Techotel betalte ransomware-banditter: Sikkerhedsfirma rådede os til at punge ud

Illustration: Laboko/Bigstock
Trods råd fra førende eksperter og fra politiet om ikke at bidrage til kriminalitet, har AK Techotel betalt løsesum til ransomware-kriminelle. Direktøren hævder det skete efter råd fra danske sikkerhedskonsulenter.

»Lad være med at betale løsesum til ransomware-hackere!«

Omtrent sådan lyder det samstemmende fra sikkerhedseksperter, dansk politi og sågar FBI. Alligevel vidner mængden af ransomware om, at der bliver betalt løsesumme i stor stil.

Læs også: Betalte løsesum trods politiets advarsler: Først halvanden måned senere er Techotels systemer tilbage

Blandt de, der har betalt de kriminelle er AK Techotel, der – som Version2 har fortalt – blev lammet af ransomware i juni og traf valget om at betale »meget mere end antaget« til det virksomheden selv betragtede som »banditter«.

Ifølge ejer, direktør og udviklingschef i AK Techotel, Klaus Ahrenkilde, er det sket efter råd fra det danske sikkerhedsfirma Eagle Shark.

»Vi havde Eagle Shark imellem til at forhandle på vores vegne. De fortalte os, at de havde erfaring for, at dem, der betalte kom i drift i løbet af et døgn. Det gjorde vi så ikke, må jeg sige.«

»For deres egen regning«

Han påpeger, at det var Eagle Sharks råd at betale løsesummen, men AK Techotels beslutning. Eagle Shark beskriver sig som en sikkerhedsvirksomhed, der beskæftiger sig med alt fra cybersikkerhed til efterforskning og livvagts-tjeneste.

Læs også: Betalte løsesum trods politiets advarsler: Først halvanden måned senere er Techotels systemer tilbage

Version2 har kontaktet Eagle Shark, der hverken vil be- eller afkræfte, at de har givet den konkrete rådgivning eller forklare hvorfor de – hvis de har givet det konkrete råd – er uenige med førende sikkerhedseksperter om, hvorvidt man skal betale ransomware-løsesumme.

»Vi udtaler os ikke om vores sager. Hvis kunden selv vil fortælle noget, står det for deres egen regning,« lyder det fra en unavngiven talsperson da Version2 kontakter Eagle Shark.

AK Techotel fortæller os, at I har rådet dem til at betale løsesummen. Det behøver ikke handle om den specifikke case, men jeg vil gerne vide om det generelt er jeres politik at give det råd?

»Endnu en gang med to store streger under: Hvad en kunde siger om et emne, hvor vi er involveret, det er for deres egen regning.«

Betaling bidrager til kriminalitet

Version2 ville særligt gerne vide, hvordan virksomheden forholder sig til, at politiet så sent som i sidste uge understregede, at betaling af ransomware er bidrag til kriminalitet.

»Vi anbefaler man undgår at betale løsepenge. For det første er man ikke garanteret, at de kriminelle løser problemet, når man har betalt, men man motiverer også yderligere afpresning ved at vise, man er villig til at betale,« sagde sektionschef i politiets Landsdækkende Center for It-Kriminalitet, LCIK, Anders-Emil Nøhr Kelbæk i sidste uge til Version2 og fortsatte:

»Det er ikke ulovligt at betale løsesum og afpresning, men det er klart at der er nogle nuancer. Man bidrager til kriminalitet, hvis man betaler. Man kan ikke nødvendigvis straffes for det, men der er altid et større billede, der gør, man kan støtte nogle andre grimme ting.«

Politiets pointe om, at ransomware-betalinger bidrager til kriminalitet vil Eagle Shark heller ikke forholde sig til, da Version2 spørger til den debat på et generelt plan:

»Vi vil slet ikke tage stilling til noget som helst eller udtale os om noget som helst og vi er apolitiske. Vi har opgaver for forskellige kunder ligesom så mange andre virksomheder. Dem udfører vi så og hvad de måtte vælge at udtale sig om det er ikke noget vi har ret til at blande os i.«

Andre rådgivere: Hold jer fra betaling!

Version2 forsøger gentagne gange at få svar på, hvad virksomhedens generelle råd på området er, men uden held. Version2 ville desuden gerne vide hvad der ligger til grund for den rådgivning, hvor AK Techotel angiveligt skulle have fået at vide, at man kunne slippe med et døgns nedetid ved betaling af løsesummen. Også her var svaret enslydende.

Det skorter ellers ikke på sikkerhedsrådgivere, der lægger sig i den anden side af vægtskålen. Blandt dem er Claus Vesthammer fra Improsec, der i juni fortalte om en sag, der i høj grad ligner AK Techotels:

»Bare for et par uger siden havde vi en dansk virksomhed, der kontaktede os. En meget oprørt direktør med 70-80 ansatte spurgte, om vi kunne dekryptere den konkrete ransomware. Det er der, så vidt vi ved ingen, der kan, så han spurgte, om vi ville hjælpe ham med at veksle bitcoins til angriberne – men det gør vi ikke. De så vitterligt ind i et scenarie, hvor de ikke havde nogen virksomhed, hvis de ikke betalte,« sagde han dengang til Version2.

Hos hans konkurrent Dubex var Jacob Herbst dengang enig:

»Grundlæggende er det sådan, at hver gang du som virksomhed betaler, sørger man for, at afpresningsforretningen kan betale sig. Jo flere der betaler, jo bedre er forretningen. Hvis ingen betalte, ville ransomware forsvinde,« siger Jacob Herbst, der omvendt godt kunne forstå de virksomheder, der betaler.

»Når man bliver ramt som virksomhed, står man pludselig i sit livs dilemma. Hvis min virksomhed var hårdt ramt, og dens ­overlevelse afhang af, at løsesummen bliver betalt, ville jeg også betale,« sagde Jacob Herbst i juni.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Simon Rigét

Vi kan jo trække på historiske erfaringer fra USA i 1930 i USA, Italien osv.

Hvis du ikke betalte beskyttelsespenge til mafiaen, hvad skete der så?

Det kan godt være at det er godt for samfundet, ikke at betale, men det kan have fatale konsekvenser for den enkelte.

Det der virkede i fht. mafiaen var en national indsats. Intet har principielt forandret sig, bortset fra skala og rækkevide. Lovløshed og hensynsløshed har eksisteret i hele vores historie.

Dette er en regeringsopgave (i samarbejde med EU og USA) Det er urimeligt at pålægge den enkelte virksomhed at tage et samfundsansvar på dette område.

  • 5
  • 1
#2 Jørgen Elgaard Larsen

Dette er en regeringsopgave (i samarbejde med EU og USA) Det er urimeligt at pålægge den enkelte virksomhed at tage et samfundsansvar på dette område.

Det er jeg sådan set enig i.

Men analogien med beskyttelsespenge holder ikke her. Beskyttelsespenge gives for ikke at blive overfaldet. Løsepenge til ransomware giver ingen garanti - tværtimod ansporer du de samme afpressere til at angribe igen. Du har jo vist dig villig til at betale. Og nu har de råd til en endnu mere avanceret angreb.

for din egen skyld må rådet være det samme som for andre afpressere: Lad være med at betale.

Og tydeligvis også: Lad være med at hyre Eagle Shark!

  • 10
  • 2
#3 Christian Nobel

Dette er en regeringsopgave (i samarbejde med EU og USA) Det er urimeligt at pålægge den enkelte virksomhed at tage et samfundsansvar på dette område.

Det er så sandelig også en "opdragelsesopgave" (og her svigter cfcUs jo fælt) således at man får ændret hele tilgangen til sikkerhed - her drejer det sig især om at undgå notorisk usikker monokultur.

Firmaerne har, ligegyldigt hvordan man end vender og drejer den, også et kæmpe ansvar, så det er altså ikke nok at sige at samfundet skal tage ansvaret.

  • 1
  • 3
#4 Simon Rigét

Men analogien med beskyttelsespenge holder ikke her. Beskyttelsespenge gives for ikke at blive overfaldet. Løsepenge til ransomware giver ingen garanti - tværtimod ansporer du de samme afpressere til at angribe igen. Du har jo vist dig villig til at betale. Og nu har de råd til en endnu mere avanceret angreb.

Det er jo rigtigt nok, men bortset fra en vis tidsforskydning mellem afpresning og konsekvens, mener jeg at problematikken er helt den samme. Man er jo heller ikke helt sikker på at mafiaen ikke gør en noget, selvom man betaler....

  • 2
  • 0
#5 Simon Rigét

Firmaerne har, ligegyldigt hvordan man end vender og drejer den, også et kæmpe ansvar, så det er altså ikke nok at sige at samfundet skal tage ansvaret.

Ja, specielt for den der laver udviklingsværktøjerne og operativsystemerne mm. Men hvis det kun er virksomhedderne der har ansvaret, kan vi ikke have små virksomhedder, der kun er eksperter på deres forretningsområder, sålænge man ikke kan kan stole helt på sikkerheden, af de underliggende systemer.

"Opdragelse" virker forøvrigt begge veje, så det står vel 1:1 her :)

  • 0
  • 0
#6 Ulrik Suhr

Hvad hvis man kun kan operere i DK hvis man laver backup 1 gang i mellem.. dette udføres af x firma som ikke er ansat på lokationen. Hvordan og hvorledes er op til backup firmaerne....

Lidt gammeldags, men tænk på en revision og regnskaberne. Så kan i forstå tanken bag. Det vil tage tid at få oprettet og være lidt besværligt i starten, men efter en årrække vil problemet dø og sikkerheden være væsentligt forbedret.

  • 1
  • 1
Log ind eller Opret konto for at kommentere