Berygtet hackergruppe afpresser stormagasin: Hundredvis af Illum-medarbejderes data taget som gidsel

Det luksuriøse stormagasin Illum er blevet ramt af et hackerangreb, hvor både tidligere og nuværende medarbejderes data holdes som gidsel mod betaling af løsesum.

Hackerne beskriver på sin blog, at Illum er "det mest spektakulære stormagasin i Norden". De har den seneste tid gået efter flere forskellige mellemstore luksusbrands i hele verden. (Foto: liselotte sabroe © Scanpix Denmark)

Der udspiller sig et online gidseldrama mellem stormagasinet Illum og en berygtet russisk hackergruppe, der kalder sig Conti.

En liste med 36.000 filer fra det luksuriøse stormagasin er taget som gidsel online, og filerne indeholder flere års lagring af nuværende og tidligere medarbejderes personlige data.

- Som jeg ser det, er der en stor risiko for, at Illum har fået lækket en stor mængde data, ud fra hvad vi har set indtil nu. Men det er svært at vide, præcis hvilke data hackerne har, og hvor hårdt Illum er ramt. Men det er sandsynligt, at de er relativt hårdt ramt, siger Jacob Herbst.

Han er partner og teknisk chef i Dubex, der laver it-sikkerhedsløsninger.

Derfor er det ret opsigtsvækkende, at Illum ufortrødent har kunnet fortsætte sin drift uden umiddelbare gener for sine kunder, siger Henrik Moltke, der er tech-korrespondent i DR Nyheder.

- Vi har før set kæmpe store virksomheder som Demant og ISS været sat ud af spil i ugevis ovenpå denne her slags hackerangreb. Så de har formentligt kunne genskabe en del af de låste filer fra en tidligere backup, forklarer han.

- Spørgsmålet er så om hackerne vender tilbage eller har efterladt filer på et tidligere tidspunkt, som de kan aktivere og tilføje Illum større skade.

Udover Illum hackede den her gruppe fem andre virksomheder samme dag, fremgår det af deres hjemmeside.

Hackergruppens angreb har tidligere lagt store virksomheder ned med millionregninger til følge. Det er blandt andet gået ud over servicegiganten ISS og Demant, der producerer høreapparater.

Ifølge DR Nyheders oplysninger ser det ud til, at hackerne er i besiddelse af en del oplysninger om Illums både nuværende og tidligere medarbejdere. Det er mere uklart, om hackerne også er i besiddelse af kundedata.

Filerne er nemlig ikke tilgængelige - i hvert fald indtil videre. Man kan altså kun se navnene på de filer, hackergruppen har taget som gidsel. De filnavne har DR Nyheder set.

Der er blandt andet tale om en enkelt Excel-fil med navnet ‘creditcard’ og flere hundrede rapporter fra MUS-samtaler og kontrakter - både aktuelle og udløbne.

- Det jeg ville være bekymret for, det er at blive udsat for identitetstyveri, forskellige former for svindel eller at mine sociale medier bliver kompromitteret, siger it-sikkerhedsspecialist Jacob Herbst.

Filerne er havnet i hackernes hænder efter et såkaldt ransomware-angreb, hvor filer altså bliver taget som gidsel af hackere, der forlanger en løsesum af dem, der ejer filerne.

Makker virksomhederne ikke ret og betaler løsesummen, sætter hackerne de følsomme data til salg

- Så kan andre kriminelle bruge dem til forskellige typer identitetstyveri eller afpresning, forklarer Jacob Herbst.

Den slags angreb har den russiske hackergruppe Conti gjort sig til ekspert i.

Gruppen stod også bag hackerangreb på blandt andre høreapparat-firmaet Demant og servicegiganten ISS.

Dengang brugte de en ransomware kaldet Ryuk. Den er nu blevet forfinet til den såkaldte conti ransomware, som blandt andet FBI har advaret mod efter en epidemi af angreb i USA.

Fejlslagent diamantkup i cyberspace

Bagmændene bag Conti og Ryuk har for nyligt trukket overskrifter verden over med en mere spektakulær sag.

For nyligt gennemførte hackergruppen et angreb på diamant- og smykkeforhandleren Graff i London, som har en lang række kendis-kunder såsom Oprah Winfrey, Donald Trump og David Beckham.

En anden kunde blandt de lækkede navne var den saudiarabiske prins Mohammed bin Salman. Det kom frem efter det britiske medie Daily Mail gravede sig ned i de lækkede data.

Den detalje havde hackergruppen selv overset og gik efterfølgende ud og undskyldte for lækket af saudi-prinsens data og slettede de lækkede data fra hackernes hjemmeside.

(Foto: (Skærmbillede))

- Det er almindelig kendt af de her store hackergruppe samarbejder med myndighederne i Rusland. Noget kunne tyde på, at der er blevet lagt pres på dem, og de så har fået kolde fødder. Hvordan præcis det er lykkedes den saudiarabiske kronprins at overbevise hackerne om at fjerne de kompromitterede data kan man kun gisne om. Det interessante er, at det er lykkedes, forklarer Henrik Moltke, DR’s techkorrespondent.

Den saudiske prins er yderst kontroversiel, da han blandt andet er sat i sammenhæng med drabet på systemkritikeren Jamal Khashoggi i 2018.

Endnu mange ubekendte faktorer

Den form for undskyldning skal Illum til gengæld ikke regne med, lyder det fra DR’s techkorrespondent. For der er tale om hårdkogte kriminelle, der ikke viger uden videre.

- Den her gruppe er uhyre sofistikerede og opererer som en velsmurt virksomhed. De har tidligere angrebet en række hospitaler og nødhjælpstjenester, hvilket vidner om en ekstrem kynisme og brutalitet, når man udnytter at det kan føre til dødsfald, hvis den angrebne part ikke betaler.

Hvor store konsekvenser angrebet vil få for Illum er meget uklart. Da stormagasinet stadig har kunnet fortsætte sin drift ufortrødent er det spørgsmålet, om hackerne vil se en eneste krone fra stormagasinet.

Angrebet er anmeldt til Datatilsynet gennem Illums advokat. Det bekræfter Datatilsynet overfor DR Nyheder.

Indtil sagen er afsluttet kan ansatte og kunder kontakte Digitaliseringsstyrelsens hotline for at få råd og vejledning til, hvordan man skal forholde sig til lækket, oplyser Digitaliseringsstyrelsen.

Illum har ikke ønsket at kommentere sagen overfor DR Nyheder.

FacebookTwitter