Torsdag kunne DN fortelle at syv norske virksomheter var rammet av et internasjonalt dataangrep. Årsaken var et sikkerhetshull i programvare fra leverandøren Pulse Secure – noe som hadde vært kjent siden april 2019.

DN fant de norske virksomhetene på en liste på til sammen 900 andre internasjonale brukere av programvaren. Denne listen ble først offentliggjort på et forum hyppig brukt av russiske hackere som driver med såkalte «løsepengevirus, men ble satt sammen lenge før det, ifølge ZDnet som først omtalte dataangrepet.

Chris Dale fra sikkerhetsselskapet River Security har selv tilgang på listen, som blant annet inkluderer ukrypterte brukernavn og passord fra NHH. I dette tilfellet tyder modus og omstendigheter på at motivasjonen har vært vinning.

At listen nå publiseres åpent tyder på at hackerne bak er ferdige med den, mener Dale. Lister med kompromitterte mål som denne kan ha til dels stor økonomisk verdi inntil de offentliggjøres:

– Denne er mest sannsynlig mer eller mindre tømt for kommersielt potensial, sier sikkerhetskonsulenten.

Startlønn: 50.000 pund i måneden

Dale er selv godt kjent med det aktuelle forumet, og mener publiseringen antagelig er en form for skryt.

– Det er en bra måte å vise seg frem på hvis man skal rekruttere. Dette forumet fungerer også som en slags Finn.no for hackerjobber. Jeg kjenner ikke så godt til gruppen som står bak denne, men det er ofte solide startlønner i den bransjen, sier han og viser til «The Dark Overlords» som et eksempel.

Hackergrupperingen er kjent for spektakulære innbrudd, og i 2017 stjal de episoder av tv-serien «Orange Is the New Black» og forsøkt presse Netflix for penger.

– Nye rekrutter tjener 50.000 britiske pund i måneden. Skattefritt. Du må riktignok gjøre din egen hvitvasking, men det har de mest sannsynlig gode rutiner for, sier Dale.

Å publisere listen kan også bidra til å gjøre en eventuell etterforskning av datalovbrudd vanskeligere, når amatører begynner å rote rundt i datasystemer der de opprinnelige hackerne allerede har vært – og legger igjen egne spor.

Angrepet som har rammet de syv norske virksomhetene er spesielt fordi det får offentlig oppmerksomhet, men er ellers ganske ordinært.

I slutten av juli omtalte DN hvordan gps-giganten Garmin var rammet av et løsepengevirus. Gps-giganten skal ha betalt mange millioner dollar for å få tilgang på dataene sine igjen, ifølge The Verge. Tidligere denne uken ble den japanske kameraprodusenten Canon rammet av et tilsvarende angrep.

I Norge ble Hydro rammet av et slikt angrep i fjor, noe som fikk enorme konsekvenser for selskapet.

Dale bistår norske og internasjonale virksomheter som er rammet, og sier det utbetales enorme beløp uten at det blir offentlig kjent.

– Det er ingen som ønsker den oppmerksomheten, men det er mange som rammes. Vi betaler ut så mye løsepenger at vi sliter med å skaffe nok bitcoin på det åpne markedet, sier han med henvisning til kryptovalutaen som er hackernes foretrukne betalingsmiddel.

Hadde ikke betalt ideelt sett

Ifølge Dale har River Security en avtale med en bank i Nederland for å kunne skaffe større mengder bitcoin på kort varsel.

– Det er stort sett ikke noe alternativ til å betale for dem som først er rammet. I beste fall settes bedriften tilbake mange måneder uten tilgang på dataene, i verste fall er det kroken på døren. Ideelt sett hadde vi ikke betalt, men noen ganger har man ikke andre valg, sier han.

Martin Lee er teknisk sjef i Talos, it-giganten Ciscos sikkerhetsorganisasjon og blant verdens største på sitt felt. Han bekrefter Dales analyse av hackernes motivasjon.

Utover NHH er det ikke spesielt store virksomheter blant de syv norske, men det er risikabelt å tenke at man går under radaren av den grunn, mener Lee.

– Det som er lett å undervurdere er hvor mange kriminelle forretningsmodeller det finnes der ute og ikke minst hvor mye innovasjon det er. Nesten uansett hvem du er eller hva slags bedrift du har, så er det en kriminell der ute som har spesialisert seg på å utnytte informasjonen eller systemene dine til vinning på en eller annen måte, sier Lee til DN.

Der det er større summer å hente ved å angripe større bedrifter, møter også hackerne større motstand. For én enslig hacker kan løsepenger fra en mindre bedrift utgjøre en fin utbetaling.

Oppdager hacking først når det er for sent

Ifølge Dale i River Security er løsepengesummene de håndterer er i størrelsesorden 120.000 kroner til 15 millioner.

Ved siden av bistand til bedrifter som allerede er angrepet, overvåker selskapet på vegne av sine kunder, så de kan agere raskt når de først er hacket.

– Det er mange måter å finne ut at du er angrepet på. Noen dukker opp i lister som dette. Da må du handle som om dataene dine er blitt utnyttet i månedsvis allerede, så får du heller håpe at du har tatt feil, sier Dale.

Han kaller det «trusseljaging»: Å eiendeler som allerede er kompromittert. Er betalingsevnen høy kan målet være å låse systemet for å kreve løsepenger. For forsknings- og kunnskapsinstitusjoner som NHH kan det være sensitiv forskning eller annet materiale.

– Noen av våre kunder oppdager hva som har skjedd tre-fire år etter angrepet, når forskningen deres plutselig er brukt av en konkurrent et eller annet sted i verden, sier Dale.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.