Techotel betalte ransomware-banditter: Sikkerhedsfirma rådede os til at punge ud
»Lad være med at betale løsesum til ransomware-hackere!«
Omtrent sådan lyder det samstemmende fra sikkerhedseksperter, dansk politi og sågar FBI. Alligevel vidner mængden af ransomware om, at der bliver betalt løsesumme i stor stil.
Blandt de, der har betalt de kriminelle er AK Techotel, der – som Version2 har fortalt – blev lammet af ransomware i juni og traf valget om at betale »meget mere end antaget« til det virksomheden selv betragtede som »banditter«.
Ifølge ejer, direktør og udviklingschef i AK Techotel, Klaus Ahrenkilde, er det sket efter råd fra det danske sikkerhedsfirma Eagle Shark.
»Vi havde Eagle Shark imellem til at forhandle på vores vegne. De fortalte os, at de havde erfaring for, at dem, der betalte kom i drift i løbet af et døgn. Det gjorde vi så ikke, må jeg sige.«
»For deres egen regning«
Han påpeger, at det var Eagle Sharks råd at betale løsesummen, men AK Techotels beslutning. Eagle Shark beskriver sig som en sikkerhedsvirksomhed, der beskæftiger sig med alt fra cybersikkerhed til efterforskning og livvagts-tjeneste.
Version2 har kontaktet Eagle Shark, der hverken vil be- eller afkræfte, at de har givet den konkrete rådgivning eller forklare hvorfor de – hvis de har givet det konkrete råd – er uenige med førende sikkerhedseksperter om, hvorvidt man skal betale ransomware-løsesumme.
»Vi udtaler os ikke om vores sager. Hvis kunden selv vil fortælle noget, står det for deres egen regning,« lyder det fra en unavngiven talsperson da Version2 kontakter Eagle Shark.
AK Techotel fortæller os, at I har rådet dem til at betale løsesummen. Det behøver ikke handle om den specifikke case, men jeg vil gerne vide om det generelt er jeres politik at give det råd?
»Endnu en gang med to store streger under: Hvad en kunde siger om et emne, hvor vi er involveret, det er for deres egen regning.«
Betaling bidrager til kriminalitet
Version2 ville særligt gerne vide, hvordan virksomheden forholder sig til, at politiet så sent som i sidste uge understregede, at betaling af ransomware er bidrag til kriminalitet.
»Vi anbefaler man undgår at betale løsepenge. For det første er man ikke garanteret, at de kriminelle løser problemet, når man har betalt, men man motiverer også yderligere afpresning ved at vise, man er villig til at betale,« sagde sektionschef i politiets Landsdækkende Center for It-Kriminalitet, LCIK, Anders-Emil Nøhr Kelbæk i sidste uge til Version2 og fortsatte:
»Det er ikke ulovligt at betale løsesum og afpresning, men det er klart at der er nogle nuancer. Man bidrager til kriminalitet, hvis man betaler. Man kan ikke nødvendigvis straffes for det, men der er altid et større billede, der gør, man kan støtte nogle andre grimme ting.«
Politiets pointe om, at ransomware-betalinger bidrager til kriminalitet vil Eagle Shark heller ikke forholde sig til, da Version2 spørger til den debat på et generelt plan:
»Vi vil slet ikke tage stilling til noget som helst eller udtale os om noget som helst og vi er apolitiske. Vi har opgaver for forskellige kunder ligesom så mange andre virksomheder. Dem udfører vi så og hvad de måtte vælge at udtale sig om det er ikke noget vi har ret til at blande os i.«
Andre rådgivere: Hold jer fra betaling!
Version2 forsøger gentagne gange at få svar på, hvad virksomhedens generelle råd på området er, men uden held. Version2 ville desuden gerne vide hvad der ligger til grund for den rådgivning, hvor AK Techotel angiveligt skulle have fået at vide, at man kunne slippe med et døgns nedetid ved betaling af løsesummen. Også her var svaret enslydende.
Det skorter ellers ikke på sikkerhedsrådgivere, der lægger sig i den anden side af vægtskålen. Blandt dem er Claus Vesthammer fra Improsec, der i juni fortalte om en sag, der i høj grad ligner AK Techotels:
»Bare for et par uger siden havde vi en dansk virksomhed, der kontaktede os. En meget oprørt direktør med 70-80 ansatte spurgte, om vi kunne dekryptere den konkrete ransomware. Det er der, så vidt vi ved ingen, der kan, så han spurgte, om vi ville hjælpe ham med at veksle bitcoins til angriberne – men det gør vi ikke. De så vitterligt ind i et scenarie, hvor de ikke havde nogen virksomhed, hvis de ikke betalte,« sagde han dengang til Version2.
Hos hans konkurrent Dubex var Jacob Herbst dengang enig:
»Grundlæggende er det sådan, at hver gang du som virksomhed betaler, sørger man for, at afpresningsforretningen kan betale sig. Jo flere der betaler, jo bedre er forretningen. Hvis ingen betalte, ville ransomware forsvinde,« siger Jacob Herbst, der omvendt godt kunne forstå de virksomheder, der betaler.
»Når man bliver ramt som virksomhed, står man pludselig i sit livs dilemma. Hvis min virksomhed var hårdt ramt, og dens overlevelse afhang af, at løsesummen bliver betalt, ville jeg også betale,« sagde Jacob Herbst i juni.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
