I 18 dage har danske ISS været lagt ned af et hackerangreb. Store dele af af den globale virksomheds it-systemer har været ude af funktion - inklusive virksomhedens hjemmeside.
Indtil nu har den internationale servicevirksomhed, der har en halv million medarbejdere verden over, ikke ønsket at fortælle, hvilken type angreb der var tale om, eller hvad hackerne gik efter.
Men nu kan DR afsløre, at der er tale om et såkaldt ransomware-angreb af typen Ryuk, hvor hackernes formål er at tjene penge ved afpresning.
Det fremgår af ISS’ indberetning om sikkerhedsbruddet til Datatilsynet, som DR har fået aktindsigt i.
- Det er nu blevet konstateret, at ISS er blevet udsat for en såkaldt ransomware ved navnet Ryuk, skriver ISS i indberetningen, som er sendt den 19. februar.
Hackere går efter pengene
Det fremgår også af indberetningen, at hackerne har fået adgang til personfølsomme data på cirka 65.000 medarbejdere i 23 lande.
- De oplysninger, der har været adgang til, inkluderer kontaktoplysninger såsom navn, professionel e-mail, firmatelefonnummer og afdeling, skriver ISS.
Ifølge en meddelelse til ISS' medarbejdere, som er vedhæftet indberetningen, og som skulle udsendes samme dag, kunne hackerne dog have opnået adgang til langt flere oplysninger.
Samtidig skrev ISS, at hackernes motiv var pengeafpresning:
- Det er vigtigt at huske på, at formålet med ransomware-angreb er at afpresse ISS og ikke at få adgang til dine personlige data.
ISS ønsker ikke at stille op til interview. Men selskabet bekræfter over for DR, at det har været ramt af Ryuk - men selskabet kalder det fortsat malware:
- Ja det drejer sig om malware type ”RUYK”, oplyser ISS i en mail.
- Det er rigtigt (...) at vi i vores anmeldelse har oplyst, at ca. 65.000 kan være omfattet.
- Vi har ikke været i kontakt med de pågældende hackere, men har derimod overladt sagen til politiet og, som du ved, anmeldt sagen til datatilsynet.
Alarmen gik hos underleverandør
Ifølge anmeldelsen til Datatilsynet blev angrebet opdaget tidligt om morgenen mandag den 17. februar klokken 00.56.
Alarmen var gået i et overvågningssystem hos hostingfirmaet Itadel, som huser en del af ISS’ systemer.
Udover Datatilsynet blev også Center for Cybersikkerhed under Forsvarets Efterretningstjeneste underrettet om angrebet.
Onsdag den 19. februar, samme dag som ISS underrettede Datatilsynet, udsendte ISS en kort pressemeddelelse, der fortalte, at virksomheden havde været mål for et “malwareangreb”.
Malware er en generel samlebetegnelse, der dækker alle forskellige typer skadelige computerkoder. Ransomware, derimod, er en bestemt type malware, som bruges til at afpresse virksomheder for store pengebeløb. Og denne detalje udelod ISS at fortælle offentligheden og aktionærerne, selvom ISS en uge forinden havde oplyst Datatilsynet om typen af angreb.
ISS har også flere gange siden den 19. februar afvist at svare DR på, om der var tale om et ransomwareangreb.
Aktionærer blev ikke orienteret
Heller ikke da selskabet en uge senere, onsdag den 26. februar, fremlagde årsregnskab, fortalte ISS, at der var tale om ransomware, men holdt sig i stedet til den overordnede betegnelse malware. Ligesom virksomheden heller ikke forklarede, at samtlige cirka 65.000 brugerkonti i ISS' netværk var blevet kompromitteret.
I stedet meddelte selskabets administrerende direktør, at der ikke var tegn på, at nogle kunders data eller systemer var berørte - og at man havde ageret hurtigt, da man opdagede angrebet:
- Indenfor en time besluttede ISS’ it-team af forsigtighedshensyn, og i henhold til vores standardprocedurer, at lukke ned for vores netværk. På dette tidspunkt var vi berørt i en række lande, sagde Jeff Gravenhorst, CEO i ISS World A/S.
I løbet af den halvanden time, pressemødet varede, faldt ISS-aktien med cirka 16 procent, svarende til et værditab på omkring 3,5 milliarder kroner. På pressemødet erkendte ISS, at angrebet vil koste på bundlinjen:
- Vi forventer, at vores økonomiske resultat i 2020 vil blive negativt påvirket som et resultat af angrebet, men vi er på nuværende tidspunkt ikke i stand til at sætte beløb på, skrev selskabet i sit årsregnskab.
DR har efterfølgende spurgt ISS, hvorfor selskabet ikke oplyste aktionærerne om, at man var ramt af et ransomwareangreb. Svaret lyder:
- Vi har ønsket arbejdsro – det er årsagen. For os var det ikke afgørende, hvilket type malware der var tale om, men at de rette parter – herunder politiet og datatilsynet - tog fat.
Advarsel om stigende trussel
I en særlig trusselsvurdering udsendt i december 2019 advarede Center for Cybersikkerhed (CFCS) danske virksomheder mod den stigende trussel fra kriminelle hackeres brug af ransomware.
Fænomenet, som blandt fagfolk kaldes storvildtjagt (big game hunting) er beskrevet i detaljer, ligesom det fremhæves, at et stigende antal danske virksomheder er blevet ramt af ransomware.
Også den specifikke type ransomware, som ifølge anmeldelsen til Datatilsynet ramte ISS, er fremhævet i advarslen fra CFCS, som også oplyser, at Ryuk er “opkaldt efter en japansk tegneseriefigur”, og at den slags referencer ikke er “ualmindelige i hackermiljøer”.
Kriminelle russiske hackere
Ifølge sikkerhedsekspert Peter Kruse fra CSIS, der længe har fulgt og advaret mod Ryuk ransomwaren, tyder alt på, at organiserede russiske kriminelle står bag angrebet:
- Det, vi kigger ind i her, er formentligt en russisk gruppe af organiserede kriminelle, som gennem lang tid har rettet deres fokus på store og mellemstore virksomheder.
- Vi har længe observeret og holdt øje med de servere, som de (hackerne, red.) anvender til at styre de mange infektioner, de har. Og der kan vi se, at kommunikationen er russisk.
Ifølge indberetningen til Datatilsynet har hackerne opnået adgang til "alle brugere oprettet i ISS Active Directory", som er en helt central del af det Windows-baserede netværk.
Det tyder ifølge Peter Kruse på, at hackerne har haft fuld adgang til ISS’ systemer:
- De er blevet ramt i hjertet af deres infrastruktur. Der, hvor de gør allermest ondt. Tusindvis af computere kan blive kompromitteret i løbet af få minutter, forklarer Kruse.
Hackerne går efter de store fisk
Ransomware bruges af kriminelle hackere til at afpresse ofre for store pengebeløb.
Hackerne kommer typisk ind gennem en inficeret e-mail sendt til en intetanende medarbejder. Derfra sikrer hackerne sig adgang til flere maskiner på tværs af netværket, og til virksomhedens mest følsomme filer, som de i nogle tilfælde stjæler for senere at kunne bruge dem til afpresning eller videre salg.
Som kronen på værket låser hackerne for adgangen til virksomhedens vigtigste data og kræver løsepenge - ofte millioner af kroner - for at låse op igen.
- De ved præcis, hvad de laver. De ved præcis, hvordan de bevæger sig ind i netværket, og de ved, hvordan de bedst muligt skal afpresse virksomhederne. Det har de gjort en forretning ud af, siger Peter Kruse.
Hvis virksomheden betaler - og hackerne ellers holder deres del aftalen - får virksomheden de såkaldte krypteringsnøgler og kan derved få adgangen tilbage til de data, hackerne har taget som gidsel.
Men hvis angrebet opdages under første fase af angrebet - der typisk foregår i flere trin, og hvor krypteringen er kronen på værket - kan man begrænse skaden og helt undgå at betale løsepenge.
Det gøres ved at kappe netværksadgangen, inden smitten spreder sig. På den måde kan man i nogle tilfælde begrænse skaden.
DR kender ikke detaljerne i netop det Ryuk-angreb, ISS er blevet ramt af, så ovenstående er en generel beskrivelse af ransomwareangrebs virkemåde.
Svært at sikre sig mod
Uanset hvad kommer virksomhederne i fremtiden til at skulle ruste sig til et trusselsbillede, hvor hackerne bliver mere og mere professionelle:
- Virksomhederne skal reagere forud. Det er for sent, når man er blevet ramt af angrebet, siger Peter Kruse:
- Umiddelbart er alle virksomheder mål for den her type angreb, siger Peter Kruse.
Med angrebet på ISS er det anden gang på to år, at en stor dansk virksomhed rammes af et alvorligt ransomwareangreb.
Sidste år blev høreapparatkoncernen Demant ramt af et lignende ransomwareangreb, der kostede selskabet op mod 650 millioner kroner.