Cyberkriminelle afpresser dansk vindmøllegigant

Vestas er ramt af ransomware, hvor cyberkriminelle låser for virksomhedens it-systemer og kræver løsepenge for at låse op.

Vestas er den tredje danske C25-virksomhed, der rammes af ransomware de seneste få år. (Foto: Henning Bagger © Ritzau Scanpix)

Vestas har nu i otte dage været under et cyberangreb, som har påvirket dele af selskabets it-systemer.

Siden Vestas sendte en fondsbørsmeddelelse ud for lidt over en uge siden, har vindmøllevirksomheden dog afvist at oplyse, hvilken type "sikkerhedshændelse", der er tale om.

Men nu kan DR Nyheder afsløre, at der er tale om et såkaldt ransomwareangreb, hvor cyberkriminelle forsøger at tjene penge på at afpresse virksomheden.

Vestas bekræfter overfor DR, at de er ramt af et ransomwareangreb.

- Vestas har været udsat for et såkaldt ransomwareangreb, og vi arbejder med vores kunder, medarbejdere og andre interessenter med at håndtere situationen. Og vi deler information i takt med, at vores undersøgelser skrider frem, siger Vestas' kommunikationschef, Anders Riis.

Virksomheden ønsker hverken at oplyse, hvilken gruppe der står bag angrebet, eller hvad gruppen afpresser med.

Flere store virksomheder ramt

Vestas er dermed den tredje offentligt kendte danske C25-virksomhed, der inden for en kort årrække oplever at blive ramt af angreb, hvor cyberkriminelle låser for adgangen til virksomheders it-systemer og kræver løsepenge for at låse op.

I 2019 gik det udover høreapparat-virksomheden Demant, og året efter var det servicegiganten ISS. Angrebene kostede henholdsvis 650 og 800 millioner kroner.

Regningen for Vestas, der er Danmarks fjerdestørste virksomhed, er endnu uvis.

Men ifølge en ny selskabsmeddelelse, som Vestas udsendte mandag, har angrebet kun påvirket dele af Vestas' systemer. Samtidig skrev virksomheden, at "data er blevet kompromitteret" uden dog at ville uddybe, om følsomme data er stjålet, eller om Vestas' kunder kan være påvirket.

Tyder på, at Vestas slipper nådigt

Ifølge Jacob Herbst, der er partner og teknisk chef i sikkerhedsfirmaet Dubex, tyder meget på, at gruppen bag angrebet laver dobbeltafpresning på Vestas:

- Hvor de dels kompromitterer data og vil have folk til at købe nøglen (krypteringsnøglen, der skal bruges til at åbne systemerne igen, red.), og så vil de dels have betaling for at lade være med at offentliggøre data, der er blevet stjålet.

Det er ifølge Finans sikkerhedsfirmaet CSIS, der yder Vestas ekstern ekspertbistand, men CSIS ønsker ikke at kommentere og henviser til en fortrolighedsaftale med Vestas.

Ud fra de sparsomme informationer, der er kommet frem, tyder det ifølge Jacob Herbst dog på, at Vestas har været i stand til at undgå en større it-katastrofe:

- Det ligner et relativt mildt ransomwareangreb, hvor de har været heldige og dygtige til at opdage det i god tid, så de har kunnet inddæmme angrebet hurtigt. Det virker til, at de er kommet hurtigt fra nedlukning til at lukke systemerne op igen. Så det virker, som om de er tæt på at komme tilbage igen.

Energisektor et yndet mål

Det er langt fra første gang, den danske energisektor rammes af cyberkriminelle. Center for Cybersikkerhed udgav i oktober en trusselsvurdering, hvor truslen mod den danske energisektor fremhævedes som "meget høj" - det højeste trusselsniveau.

Senest blev Kalundborg Forsyning i slutningen af august udsat for et ransomwareangreb fra gruppen Lockbit 2.0. Samme gruppe stod bag et opsigtsvækkende angreb på det italienske energiselskab ERG i juli.

Vestas har ikke ønsket at be- eller afkræfte, om det også er Lockbit, der har ramt dem.

21 Søndag har set nærmere på fænomenet ransomware. Se indslaget her:

FacebookTwitter