Artikel top billede

Hacker kom ind via labelprinter: Tog dansk firmas it-systemer som gidsel

Hacker sneg sig ind via en labelprinter tilknyttet en Windows XP-maskine hos dansk farvegrossist. Alle virksomhedens data blev krypteret og kun frigivet mod betaling af løsesum. Firmaet fandt først pengene frem. Men skiftede så mening og tog kampen op.

Onsdag morgen den 21. januar var alt fryd og gammen hos farvegrossisten Aalborg Farve og Lak.

Lige præcis denne onsdag morgen skulle dog hurtigt udvikle sig til det værste it-mareridt i den 26 år gamle virksomheds historie.

Mareridtet skyldtes, at farve- og lakgrossisten var blevet hackerangrebet med ransomware og fik taget sine it-systemer som gidsel i flere dage.

Senere undersøgelser har vist, at hackeren var kommet ind i virksomhedens netværk via en labelprinter på farvegrossistens lager, der kørte på det usikre Windows XP-system, og som var forbundet til internettet.

Alle it-systemer lige fra virksomhedens ordresystem over faktureringsdatabasen til bogholderiet og mailsystemet blev lammet ved angrebet i form af en kryptering på systemerne, som kun hackerne havde nøglen til.

Den var gruelig gal

Aalborg Farve og Lak blev derfor lammet og ude af stand til at køre virksomheden videre under normale vilkår.

"Jeg var selv ude af huset onsdag morgen og blev ringet op om, at ingen kunne komme ind i vores computersystemer. Det er sket før, men det fortsatte hele formiddagen og eftermiddagen," forklarer Pernille Skall, salgs- og personaleansvarlig hos Aalborg Farve og Lak til Computerworld.

I løbet af dagen beroligede medarbejderne hos farvegrossisten hinanden med, at data sikkert lå ude i skyen, men her tog de fejl.

Pernille Skall fortsætter:

"Ud på aftenen vidste vi, at den var gruelig gal, og at vi havde mistet en masse data, da der senest var taget backup tilbage i november. Der går noget tid, før man fatter omfanget af den slags, men der er ingen tvivl om, at situationen var katastrofal."

Indleder forhandlinger med hackere
Katastrofen skyldtes, at Aalborg Farve og Lak, med en daglig omsætning på op mod 300.000 kroner, med de mistede datasæt også havde mistet kundeordrer, fakturaer og kundetilbud.

"Når kunderne efter angrebet bestilte og købte varer, måtte vi skrive det hele ned på papir. Det bliver hurtigt noget rod med sådan en gammeldags bogføring, når man har vænnet sig til at stole på it-systemerne," lyder det fra Pernille Skall.

Torsdag morgen, dagen efter angrebet blev indledt, har virksomheden derfor indkaldt sine 24 medarbejdere til krisemøde.

Her bliver det besluttet, at der skal forhandles med bagmændene, der forlanger at få udbetalt omkring 3.000 kroner i bitcoins for at give farve- og lakgrossisten kontrollen tilbage over blandt andet kunde-, vare- og finansielle data.

Beslutningen om at gå i forhandlinger med bagmændene skyldtes blandt andet, at politiet ikke kunne hjælpe virksomheden.

Selskabets forsikringsselskab slog også bare ud med armene, og så måtte virksomheden selv tage styringen i sagen og søge efter løsninger.

Planen med at forhandle med hackerne blev efter en uges tid skudt ned igen, da bagmændene dels er sløve til at svare, dels føler virksomheden sig ikke sikker på at få alle data igen.

"Man hører jo om andre sager, hvor hackerne hele tiden forlanger nye løsesummer i flere rater, hvis et firma vil have alle sine data igen. Selvom det i første omgang drejede sig om peanuts, så ville vi ikke havne i sådan en situation med hele tiden at skulle betale," forklarer Pernille Skall.

Klippede ledning til it-systemer

Mens angrebet ruller og data er holdt som gidsler i sagen, kontaktede Aalborg Farve og Lak det lokale it-selskab JCD i Aalborg for at få assistance.

JCD fik testet al hardware, det generelle sikkerhedsniveau og kunne ret hurtigt konstatere, at farvegrossisten stod over for en professionel hacker, der ikke bare lige ville slippe grebet med det samme.

Sammen med it-selskabet valgte Aalborg Farve og Lak derfor at klippe ledningerne til det gamle udstyr og købe nye computere til sælgerne og spritny software i hele virksomheden.

Derved kunne man via den gamle backup fra november genskabe en del af it-miljøet uden at skulle punge ud til de it-kriminelle bagmænd.

Det lykkedes også virksomheden at hive flere afsendte mails med vedhæftede fakturaer og ordrebestillinger ud af det fastfrosne mailsystem.

På den måde kunne farvefolkene printe og samle fakturaerne i en bunke med andre papirsedler, transportdokumenter og sager fra hukommelsen, der på dette tidspunkt udgjorde virksomhedens noget kaotiske bogholderi-'system'.

"Vi skulle alligevel have nyt Navision-system i maj, så vi måtte fremrykke den investering. På den måde kunne vi få tastet alt ind i det nye system. I hele sagen har vi dog tabt omkring en million kroner med de mistede ordrer, ny software og revisionsbistand," siger Pernille Skall.

Har hyret grafolog

Efterspillet i sagen har udover den tabte million også været ganske bittert, da Aalborg Farve og Lak har lagt sag an mod sin tidligere it-leverandør.

Dette søgsmål går på, hvorvidt it-leverandøren eller Aalborg Farve og Lak skulle have stået for backuppen, siden november.

Farve- og lakgrossisten har sågar hyret en grafolog til at fastslå, om det nu også er medarbejdere fra dens eget bogholderi, der har skrevet under på en ny backup-aftale.

"Vi mener ikke, at vi har modtaget den slags kontrakter, og derfor er vi ret skuffede over den del af sagen. Vi troede jo, at vi havde god it-sikkerhed, da vi i sin tid betalte flere hundredetusinde kroner for vores it-systemer," bedyrer Pernille Skall.

Alligevel tøver virksomheden nu ikke med at stå frem med sin rædselshistorie som en advarsel til alle andre små og mellemstore firmaer i Danmark.

"Vi regnede jo med, at backup og den slags havde vores tidligere it-leverandør styr på," fortæller Pernille Skall og fortsætter:

"Men vores oplevelser viser, at når vi uden nogle store hemmeligheder kan blive angrebet, så kan det ske for alle."

Fem gode råd til alle

Pernille Skall opsummerer Aalborg Farve og Laks oplevelser i fem gode råd, som alle virksomheder i Danmark med fordel bør overveje, inden de stifter bekendtskab med hackere i netværket.

"Vi har, nok som mange andre mellemstore danske firmaer, et it-miljø, der er knopskudt igennem årene. Derfor er det bestemt en god ide at kigge sit it-setup op igennem og gøre sig klart, hvad man selv har ansvar for, og hvad ens leverandør har ansvar for," siger hun.

Nummer to gode råd går på at indhente tilbud på hackerforsikringer, som er begyndt at pible frem hos forsikringsselskaberne.

"Lige nu er ved selv ved at indhente tilbud, da den slags kan spare virksomheder for mange ærgrelser," fortæller Pernille Skall.

Tredje råd fra farvegrossisten, der kom ud på den anden side af et ransomware-angreb med et tab på en million kroner, går på sikring af backup'en. For det er kun via solid backup, at en virksomhed kan rulle sit it-miljø tilbage til tiden før, at angrebet bliver sat ind.

Fjerde gode råd er, at man som virksomhedsejer inden større it-indkøb, kigger på referencer fra andre firmaer, der også har købt it ind i store mængder. Ligesom vi gør som privatpersoner, når vi køber kameraer, pc'er andet halvdyrt grej.

"Og så gælder det om at holde hovedet koldt og arbejde løsningsorienteret i stedet for at gå i panik og bare betale løsesummen, hvis du skulle blive ramt. Der er gode it-virksomheder derude, som kan hjælpe," råder Pernille Skall.

Rådet fra alle sikkerhedseksperter går på, at ransomware-ramte virksomheder IKKE betaler løsesum til it-forbryderne, men at man i stedet går til politiet og til sin it-leverandør.

Læs også:

Her er arbejdsmetoden: Sådan suger software-kidnappere penge ud af danskerne 

Politiet advarer: Stor ransomware-bølge skyller ind over Danmark