til dig. Hvordan havde du tænkt sikkerheden skulle **prioriteres ** ved proprietær software?

  • 0
  • 0
Log ind eller Opret konto for at kommentere