Da landets hoteller var under cyberangreb, forhandlede Michael med hackerne

I sommer blev hoteller landet over taget som gidsler i et ransomware-angreb. Hør historien fra manden, der forhandlede med de kriminelle hackere.

Michael Andersen er ansat af sikkerhedsfirmaet Eagle Shark til at forhandle med ransomware-hackere. (Foto: (Grafik) Morten Fogde Christensen)

Fred og fjordidyl kun overdøvet af lavmælt tastaturklikkende receptionister i færd med at plotte endnu en værelsesbooking ind i systemet. Sådan er stemningen på Hotel Koldingfjord i starten af denne sommer, hvor gæster og konferencedeltagere igen fylder værelserne efter flere måneders coronanedlukning.

Indtil en ny virus rammer hotellet den 9. juni. Eller i hvert fald hotellets systemer.

En hackergruppe har formået at inficere AK Techotel. Der har jeg aldrig overnattet, tænker du, og nej, det har du ikke, men måske har du reserveret et værelse eller bestilt en cola gennem deres system. AK Techotel udbyder nemlig hotelmanagement-systemer, som bruges af flere hundrede hoteller i Skandinavien, blandt andre Hotel Koldingfjord.

Men en tidlig onsdag morgen virker deres system ikke hos nogen af de genåbningskåde hoteller.

Under angreb

Langt fra ferielandets wienersnitsler og formiddagsøl sidder AK Techotels ledelse med en besked fra hackerne.

De skriver, at databasen ikke er slettet men krypteret. Og vil AK Techotel have nøglen til at få filerne fri, skal de udbetale en løsesum, på engelsk en ransom. IT-virksomheden er altså udsat for et såkaldt ransomware-angreb, ligesom mange andre danske virksomheder er blevet de seneste år.

AK Techotel har ikke ønsket at udtale sig til DR Nyheder, men ud fra de opdateringer, de giver offentligheden i de skæbnesvangre timer, kan man læse, at de synes ”folk, der producerer virusser, hører til i fængsel”. ”Banditterne”, som ledelsen selv omtaler dem, er bare ikke så nemme at få fat i.

Så hvem ringer man til, når man skal forhandle med udenlandske ransomware-hackere?

Det kunne være ham her, Michael Andersen.

Den storskæggede forhandler

- Mit navn er Michael, og på vegne af AK Techotel er jeg blevet bedt om at finde en god løsning på den situation, vi står i.

Sådan skriver Michael Andersen i den første mail, han sender til hackerne. Han har oprettet en ny mailkonto kun til det formål.

Tidligere samme morgen er han blevet ringet op af sin chef hos sikkerhedsfirmaet Eagle Shark. Michael Andersen skal, som han skriver i mailen, stå for kontakten mellem gruppen af ransomware-hackere og AK Techotel.

En baggrund i militæret og med studier indenfor psykologi og filosofi har rustet Michael Andersen til rollen som forhandler. Med sit store skæg, lange hår og rolige stemmeføring får man lyst til at stole på ham. Og selvom gidseltagerne ikke kan se eller høre nogen af delene, prøver Michael Andersen også at få dem til at kunne lide ham.

- Jeg forsøger altid at få fat i deres navn, så jeg kan skabe en nærhed over ham og mig. Som regel vil de ikke give navnet, så jeg skriver ”dude” eller sådan noget i stedet.

De samme kneb gælder i AK Techotels knibe. Michael Andersen prøver at skabe en god kontakt og beder om at få et bevis på, at virksomhedens data er intakt. Hackerne sender to dekrypterede filer som bevis.

Nu vil hackerne diskutere penge. De truer med at lække virksomhedens data på mørkenettet, hvis ikke de betaler.

En presset løsesum

Hackerne kræver i første omgang et beløb, som Michael Andersen slet ikke vil præsentere for den kriseramte ledelse.

- Jeg svarer, at det er et meget, meget højt tal. Og jeg beder ham om at finde ud af, om det er noget, vi kan ændre på, fordi det er et vanvittigt tal.

Hvor højt?

- Det er hemmeligt. Men vi er oppe på flere millioner.

Politiet anbefaler absolut ikke, at man udbetaler løsesummer til hackere, da det holder liv i kriminaliteten.

Men AK Techotel skriver offentligt, at det har de tænkt sig at gøre. Under belejringen giver den pressede direktør og ejer, Klaus Ahrenkilde, denne begrundelse til Berlingske:

- Det eneste fokus er nu at få hotellerne op og køre. Slut.

I disse dage er der nemlig kaos på Hotel Koldingfjord og de andre inficerede hoteller. Receptionisten prøver på et A3-ark at danne et overblik over, hvem der har booket hvilke værelser. Oldfruen ved ikke, hvor mange rene dyner, hun skal bestille. Tjeneren skal med små papirlapper informere køkkenet om, at nogen har bestilt en bøf. Alle regninger skrives i hånden.

Så Michael Andersen klør på for at få beløbet ned. Han spiller på, at hackerne ikke har sat sig godt nok ind i økonomien bag det firma, de forsøger at afpresse. Eller hvilket land, de leger med.

- Jeg går ud fra, at hackerne har handlet i Danmark før. Det er ikke et land, som støtter udbetaling af løsesummer, så jeg giver dem et billede af, at de har sat mig et svært sted, og at bankerne ikke vil hjælpe, forklarer Michael Andersen.

I den ene mailtråd har Michael Andersen hackerne. De trækker nogle bitcoins, der er valutaen den slags betales i, fra. I en anden mailtråd opdaterer han ledelsen.

Sådan forløber forhandlingerne, indtil løsesummen er 60 procent lavere end det første bud. Det går AK Techotels ledelse med til.

Bitcoins og baggrundstjek

Undervejs i forhandlingerne har Eagle Sharks teknikere sendt Michael Andersen så mange oplysninger om gerningsmændene, som de kan snuse sig frem til.

På den baggrund har han lavet en såkaldt assessment af hackerne. Det betyder egentlig bare, at han har vurderet dem. Og han tror på, at de vil sende en nøgle, hvis de får den aftalte løsesum.

Torsdag eftermiddag går en bitcoin-specialist i gang med at overføre pengene.

- Inden da får direktøren et dokument, hvor der står, at vi har intet ansvar for, at han får nøglerne, eller at de virker. Du skal egentlig bare sende de her penge ud i intetheden og have tillid til, at jeg har ramt rigtigt med min assessment af gerningsmændene.

Har du prøvet at blive snydt?

- Nej. Det her er en forretningsmodel, de lever af.

Nogle gange kan det betale sig at betale

Efter elleve dage, hvor hastigt voksende papirbunker tømmer den ene kuglepen efter den anden, begynder maskineriet på Hotel Koldingfjord igen at virke.

De næste to uger bruger hotellet på at flytte papirbunkerne ind på computeren. Plotte nye bookinger ind i systemet, sende regninger ud til de gæster, som måtte rejse uden at betale og lignende.

Hos AK Techotel er problemerne heller ikke overstået med det samme. Selvom hackerne har sendt en elektronisk nøgle, tager det flere uger for firmaets teknikere at låse op for systemerne og få al data tilbage.

Efterdønningerne er altså til at mærke, selvom belejringen var relativt kort. Den kunne i hvert fald have varet længere, hvis ikke AK Techotel – stik imod politiets anbefalinger - var så opsatte på at betale løsesummen.

- Hvis de ikke havde betalt, så var det sandsynligt, at det havde taget endnu længere tid, før vi kunne have åbnet hotellernes bookingsystemer igen. Og det var der ikke råd til, tænker jeg, efter man har været lukket ned i over et år på grund af corona, siger Michael Andersen.

Og derfor synes han, at det i nogle tilfælde kan være nødvendigt at betale sig ud af en gidseltagning.

- Når man tager forbi en af AK Techotels kunder, er det muligt nu, fordi de er overlevet. Det tænker jeg, man skal huske at nyde.

FacebookTwitter