Hacker kom ind via labelprinter: Tog dansk firmas it-systemer som gidsel

Hacker sneg sig ind via en labelprinter tilknyttet en Windows XP-maskine hos dansk farvegrossist. Alle virksomhedens data blev krypteret og kun frigivet mod betaling af løsesum. Firmaet fandt først pengene frem. Men skiftede så mening og tog kampen op.

Annonce:
Annonce:
Onsdag morgen den 21. januar var alt fryd og gammen hos farvegrossisten Aalborg Farve og Lak.

Lige præcis denne onsdag morgen skulle dog hurtigt udvikle sig til det værste it-mareridt i den 26 år gamle virksomheds historie.

Mareridtet skyldtes, at farve- og lakgrossisten var blevet hackerangrebet med ransomware og fik taget sine it-systemer som gidsel i flere dage.

Senere undersøgelser har vist, at hackeren var kommet ind i virksomhedens netværk via en labelprinter på farvegrossistens lager, der kørte på det usikre Windows XP-system, og som var forbundet til internettet.

Alle it-systemer lige fra virksomhedens ordresystem over faktureringsdatabasen til bogholderiet og mailsystemet blev lammet ved angrebet i form af en kryptering på systemerne, som kun hackerne havde nøglen til.

Den var gruelig gal
Aalborg Farve og Lak blev derfor lammet og ude af stand til at køre virksomheden videre under normale vilkår.

"Jeg var selv ude af huset onsdag morgen og blev ringet op om, at ingen kunne komme ind i vores computersystemer. Det er sket før, men det fortsatte hele formiddagen og eftermiddagen," forklarer Pernille Skall, salgs- og personaleansvarlig hos Aalborg Farve og Lak til Computerworld.

Medejer og salgs- og personaleansvarlig hos Aalborg Farve- og Lak, Pernille Skall, fortæller, at virksomheden i dag har et velfungerende it-miljø. 

Men det så helt håbløst ud, da farvegrossisten for to måneders tid siden blev angrebet med ransomware. 

Annonce:

I løbet af dagen beroligede medarbejderne hos farvegrossisten hinanden med, at data sikkert lå ude i skyen, men her tog de fejl.

Pernille Skall fortsætter:

"Ud på aftenen vidste vi, at den var gruelig gal, og at vi havde mistet en masse data, da der senest var taget backup tilbage i november. Der går noget tid, før man fatter omfanget af den slags, men der er ingen tvivl om, at situationen var katastrofal."

Indleder forhandlinger med hackere

Katastrofen skyldtes, at Aalborg Farve og Lak, med en daglig omsætning på op mod 300.000 kroner, med de mistede datasæt også havde mistet kundeordrer, fakturaer og kundetilbud.

"Når kunderne efter angrebet bestilte og købte varer, måtte vi skrive det hele ned på papir. Det bliver hurtigt noget rod med sådan en gammeldags bogføring, når man har vænnet sig til at stole på it-systemerne," lyder det fra Pernille Skall.

Torsdag morgen, dagen efter angrebet blev indledt, har virksomheden derfor indkaldt sine 24 medarbejdere til krisemøde.

Her bliver det besluttet, at der skal forhandles med bagmændene, der forlanger at få udbetalt omkring 3.000 kroner i bitcoins for at give farve- og lakgrossisten kontrollen tilbage over blandt andet kunde-, vare- og finansielle data.

Beslutningen om at gå i forhandlinger med bagmændene skyldtes blandt andet, at politiet ikke kunne hjælpe virksomheden.

Selskabets forsikringsselskab slog også bare ud med armene, og så måtte virksomheden selv tage styringen i sagen og søge efter løsninger.

Planen med at forhandle med hackerne blev efter en uges tid skudt ned igen, da bagmændene dels er sløve til at svare, dels føler virksomheden sig ikke sikker på at få alle data igen.

"Man hører jo om andre sager, hvor hackerne hele tiden forlanger nye løsesummer i flere rater, hvis et firma vil have alle sine data igen. Selvom det i første omgang drejede sig om peanuts, så ville vi ikke havne i sådan en situation med hele tiden at skulle betale," forklarer Pernille Skall.

Klippede ledning til it-systemer
Mens angrebet ruller og data er holdt som gidsler i sagen, kontaktede Aalborg Farve og Lak det lokale it-selskab JCD i Aalborg for at få assistance.

JCD fik testet al hardware, det generelle sikkerhedsniveau og kunne ret hurtigt konstatere, at farvegrossisten stod over for en professionel hacker, der ikke bare lige ville slippe grebet med det samme.

(klik for større billede)

Ransomware kan antage mange farver og former, når det viser sig, at dine it-systemer er blevet hackede. 

Ovenstående billede er et eksempel, hvor blandt andre dansk politi og dronning Margrethe bliver misbrugt for at få fastfrysningen af data til at se officiel ud. 

Dermed er hackernes logik, at betalingen fra ofret nok sker noget nemmere. 

Annonce:

Sammen med it-selskabet valgte Aalborg Farve og Lak derfor at klippe ledningerne til det gamle udstyr og købe nye computere til sælgerne og spritny software i hele virksomheden.

Derved kunne man via den gamle backup fra november genskabe en del af it-miljøet uden at skulle punge ud til de it-kriminelle bagmænd.

Det lykkedes også virksomheden at hive flere afsendte mails med vedhæftede fakturaer og ordrebestillinger ud af det fastfrosne mailsystem.

På den måde kunne farvefolkene printe og samle fakturaerne i en bunke med andre papirsedler, transportdokumenter og sager fra hukommelsen, der på dette tidspunkt udgjorde virksomhedens noget kaotiske bogholderi-'system'.

"Vi skulle alligevel have nyt Navision-system i maj, så vi måtte fremrykke den investering. På den måde kunne vi få tastet alt ind i det nye system. I hele sagen har vi dog tabt omkring en million kroner med de mistede ordrer, ny software og revisionsbistand," siger Pernille Skall.

Har hyret grafolog
Efterspillet i sagen har udover den tabte million også været ganske bittert, da Aalborg Farve og Lak har lagt sag an mod sin tidligere it-leverandør.

Dette søgsmål går på, hvorvidt it-leverandøren eller Aalborg Farve og Lak skulle have stået for backuppen, siden november.

Farve- og lakgrossisten har sågar hyret en grafolog til at fastslå, om det nu også er medarbejdere fra dens eget bogholderi, der har skrevet under på en ny backup-aftale.

"Vi mener ikke, at vi har modtaget den slags kontrakter, og derfor er vi ret skuffede over den del af sagen. Vi troede jo, at vi havde god it-sikkerhed, da vi i sin tid betalte flere hundredetusinde kroner for vores it-systemer," bedyrer Pernille Skall.

Alligevel tøver virksomheden nu ikke med at stå frem med sin rædselshistorie som en advarsel til alle andre små og mellemstore firmaer i Danmark.

"Vi regnede jo med, at backup og den slags havde vores tidligere it-leverandør styr på," fortæller Pernille Skall og fortsætter:

"Men vores oplevelser viser, at når vi uden nogle store hemmeligheder kan blive angrebet, så kan det ske for alle."

Fem gode råd til alle
Pernille Skall opsummerer Aalborg Farve og Laks oplevelser i fem gode råd, som alle virksomheder i Danmark med fordel bør overveje, inden de stifter bekendtskab med hackere i netværket.

Politiet måtte til lommerne

At ikke alle er så snarrådige som Aalborg Farve og Lak med assistance fra it-virksomheden JCD, når de står over for ranmsomware-trusler, vidner en historie fra USA omkring.

For her blev politiet i staten Maine for nyligt også ramt af et ransomware-angreb, som gik ud over fire politiafdelinger, der har hostet deres administrative filer på samme netværk, skriver The Register.

Efter flere forsøg på at hive de nu krypterede filer ud af netværket opgav politiet simpelthen og betalte en løsesum på 300 dollar i bitcoins.

"At betale en løsesum er, hvad vi kunne kalde at gå mod strømmen. Vi forsøgte at finde en vej uden om, men i sidste ende anbefalede vores it-folk og leverandøren, at vi bare betalte løsesummen," forklarer Sheriff Todd Brackett til The Register om årsagen til, at ordensmagten berigede de it-kriminelle.

Annonce:

"Vi har, nok som mange andre mellemstore danske firmaer, et it-miljø, der er knopskudt igennem årene. Derfor er det bestemt en god ide at kigge sit it-setup op igennem og gøre sig klart, hvad man selv har ansvar for, og hvad ens leverandør har ansvar for," siger hun.

Nummer to gode råd går på at indhente tilbud på hackerforsikringer, som er begyndt at pible frem hos forsikringsselskaberne.

"Lige nu er ved selv ved at indhente tilbud, da den slags kan spare virksomheder for mange ærgrelser," fortæller Pernille Skall.

Tredje råd fra farvegrossisten, der kom ud på den anden side af et ransomware-angreb med et tab på en million kroner, går på sikring af backup'en. For det er kun via solid backup, at en virksomhed kan rulle sit it-miljø tilbage til tiden før, at angrebet bliver sat ind.

Fjerde gode råd er, at man som virksomhedsejer inden større it-indkøb, kigger på referencer fra andre firmaer, der også har købt it ind i store mængder. Ligesom vi gør som privatpersoner, når vi køber kameraer, pc'er andet halvdyrt grej.

"Og så gælder det om at holde hovedet koldt og arbejde løsningsorienteret i stedet for at gå i panik og bare betale løsesummen, hvis du skulle blive ramt. Der er gode it-virksomheder derude, som kan hjælpe," råder Pernille Skall.

Rådet fra alle sikkerhedseksperter går på, at ransomware-ramte virksomheder IKKE betaler løsesum til it-forbryderne, men at man i stedet går til politiet og til sin it-leverandør.

Læs også:
Her er arbejdsmetoden: Sådan suger software-kidnappere penge ud af danskerne 

Politiet advarer: Stor ransomware-bølge skyller ind over Danmark





Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Sommeren bliver varm for danske film-pirater: Nu ruller retssagerne
Knap et år efter de første opkrævningsbreve for ulovlig fildeling blev sendt ud er antipirat advokaterne Opus Law på vej i retten.
CIO
"Over halvdelen af mine ledere i it-afdelingen er folk uden en it-baggrund"
Morten Gade landede et af Danmarks største it-projekter til tiden og uden skandaler. Hør ham fortælle om ledelse, tillid, kontraktstrukturer, og hvorfor hans it-ledere ofte ikke har en it-baggrund.
Comon
Test af 10-kernet entusiastprocessor: i7-6950X er et monster uden lige
Det her er den vildeste processor til entusiastiske forbrugere, men har du egentlig brug for så meget brutal kraft?
Channelworld
27 offentligt ansatte sigtet i stor razzia: Mistænkes for at have modtaget it-bestikkelse
Bagmandspolitiet har i stor aktion anholdt 26 it-folk for bestikkelse i forbindelse med den store bestikkelsessag i Region Sjælland. Udenrigsministeriet, DSB og Rigsadvokaten er blandt de ramte.
White paper
Betydningen af virtualiseringssikkerhed for dit VDI miljø
I dette white paper: Virtualisering giver virksomheder en mulighed for at opnå omkostningsbesparelser og øge deres forretningsagilitet.