Revisor blev ramt af ransomware: Min verden gik i stå

Illustration: leowolfert/Bigstock
Selv Danmarks største virksomheder betaler hackere løsepenge for at få deres stjålne data tilbage, lyder det fra it-sikkerhedsekspert.

Sidste sommer kunne et større revisionsfirma på Sjælland, som ønsker at være anonymt, pludselig ikke få adgang til filerne på sin server. Når medarbejderne forsøgte at tilgå serveren, blev de i stedet mødt af en topprofessionel hjemmeside, der forklarede, at deres data var blevet krypteret og at den eneste måde, de kunne få adgang til filerne på igen, var ved at følge anvisningerne på hjemmesiden.

Billedet, der mødte revisorvirksomheden, da de forsøgte at tilgå deres egen server. Illustration: René Kornum

Revisorfirmaet var ramt at et ransomware-angreb, som via en åben port til ekstern backup på virksomhedens router havde fundet og installeret nyt software på deres server. Hackere havde fundet en svaghed i sikkerhedssoftwaren på nogle af serverproducenten Synologys servere, og serveren på revisorkontoret var en af dem.

»Min verden gik i stå,« kommer det prompte fra indehaveren af revisorkontoret.

Netop hjemvendt fra sommerferie blev han ringet op af virksomhedens it-ansvarlige, der overbragte den kedelige nyhed, som sendte revisoren i granat-chok.

»Jeg bor kun få minutter fra kontoret. Alligevel nåede jeg at tænke: 'Må vi afskedige alle medarbejdere, kommer jeg til at lukke virksomheden, skal jeg optage lån i huset til løsesum?' - inden jeg nåede ind på kontoret,« fortæller han.

Danmarks største virksomheder betaler

It-ekspert Bo Skeel fra Bitdefender kender godt problemet.

»Vi så de første tilfælde af ransomware i starten af foråret sidste år. Siden er det kørt slag i slag, og der vil komme flere og flere af dem og til alle platforme,« fastslår han.

En af årsagerne til hackernes store succes med ransomware er, at virksomhederne ofte vælger at betale sig fri af angrebene. Ifølge Bo Skeel er det helt almindeligt, at selv de største danske virksomheder betaler, hvis de rammes af et angreb.

»Jeg har personligt kendskab til rigtig mange virksomheder, og mange af dem er nogle af de største virksomheder, vi har herhjemme, og de vælger stort set alle at betale,« fortæller han.

Bitcoins åbner døren

Bitcoins er ifølge Bo Skeel årsagen til, at ransomware er blevet så udbredt.

»Den her form for virus blev populær blandt de uartige derude, da man fandt ud af at parre opkrævningen af løsesum med internet valutaen bitcoin,« forklarer han.

Problemet med bitcoin-transaktioner er, at de er 100 procent anonyme og derfor også kaldet kryptovaluta. Banker og myndigheder har således ingen mulighed for, som på traditionelt vis med enhver anden valuta, efterfølgende at følge en betaling og se, hvem modtageren er.

Læs også: Danske betjente skal lære, hvad en Bitcoin er, for at fange it-kriminelle

På den måde er der skabt en platform, hvor hackerne kan operere i det skjulte med en uhyre lille risiko for at blive afsløret.

På spørgsmålet om, hvorvidt der mangler lovgivning omkring bitcoins, svarer Bo Skeel:

»Ubetinget! Hvis bitcoins ikke eksisterede, ville det gøre det væsentligt sværere for hackerne at indkassere deres løsepenge.«

Skal, skal ikke

Beskeden fra hackerne til det ramte revisorkontor beskrev i korte træk, hvordan den sjællandske virksomhed via en bitcoin-konto skulle betale ca. 2.000 kroner for at få frigivet en nøgle, der kunne låse virksomhedens data op igen.

»Vi var virkelig i tvivl om, hvorvidt vi skulle stole på svindlerne og betale. Om vi nogensinde ville se vores data igen ligegyldigt hvad. Men vi havde jo alt at vinde og kun nogle få hundrede kroner at tabe,« forklarer indehaveren.

Læs også: Hospital lukket ned af ransomware

Revisorkontoret valgte at betale løsepenge. Og en evighed af nervepirrende minutter senere afslørede hjemmesiden den nøgle, der kunne dekryptere virksomhedens data. Data, der efter tyveriet viste sig alle at have fået ny fødselsdato, men ellers var intakte.

Selvom løsesummen var accepteret af hackerne, turde revisoren endnu ikke ånde lettet op. Illustration: René Kornum

»Vi turde ikke tro på det, før alle filer var dekrypteret og genoprettet på en ny disk. Det tog en hel nat, hvor vores it-ansvarlige sendte mig opdateringer time for time med, hvor mange procent af filerne der nu var reddet,« fortæller indehaveren og tilføjer:

»Dagen efter var en af de bedste i mit liv.«

Ikke alle betaler

Tilbage i januar 2015 var virksomheden Aalborg Farve og Lak udsat for samme type ransomware-angreb. Aalborg-virksomheden valgte dog ikke at stole på hackerne og betalte derfor ikke den forlangte løsesum. Beslutningen betød, at virksomheden mistede alle sine data, heriblandt ordresystem, faktureringsdatabase, bogholderi og mailsystem.

Læs også: Designfejl i ransomware afslørede bagmænds indtjening: 189 millioner kroner på fire måneder

En efterfølgende opgørelse har vist, at udgifterne til mistede ordrer, ny software og revisionsbistand har kostet virksomheden i omegnen af 1 million kroner.

Et generelt problem

Eksemplerne bekræfter en frisk stikprøveundersøgelse fra Danmarks Statistik med titlen ‘It-anvendelse i virksomheder’, der viser, at det generelt står dårligt til med it-sikkerheden i de danske virksomheder.

Kun 62 procent af de danske virksomheder har ifølge undersøgelsen en egentlig it-sikkerhedspolitik.

Hos Erhvervsstyrelsen er man opmærksomme på problemet og er i den forbindels ved at udvikle et it-sikkerhedskompas til virksomheder i stil med det styrelsens PrivacyKompas.

Aldrig 100 procent sikker

It-sikkerhed er ifølge Bo Steel et evigt kapløb mod dem, der ønsker at udnytte svagheder i den digitale infrastruktur.

»Hackerne er blevet så dygtige, og udviklingen inden for it går så hurtigt, at det er umuligt for virksomhederne at sikre sig 100 procent. Men vælg en god sikkerhedsløsning, og foretag hyppig backup,« lyder hans anbefaling.

Siden forskrækkelsen sidste sommer har revisorkontoret på Sjælland valgt også at have en offline-backup af deres data, oplyser den it-ansvarlige.

Version2 kender identiteten på revisorvirksomheden, som omtales i artiklen, og alle omtalte og citerede kilder derfra.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (33)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

Hvor er den henne? Den jeg har designet for det firma jeg er ved er lavet så sletning eller ændringer af filer maksimalt kan koste en uges arbejde hvis gjort på det helt forkerte tidspunkt. Ville have gjort det dagligt men pladsen af den meget lille server forhindrer det. Vi holder også komplette offline backups og snart krypteret offsite hvor jeg laver en API gateway som sikrer 100% envejs adgang til Backblaze eller S3.

Folk er elendige til baclups. Måske de snart lærer det når firmaet bliver truet direkte?

Btw. Kunne det være sjovt at finde et sample af en krypteringsvirus og lave et stykke overvågningssoftware som holder øje med for mange filer som pludselig får står IO aktivitet i kort tidsrum og ændrer sig væsentligt.

  • 8
  • 0
Yoel Caspersen Blogger

Når jeg læser artiklen, sidder jeg tilbage med en følelse af, at artikler som denne bekræfter, at man skal betale løsepenge, når man bliver ramt af ransomware. Det styrker alt andet lige piraternes forretning når rygtet går, at man kan redde sin virksomhed ved at betale løsepenge.

Samtidig har jeg også en dybfølt holdning om, at sådanne principper aldrig må komme i vejen for en fri og åben formidling af de faktiske forhold - sunshine is the best disinfectant osv. For en anden lære af historien er, at man skal sikre sin backup, og det er nok rigtig godt at få det eksempel frem med en meget håndgribelig historie. Jeg kan udmærket forholde mig til den følelse, den stakkels revisor sad med - det behøver bestemt ikke være et udtryk for forsømmelse fra hans side, at han bliver ramt af ransomware.

Så et spørgsmål til journalisten: Er det lykkes dig at opspore historier om virksomheder, der mistede deres data på trods af de betalte - eller er det alligevel så skamfuldt, at ingen vil fortælle om det?

  • 11
  • 0
Bjarke I. Pedersen

Den simple

Lav et backup system der IKKE kan tilgås fra windos file system.

Til backup er rsync -a --backup <+ lidt flere options ....> din bedste ven

I dette tilfælde havde det ikke gjort nogen forskel.
Her blev de ramt at synolocker, som rammer Synology bokse, som er smidt på nettet.
Så i dette tilfælde er det ransomware, hvor en Linux boks er problemet, og ikke Windows, for en gang skyld :-D (Hvis vi kan antage at billederne har relation til artiklens indhold)

  • 9
  • 0
Peter Binderup

Forbryderne er ikke helt dumme - de skyder med spredhagl, og sætter prisen så "lav" at de fleste nok vælger at betale. I bedste fald får de (virksomhederne) deres data tilbage - i værste fald har de tabt de 2000,- situationen er den samme, men de har trods alt gjort et forsøg.

Jeg er sikker på, at historier som denne er med til at skabe awareness omkring IT sikkerhed, herunder også sikringen af backup.

For mange er backup, desværre, ikke en "bare lige" opgave. Specielt ikke hvis der er tale om flere hundrede IT systemer i ens service katalog (ikke usædvanligt i kommuner), og jeg tror ganske enkelt ikke at der findes virksomheder i DK der med 100% sikkerhed kan sige at de ikke er i risiko for at havne i samme situation som dette revisionsselskab.

Næste problemstilling ved ekstern backup i DK er at den er rasende dyr, så næste overvejelse man skal gøre sig er at se stort på persondata inden for EU's grænser og vælge de løsninger der er til at betale sig til i udlandet (og hvis NSA vil have ens data så tror jeg næppe at de små udbydere i DK har en chance for at holde dem ude alligevel, men det er en helt anden snak og er mest af alt på et teoretisk niveau og ikke et realistisk niveau).

  • 2
  • 0
Palle Due Larsen

Bitcoins er Ifølge Bo Skeel årsagen til, at ransomware er blevet så udbredt.

Eller kunne det eventuelt være dårlig it-sikkerhed? Bitcoins don't take people for ransom, for at omskrive et dårligt, amerikansk slogan.

  • 11
  • 1
Yoel Caspersen Blogger

Forbryderne er ikke helt dumme - de skyder med spredhagl, og sætter prisen så "lav" at de fleste nok vælger at betale. I bedste fald får de (virksomhederne) deres data tilbage - i værste fald har de tabt de 2000,- situationen er den samme, men de har trods alt gjort et forsøg.

Jeg er meget enig, og heri ligger problemet: Hvis det bliver en generel trend, at man er "sikker" på at få sine data igen hvis bare man betaler, stiger prisen over tid.

2.000 kr. vil enhver virksomhed betale for at få sine data igen, men hvad nu, hvis prisen er 50.000 kr, 100.000 kr. eller 500.000 kr.? Jo mere sikker, man føler sig på at få sine data igen, jo mere er man villig til at betale.

Derfor kunne det være interessant at vide, om der ikke også findes eksempler på virksomheder, der har betalt, men efterfølgende har mistet deres data alligevel. Eksempler på tvivlsomme pirater, der ødelægger forretningen for de hæderlige pirater ;-)

  • 6
  • 0
Christian Nobel

Her blev de ramt at synolocker, som rammer Synology bokse, som er smidt på nettet.

Så måske man skal lade være med at bruge consumer bokse professionelt, men i stedet ofre nogle tusinde mere og sætte en "rigtig" server op.

Og så plejer jeg at lade et batch job køre en rsync til eksterne diske, som så byttes med jævne mellemrum, helst dagligt, eller hvis forbindelsen er god nok, rsync ud af huset.

På den måde er det altså højst et døgn der går galt.

We do not negotiate with terrorists!

Herudover - hvor man dog savner Netware, det eneste server OS hvor der virkelig var styr på brugere og rettigheder.

  • 3
  • 5
Christian Nobel
  • 1
  • 4
Yoel Caspersen Blogger

Et firma der bruger en NAS fra Synology som "server" tyder ikke på det helt store "service katalog", men mere en holdning om at klaske en billig løsning sammen.

Nu melder historien ikke, hvilken box fra Synology, der er tale om, men de fremstiller også dyre bokse til mindre virksomheder - fx deres RS3614xs, der koster mellem 20.000 og 30.000 kr. uden diske.

Så det behøver ikke være en intention om at "klaske en billig løsning sammen", der ligger bag.

  • 10
  • 0
Christian Nobel

Nu melder historien ikke, hvilken box fra Synology, der er tale om, men de fremstiller også dyre bokse til mindre virksomheder - fx deres RS3614xs, der koster mellem 20.000 og 30.000 kr. uden diske.

Så det behøver ikke være en intention om at "klaske en billig løsning sammen", der ligger bag.

Det kan så godt være de laver bokse de tager mange penge for, men det ændrer ikke på min holdning til brugen af NAS bokse professionelt, i stedet for at sætte en rigtig serverløsning op, hvor man er sikker på updates mv.

Men lur mig om der ikke er tale om en dyr boks (jeg har endnu til gode at møde en advokat eller revisor der prioriterer en god IT løsning højere end BMW'en eller Audien), så det var måske noget V2 skulle bore i, så vi kan få en kvalificeret debat, og ikke bare skal gætte os til sammenhængen.

  • 1
  • 6
Peter Holm Jensen

Så i dette tilfælde er det ransomware, hvor en Linux boks er problemet, og ikke Windows, for en gang skyld :-D (Hvis vi kan antage at billederne har relation til artiklens indhold)


OK, jeg retter:
Lav et backupsystem der IKKE kan tilgås ................
......af andet en backupscriptet ;-)

og lad rsync bruge ssh med nøglefiler.

Nu skal man til at stramme ballerne for at få krypteret den backup

  • 0
  • 0
Brian Hansen

De historier jeg har hørt hvor folk ikke fik låst op har skyldtes at politi havde lukket dealerens servere.


Du har ikke hørt om scenarioer hvor backup virkede?
I vores tilfælde er vores backup løsning helt 100% den hurtigste vej tilbage igen, worst case en arbejdsdag tabt. Heck selvom vi har små 40-50TB at restore så er det hurtigere end at rydde op efter det rod ransomwaren laver.
Plus du kan regne med at softwaren ikke er fjernet, den ligger bare på lur og venter på at blive tændt igen senere, så de kan starte forfra.

  • 6
  • 0
Maciej Szeliga

Jeg syntes der er meget fokus på "skal - skal ikke" i stedet for at være "hahahaha - dickheads - I just restored my backup"!
Lå deres backup på samme NAS som deres data ??
Er folk vanvittige ?

Ransomware udnytter det faktum at folk ikke laver backups og ikke opdaterer deres udstyr.
I realiteten burde første spørgsmål til den ramte være: "Hvorfor genetablerede du ikke bare fra din backup?"

  • 7
  • 0
Casper Olsen

Det kan så godt være de laver bokse de tager mange penge for, men det ændrer ikke på min holdning til brugen af NAS bokse professionelt, i stedet for at sætte en rigtig serverløsning op, hvor man er sikker på updates mv.

Kender du Synology? De laver løbende opdateringer hvor de retter sikkerhedsfejl og forbedre deres software og de tager sikkerhed meget seriøst. Da Synolocker ramte omkring August 2014, havde de lige frigivet DSM 5.0, som ikke var i risiko for at blive ramt. Faktisk var det kun DSM 4.3-3810 eller ældre, som havde et sikkerhedshul, som var blevet rettet helt tilbage i December 2013. Så fejlen ligger her ved brugeren, som ikke har opdateret sit udstyr, ikke producenten. Boxen kan nemlig automatisk opdatere, men det kan "virke irriterende" på brugerne hvis den pludselig opdater en opdatering og bare låser folk ude i 5-10 minutter..

Synolocker

  • 6
  • 0
Christian Nobel

Kender du Synology? De laver løbende opdateringer hvor de retter sikkerhedsfejl og forbedre deres software og de tager sikkerhed meget seriøst. Da Synolocker ramte omkring August 2014, havde de lige frigivet DSM 5.0, som ikke var i risiko for at blive ramt. Faktisk var det kun DSM 4.3-3810 eller ældre, som havde et sikkerhedshul, som var blevet rettet helt tilbage i December 2013. Så fejlen ligger her ved brugeren, som ikke har opdateret sit udstyr, ikke producenten.

Meget muligt, men det er stadig bokse der i bund og grund opfører sig som consumer udstyr - ih det er så let at sætte op.

Derfor kan Synology udstyret sikkert være udmærket, men jeg vil antage at 99+% ejes af folk der ligesom alskens IoT bras vi velsignes med, ikke har en bønne viden om hvad de har med at gøre, men som bare tilslutter det og efterfølgende glemmer det.

Så det er ikke kun et spørgsmål om udstyr (omend en rigtig server tvinger den såkaldt IT-ansvarlige til også at leve lidt op til sit navn), men også om den medfølgende manglende forståelse for sikkerhed og backup.

Men det ville da være rart hvis V2 lavede lidt opfølgende journalistik, så vi fik at vide hvad det var for en boks - men lur mig, det sker nok ikke, for så ville det komme frem at det sikkert var den billigste nasseboks der blev brugt som "server".

Jeg har faktisk ikke ret meget tilovers for firmaer med en omsætning på måske mange millioner og dyre biler på parkeringspladsen, som fedter med deres IT løsninger, som ikke må koste noget - bla. fordi nogle fabrikanter bilder forbrugeren ind at alt er åh-så-enkelt, hvilket det bare ikke altid er.

  • 1
  • 6
Hans Meulengracht-Madsen

Backup er udmærket hvis man med sikkerhed kan finde tilbage til en udgave, som er clean.
Men ransomware er - gætter jeg på - ofte lagt ind med forsinket tænding, så en nok så lang backuphistorik kan være inficeret.
Det betyder dels, at man for at komme tilbage til en brugbar, uinficeret backup kan risikere at miste en lang periode af data og systemopdateringer ved en retablering, dels ved man ikke om man har ramt den rigtige backup før det evt. er for sent.
Eller hur?

  • 0
  • 0
Ole Kaas

De må have haft en. Fra artiklen:

Revisorfirmaet var ramt at et ransomware-angreb, som via en åben port til ekstern backup på virksomhedens router havde fundet og installeret nyt software på deres server.

Men hvorfor blev den eksterne backup ikke anvendt? Hvorfor stod porten åben fra hele verden og ikke kun fra den eksterne backup? Den har vel være beskyttet af minimum et brugernavn/password? Hvis ja - hvorfor har det ikke været et langt og "trælst" password der ikke umiddelbart kunne gættes? osv.

Havde virksomheden dækket sig ind og simpelthen bare ramt at inkompetance fra leverandøren? Var leverandøren en proffesionelt firma eller blot en teknisk "kyndig" medarbejder?

Den her artikel rejser godt nok mange spørgsmål.

Mht. Aalborg Farve og Lak, så kunne de, uden jeg lige kender behovet, have fået pænt meget backup for 1 million kroner.

  • 1
  • 0
Martin Hansen

Hvorfor er det man generelt laver de her fod fejl? Hvorfor tager man backup til en NAS boks som har åbne porte ud af til? Eneste tilfælde man vil det, er hvis det er en renundant backup fra anden lokation .. Men så har man vel forpokker sat sin firewall op med de korrekte ACL så kun den korrekte source IP kan komme ind .. ?

  • 0
  • 1
Morten Toudahl

Jeg kan godt forstå de ikke vil stå frem med navn. Det er da flovt ikke at have opdateret server software i en to års tid, for derefter at blive offer for ransomware der udnytter det

  • 0
  • 0
Jens Jönsson

Hvorfor er det man generelt laver de her fod fejl? Hvorfor tager man backup til en NAS boks som har åbne porte ud af til? Eneste tilfælde man vil det, er hvis det er en renundant backup fra anden lokation .. Men så har man vel forpokker sat sin firewall op med de korrekte ACL så kun den korrekte source IP kan komme ind .. ?

Vel fordi der er mange som ikke har en hulens forstand på det de (forsøger) laver.
Jeg må desværre erkende at jeg har set mange eksempler på systemer der er åbne ud på Internet.
Bla. et system sat op af et alarmfirma til nogen overvågningskameraer. Standard kodeord. Tilmed når du checkede webserveren "inde bag", så var den hullet som en si. Så havde du været tyv og med bare en lille smule omløb i øverste, så kunne du nemt slukke kameraerne, røve hele skidtet og så tænde dem igen.
Jeg fandt ud af at det samme var tilfældet med alle deres afdelinger (forbundet i MPLS netværk), plus det faktum at alle kameraer var på samme VLAN som alt andet. De var ikke engang på DMZ. Så alt hos dem kunne være blevet kompromiteret (hvis det ikke allerede var).....

  • 2
  • 0
Jens Jönsson

Mht. ransomware, så er det bedste i min optik et backupsystem, som løbende tager backup af filer, når de bliver ændret og gemmer i flere revisioner (gemmer kun de bit der er blevet ændret, sådan at hver ændring ikke fylder specielt meget).
Hidtil har det afhjulpet de ransomware angreb, hvor filerne skifter fil endelse til f.eks. .crypt og lignende.
Den dag ransomware ikke ændrer filbetegnelse, så er det selvfølgelig lidt mere svært, hvis ransomware'n ligger og lurer i baggrunden og først efter lang tid går i krig....

  • 1
  • 0
Jens Jönsson

Hvis jeg var Cryptoware dealer ville jeg sikre at folk fik låst op hvis de betalte. Alt andet ville være en dårlig business case.
De historier jeg har hørt hvor folk ikke fik låst op har skyldtes at politi havde lukket dealerens servere.

Der er mange angreb, hvor dem der har betalt, kun har fået låst nogle filer op, hvorefter de skulle betale mere og sådan kunne den så fortsætte indtil det var temmeligt mange penge der blev udbetalt.....

  • 1
  • 0
Jens Jönsson

Hvor er den henne? Den jeg har designet for det firma jeg er ved er lavet så sletning eller ændringer af filer maksimalt kan koste en uges arbejde hvis gjort på det helt forkerte tidspunkt.

Folk er elendige til baclups. Måske de snart lærer det når firmaet bliver truet direkte?

Elendige ? Er det ikke elendigt, at det kan koste en uges arbejde ?

Konfigureret korrekt, kan et backupsystem, tage backup af filer, sådan at man kan genskabe indenfor få minutter, uden at det skal fylde alt for meget lagerplads. Det sker ved at kun de ændrede bits gemmes...

  • 0
  • 0
Log ind eller Opret konto for at kommentere