13. november 2020
Andreas Rasmussen
0

RUSSISKE HACKERE REV TOMS TELTPLØKKER OP

Tyve medarbejdere kunne have mistet deres job på grund af et enkelt klik på et link. Man kan ikke forhindre det, men man kan forberede sig, siger den uheldige ejer af Roskilde Teltudlejning.

Der var gang i den på pladsen hos Roskilde Teltudlejning. Der var travlt; bilerne skulle pakkes med telte, der skulle stilles op til arrangementer og feste. Tom Rasmussen havde travlt, for et par kunder havde indtelefoneret ændringer i deres ordrer, og det gav ekstra stress fra morgenstunden.

“Jeg ser lige, at der er kommet en e-mail fra PostNord, og da min søn lige havde bestilt et par sko på nettet, klikkede jeg på linket for at finde ud af, hvor de skulle hentes,” siger Tom Rasmussen, der ejer Roskilde Teltudlejning.

Men det skulle han aldrig have gjort.

Jeg har været et godtroende fjols. Jeg tænkte, at hvis man bare har en firewall, så kører det. ‘Det rammer ikke mig’. Men det gør det.
Tom Rasmussen


\ SÅDAN FUNGERER RANSOMWARE
Et ransomware-angreb kan starte på flere forskellige måder. En udbredt måde er, at du får tilsendt et link via email. Når du klikker på det bliver der downloadet og eksekveret en fil på din computer. Andre angreb kan ske, hvis du besøger en hacket hjemmeside, der automatisk udnytter en sårbarhed, f.eks. i software på din computer, der ikke er opdateret til nyeste udgave.
Ransomware-softwaren krypterer lynhurtigt alle filer på din computer med en krypteringsnøgle, som kun hackerne har adgang til. Du bliver derefter bedt om at betale en ‘løsesum’, typisk med den digitale valuta bitcoin. Derefter dekrypteres data typisk, så du igen kan tilgå dine filer. Der er dog også eksempler på, at de IT-kriminelle bag enten kræver flere penge eller helt enkelt undlader at dekryptere filerne.

Ordrer for 10 millioner krypteret

Få øjeblikke senere kom der besked på skærmen. Alle filerne på Tom Rasmussens computer var blevet krypteret med en krypteringsnøgle, som teltudlejeren kun kunne få adgang til, hvis han betalte en løsesum i bitcoin.

Han ringede derfor til virksomheden, der havde leveret deres ordresystem. De havde ikke nogen backup af virksomhedens data.

“Vi havde ordrer for 10 millioner kroner liggende i systemet, men kunne ikke få adgang til dem. Det ville koste firmaet livet,” siger Tom Rasmussen, når han tænker tilbage.

Teltvirksomheden leverer blandt andet telte til DHL-stafetten og lignende store arrangementer, hvor mange tusinde mennesker skal kunne opholde sig i tørvejr.

Efter den triste besked om den manglende backup ringede han derfor til en anden IT-ekspert.

“Han sagde i telefonen, at det nok bare var en trojansk hest, at det var fup og fidus, og at han sagtens kunne skaffe vores filer ud. Han kom herud og undersøgte computeren. Tre gange undervejs sagde han ‘hmmmm’, og så kunne jeg godt regne ud, at det ikke var en trojansk hest. Det var russiske hackere, der havde krypteret filerne, og de ville have 3.600 danske kroner i bitcoin,” fortæller Tom Rasmussen.

Han mener, at hackernes strategi var smart:
“Beløbet er så småt, at alle vil betale det for at få adgang til deres data. Både små og store virksomheder, men også hr. og fru Jensen, der har mistet deres feriebilleder.”

Ransomware-angreb i vækst

Tom Rasmussen er langt fra den eneste, der er blevet udsat for et ransomware-angreb. Hackerangrebet mod Roskilde Teltudlejning skete i 2015. Siden da er problemet med ransomware blevet en smule mindre, men ikke meget.

Sidste forår blev Baltimore på den amerikanske østkyst ramt. Byens IT-systemer blev ramt af et ransomware-angreb, der estimeres til at have kostet mere end 18 millioner dollars, over 110 millioner danske kroner, at udbedre. Mens problemet var på sit højeste, var både hospitaler, vaccinefabrikker, lufthavne og pengeautomater ramt, beskrev netmediet Engadget dengang.

I en analyse vurderer sikkerhedsfirmaet Kaspersky, at de IT-kriminelle, der står bag ransomware, har skiftet fokus fra privatpersoner til virksomheder. Ifølge dem var 30 procent af de ramte computere i 2019 i erhvervslivet.

Det bliver nemt bureaukratisk, og så bliver reglerne ikke overholdt. Det bliver for besværligt og så kommer vi til at bruge så mange ressourcer, at det ikke kan svare sig. Vi vil hellere bruge vores ressourcer på kunderne end på IT.
Tom Rasmussen

Ingen hjælp fra politiet

Parallelt med kontakten til IT-eksperten kontaktede Tom Rasmussen Københavns Vestegns Politi. Han genfortæller:

“Jeg forklarer en masse om, hvad der er sket, men de tager ikke notat og laver ikke en anmeldelse på det. De anbefaler mig dog, at jeg ikke betaler.”

Men det gjorde Tom Rasmussen alligevel:

“Jeg står med et muligt tab på ti millioner og tyve ansatte, der kan miste deres job. Det er ikke god fornuft at betale kriminelle, men det er heller ikke god fornuft at lukke et firma, der har eksisteret i 14 år.”

Han købte derfor bitcoin svarende til de cirka 3.600 danske kroner, som hackerne krævede for at dekryptere filerne. Men på grund af et vekselgebyr manglede der få kroner i det beløb han får ud i bitcoin.

“Jeg overførte beløbet, men fik straks besked om, at jeg havde forsøgt at snyde dem og at jeg nu kun havde to timer til at overføre restbeløbet, ellers ville prisen blive fordoblet. Det var ret besværligt. Men jeg fik overført de sidste penge og straks kom der en pop-up om at dekrypteringen var påbegyndt.”

Ventetiden var ulidelig, husker han.

“Jeg gik rundt ude på pladsen som en vild hund i en løbegård. Jeg anede ikke, hvad der ville ske.”

Men 40 minutter senere var processen slut. Filerne var dekrypteret og Tom Rasmussen kunne igen tilgå sine ordrer.

Teltchef trak stikket

Det første der skete, da dekrypteringen var gennemført, var at teltudlejerens computere blev taget offline.

“Alt blev taget af nettet. Vi skiftede harddisk på computeren og fik ny IP-adresse på vores net-forbindelse”

Derefter blev systemet genetableret.

“Vi satte det op, så det tager backup af alt hver tolvte time, og hver gang nogen logger ud,” fortæller han.

“Det kommer til at ske igen. Det kan ikke undgås. Men så må man minimere skaden. Det vigtigste er, at vi har en ny backup, så vi ikke skal betale løsesummen. Så er vi sikret, så godt vi kan,” siger han og fortsætter:

“Lige meget hvad der sker, så kan vi højst miste 12 timers arbejde. Vores fokus er på, hvad vi kan miste i stedet for at fokusere på hvor meget tid vi skal bruge på at beskytte os,” siger han.

Kunderne er det vigtigste

Tom Rasmussen ærgrer sig over sagen, men han mener ikke, at løsningen er at bruge en masse tid på IT-uddannelse af personalet.

“Det bliver nemt bureaukratisk, og så bliver reglerne ikke overholdt. Det bliver for besværligt og så kommer vi til at bruge så mange ressourcer, at det ikke kan svare sig. Vi vil hellere bruge vores ressourcer på kunderne end på IT,” siger han.

Han har tidligere fortalt sin historie i andre medier:

“Jeg har valgt at fortælle min historie for at andre ikke skal havne i samme situation. Måske er prisen en dag steget til 100.000. Man går jo ikke og tænker over sådan noget her i hverdagen. Vi havde jo bare nogle standardsystemer ligesom de fleste andre.”

Medieomtalen resulterede i, at Tom Rasmussen blev kontaktet af en af politiets specialenheder, der arbejder med IT-kriminalitet.

“De bad mig om at lave en ny anmeldelse, og det gjorde jeg så. Jeg afleverede min harddisk til dem i 2015, men har ikke hørt fra dem siden,” siger han.


FÅ HJÆLP ONLINE

På hjemmesiden ‘No more ransom’, der findes på nomoreransom.org, kan du finde værktøjer, der kan dekryptere filer fra computere, der har været ramt af ransomware-angreb. Der findes ikke software, der kan hjælpe til alle typer ransomware, men en del af dem kan faktisk omgås helt uden at betale. Det er hollandsk politi, der sammen med Europols European Cyber Crime Centre (EC3) og antivirus-producenterne Kaspersky Lab og Intel Security står bag hjemmesiden. På nomoreransom.org kan du også få tips til hvordan du kan beskytte dig selv mod ransomware-angreb.

“Godtroende fjols”

Tom Rasmussen tror at mange kan gå i samme fælde som ham selv:

“Jeg har været et godtroende fjols. Jeg tænkte, at hvis man bare har en firewall, så kører det. ‘Det rammer ikke mig’. Men det gør det. Og det kommer til at ramme os allesammen. For de er dygtigere. De vil hele tiden være foran,” siger han.

Han fortryder ikke, at han betalte pengene trods politiets råd om at lade være.

“Vi nåede ikke at få et tab, for vi fik al data tilbage med det samme. Havde jeg valgt at gøre som politiet havde sagt, så havde det været mange penge. Jeg havde ordrer for 10 millioner kroner. Jeg skulle have været startet forfra med mit firma,” siger han.

Hans bedste råd til andre er at sørge for, at der findes sikkerhedskopi af al data i virksomheden.

“Det handler om at tage backups. Hele tiden. Man kan ikke tage en for meget.”

SAMDATA Magasinet har forhørt sig om sagen i politiet, men det har ikke været muligt at få en kommentar.

Forfatteren Andreas Rasmussen

Undersøgende freelancejournalist med baggrund i aktivistkredse. Har bedre styr på computere end de fleste journalister og kan både researche, analysere og formidle historier digitalt.

Flere artikler

Skriv en kommentar

This site uses Akismet to reduce spam. Learn how your comment data is processed.