Det er tidlig morgen, klokken er seks og Lisbeth Dau, der er økonomidirektør hos Rosendahl Design Group, står i fitnesscenteret, da hun modtager et skæbnesvangert opkald på sin arbejdstelefon.
Det er hendes IT-medarbejder, der ringer.
Rosendahls hjemmeside er i løbet af natten blevet hacket. Hvis Lisbeth Dau ikke allerede havde høj puls efter en time i fitnesscenteret, så havde hun det i hvert fald nu.
IT-medarbejderen har været i kontakt med IT-sikkerhedsfirma CSIS, der overvåger Rosendahls systemer. Csis fortæller, at de er nødt til at lukke Rosendahls forbindelse til internettet. Det betyder også, at Rosendahls netportal er nede, så al handel og aktivitet stopper.
Og timingen kunne næsten ikke være værre.
- Det her sker midt i den allerstørste juletravlhed. Det sker den 30. november. Det er en af de allerstørste dage hos os, fortæller Lisbeth Dau om den frygtelige morgen.
En overvågningsalarm er gået. Sikkerhedsfirmaet har observeret unormale aktiviteter i Rosendahls IT-systemer.
Når hackerne krypterer data, betyder det, at virksomheden ikke kan tilgå sine computersystemer. For at kunne få adgang til dem igen, skal de bruge en kode. Hackerne fra Rook kræver en løsesum for at udlevere koden. Det er det, der hedder et ransomwareangreb.
Sikkerhedsfirmaet får straks sat Lisbeth Dau i kontakt med en IT-gidselforhandler, der kan hjælpe Rosendahl med at forhandle med hacker-gruppen.
Løsesum
Michal Sjøberg er IT-gidselforhandler i virksomheden Delta Crisis Management, som er specialiseret i at hjælpe virksomheder, der er blevet ramt af hacker-angreb. Han har en fortid i forvaret.
Jeg var med til at udarbejde forsvarets strategi til håndtering af gidsel – og kidnapningssituationer
Michael Sjøberg arbejder sammen med sin makker Henrik Christiansen, der har en lignende baggrund.
Michael Sjøberg og Henrik Christiansen kaster sig ind i opgaven for at hjælpe Rosendahl. De begynder med at læse en mail fra hackerne, en såkaldt ransomware note, hvor hackerne giver sig til kende og kommer med deres krav.
Der står blandt andet:
Jeres filer er blevet krypteret og er i øjeblikket ikke tilgængelige. Forresten, alt er muligt at gendanne, men I er nødt til at følge vores instruktioner. Ellers vil I ikke få jeres data igen.
De kræver også, at der hurtigt bliver sat gang i forhandling om en løsesum:
”I har tre dage til at kontakte os for at forhandle. Hvis I kontakter os inden for tre dage, giver vi jer 50 procent rabat."
Rook understreger at Rosendahl hverken må tage kontakt til politiet eller eksterne konsulenter. Hvis de gør, vil hackerne ødelægge deres filer.
De to IT-gidselforhandlere kommunikerer med hackerne via e-mail. De udgiver sig for at være en medarbejder fra Rosendahl og indleder dialogen.
- Vi ved ikke ret meget i starten, så det første mål er få skabt klarhed. Noget af det værste er, hvis vi kommer til at skabe en forventning om, at der kommer til at rulle en masse bitcoins ind på hackernes konto, fortæller Michael Sjøberg.
Henrik Christiansen fortæller om budskabet er i deres første mail til Rook:
- Vi skriver noget i stil med: Er det jer, der kan hjælpe os med at løse det her fælles problem, vi nu har, siger han.
Ifølge Dansk Industri er cyberkriminalitet en stor udfordring for hovedstadsområdets virksomheder. Hackere gør hver eneste dag flere forsøg på at bryde ind i danske virksomheder.
- Vi ser en stor stigning i IT-kriminalitet. Jeg tror, man - lidt kækt - kan sige, at det næsten kun er de dumme kriminelle, der ikke er gået over til cyberkriminalitet. Risikoen ved at udføre det er relativ lav, og chancen for udbytte er relativ høj, siger erhvervsorganisationen DI’s digitaliseringspolitiske chef, Andreas Holbak Espersen.
Den gode backup
Hvad hackerne ikke ved er, at Rosendahl har en rigtig god backup-løsning. Jan Kaarstup fra CSIS forklarer:
- De havde en fantastisk back-up løsning, der betød, at vi nærmest med det samme havde mulighed for at kunne være oppe at køre igen.
Men inden CSIS kan bruge Rosendahls back-up til at genskabe virksomhedens systemer, skal de finde ud af, hvordan hackerne er brudt ind. Ellers kan de risikere, at hackerne bare begynder forfra med at kryptere og stjæle data. Men et par dages intensivt arbejde bærer brugt. Michael Søjberg fortæller:
- Det lykkes teknikerne fra CSIS at finde ud af, hvor Rook hackede sig ind i Rosendahls system. Det betød, at de kunne lukke hullet, siger han.
CSIS får Rosendahls systemer op at køre igen. Handelsportalen virker.
- Der var en stemning af lettelse, og 'juhu alt er godt'. Men alt var jo slet ikke godt, vi var slet ikke af krogen endnu, siger Rosendahls økonomidirektør Lisbeth Dau.
Dybt fortrolige data bliver stjålet
Men hackerne skriver igen.
”Vi har stjålet mere end en terrabyte data fra jeres intranet. Lad jer ikke friste. I ved om vi taler sandt eller lyver, når jeres data bliver lækket.”
Hackerne har altså endnu en måde at afpresse Rosendahl. De har stjålet dybt fortrolige data. Nu truer de med at offentliggøre dem på internettet.
Hvis det sker, kan det være et stort problem for en virksomhed.
- Det kan jo både være et problem, at man får lækket afgørende forretningshemmeligheder. Det kan også være tilliden fra ens samarbejdspartnere forsvinder. Måske er der nogen, der tænker, at virksomheden ikke har tilstrækkelig styr på det, og så tør de ikke handle med en længere, siger Andreas Holbak Espersen fra DI.
Tilbage hos Rosendahl er Lisbeth Dau især bange for, om hackerne kan finde på at lægge personlige oplysninger.
- Det kan være sygemeldinger eller personalesamtaler, alt den slags. Derudover ligger mange virksomheder jo også inde med kopier af pas og sundhedskort. Det gjorde vi faktisk både af mig selv og andre i vores ledelse. Det var super super ubehageligt at vide, forklarer hun.
Der kommer en trussel
Michael Sjøberg kigger på sin makker Henrik Christiansen og husker tilbage på et tidspunkt i forhandlingen, hvor hackerne skruer bissen på.
Henrik Christiansen svarer:
Det er jo klassisk, når de bliver utålmodige, ikke?
I mailen står der:
”Hvis vi ikke modtager XMR indenfor to dage, vil vi med det samme begynde at ødelægge data. Tak, Rook.”
XMR står for en kryptovaluta, der især benyttes af IT -kriminelle. Kravet lyder på 600 .000 dollars, lidt over 4 millioner danske kroner.
- Man er under et ekstremt pres som ledelse, siger Michael Sjøberg.
Han beslutter sig for at markere over for hackerne, at deres tone er blevet for hård. At de ikke mener, at det er en konstruktiv tilgang.
- Vi ender med at anbefale, at vi skal trække en streg sandet. Vi skriver til hackerne, at de skal holde op med at true, og at det er helt afgørende for, om vi kan nå frem til en aftale, siger Michael Sjøberg.
Rook kommer ligesom mange andre hackergrupper fra Rusland. Konflikten i Ukraine betyder, at de har rimelig frit spil, så længe de nøjes med at genere Vesten. Mange virksomheder ender faktisk med at betale en stor løsesum for at få deres data fri igen. DI så gerne, at politiet fik bedre mulighed for at bekæmpe de IT kriminelle.
- Allerhelst så vi, at man fik markant flere ressourcer til at opklare de her sager. Opklaringsprocenterne er jo forsvindende små, siger Andreas Holbak Espersen, DI.
Dropboxen
Parallelt med forhandlingerne forsøger teknikerne at undersøge, om de kan finde ud af, hvor hackerne har gemt de data, de har stjålet fra Rosendahl. Arbejdet bærer frugt. Michael Sjøberg husker tilbage:
- Vi begynder at have en idé om, hvor de har stjålet data til. Kan vi gøre et eller andet, som afskærer dem fra adgangen til den stjålne data?
Det lykkes teknikerne fra CSIS at opsnuse, at hackerne har gemt Rosendahls fortrolige data i en konto hos tjenesten Dropbox. De kontakter virksomheden, der driver tjenesten.
Men de ved stadigvæk ikke, om hackerne har kopieret data, og derfor har mulighed for at lække de fortrolige data på internettet.
Vi skal være sikre på, at de ikke har taget back-up. I bund og grund, og det er jo også derfor, at selve kommunikationen med geringsmændene er så sindssygt vigtig, siger Michael Sjøberg.
Betal eller ødelæggelse
Samtidig spidser det til. Hackerne fra Rook er ved at miste tålmodigheden. Dette er hvad der står i en mail:
”Jeg har hørt nok nonsens. Jeg gider ikke at tale mere. Betal eller ødelæggelse.”
Budskabet gør indtryk på selv en forhærdet gidselforhandler:
Uanset at man har prøvet det masser af gange før, så det at få at vide, at nu gør I et eller andet omkring penge, og der kommer et ultimatum, så går ens puls som forhandler op, siger Michael Sjøberg.
Man skal ikke underkende, at det her kan jo virkelig kan ødelægge virkelig meget
Også for Lisbeth Dau er der virkelig meget på spil.
- Man skal ikke underkende, at det her kan jo virkelig kan ødelægge virkelig meget, siger hun.
Men så kommer der gode nyheder fra Dropbox. Det lykkes CSIS at få hul igennem.
- Vi får faktisk fat i Dropbox sikkerhedsafdeling, som svarer med det samme. Og da de også kan konstatere, at det ser mistænksomt ud, så lukker de faktisk Dropbox-kontoen ned med det samme, fortæller Jan Kaastrup, CSIS.
Men IT-gidselforhandlerne ved stadigvæk ikke, om Rook har lavet en kopi af data. De ved heller ikke, om Rook selv har opdaget, at de er blevet afskåret fra den Dropbox, hvor de har gemt Rosendahls data. Derfor bliver de nødt til at være modige og sende en afgørende besked, der kan skabe klarhed.
- Vi skal have tjekket med dem….og i virkeligheden siger vi næsten til dem: Tag nu og fortæl os, om I har data eller ikke har data, husker Michael Sjøberg.
Jan Kaastrup fra CSIS fulgte forhandlingerne tæt.
- Det jo vildt nervepirrende, fordi der har været mange sager, hvor folk har troet, at de har fået lukket serverne ned, og så havde de alligevel en kopi, siger han.
Lisbeth Dau fra Rosendahl er i disse timer allermest spændt. Det er hendes og kollegernes data, der risikerer at blive lækket. Hun husker hele forløbet som højspændt og nærmest som en drøm.
- Det er det eneste, man tænker på hele dagen og hele natten. Du sover jo på mærkelige tidspunkter, hvis du overhovedet sover, for meget af det her foregik jo også om natten. Så det bliver jo sådan en bobble og sådan en lille smule uvirkeligt film at være med i, siger hun.
Afgørelsen
IT-gidselforhandlerne modtager endnu en besked fra hackerne. Og den har et overraskende budskab.
”Enestående krisehåndtering. Det må vi indrømme. Vores midlertidige data konto er lukket.”
Hackerne indser, at de har tabt. De har nu opdaget, at Dropbox har lukket for deres adgang til de stjålne data og opgiver. De roser endda IT-gidselforhandlerne for deres "enestående krisehåndtering".
- Vi bliver meget glade. Det er ikke hverdag for os. Det er hverdag at tale med gerningsmænd. Men det er ikke hverdag at få ros fra dem. Så det er en kæmpe sejr, siger Michael Sjøberg.
Jan Kaastrup fra CSIS istemmer:
- Når man har været igennem sådan et forløb på to-tre uger, hvor man arbejder nærmest nat og dag, så er det helt klart en kæmpe forløsning, siger han.
For første gang i næsten tre uger kan Lisbeth Dau trække vejret frit.
- Selvfølgelig er vi glade og lettede. Vi er også meget trætte, siger hun med et grin.
