Utpressare krävde Sundsvallsföretag på lösensumma
Redan tidigt på onsdagsmorgonen blir det uppenbart att något är fel. När personalen på teknikföretaget Sund Birsta i Sundsvall loggar in på sina datorer möts de av – ja, vad? Filerna är låsta och inget går att komma åt. I mejlboxen kommer det upp en röd ruta som meddelar att informationen är krypterad. För att komma åt företagets data krävs en ersättning i bitcoin.
Medan frustrerad och undrande personal samlas i fikarum och korridorer har Håkan Eriksson, som är datasystemansvarig, och Anders Hellgren, administrativ chef på Sund Birsta, börjat ringa alla som kan tänkas kunna hjälpa till.
– Det här är ju sådant man bara läst om tidigare. Var kom det ifrån? säger Håkan Eriksson vars första åtgärd blev att stänga ner inloggning på alla servrar.
Press på lösning
Det uppstod snabbt en press på att hitta en lösning. Ledningen ville ha besked om vad som hänt. Medarbetarna ville veta hur de skulle kunna sköta jobbet och det egna stresspåslaget underlättade knappast. Samtidigt började telefonsamtalen ge resultat och snart fanns flera säkerhetsexperter på plats.
– Det var en stark olustkänsla och en situation som vi aldrig ställts inför tidigare. Vi behövde hjälp att förstå vilka valmöjligheter vi hade och sätta upp en handlingsplan, säger Anders Hellgren.
Att betala lösensumman var inget alternativ, även om det togs upp som ett förslag på lösning.
– Om vi hade betalat hade vi bekräftat för angripare att vi var utsatta. Vad hade det inneburit? Nej, betala var aldrig aktuellt. Fokus blev att backa och återställa, säger Håkan Eriksson.
Oskyldigt mejl
Snart stod det klart att tre av företagets dåvarande 15 servrar var angripna och behövde återställas. Attacken kunde spåras till dagen innan. Viruset hade tagit sig in genom en trojan i ett till synes helt oskyldigt mejl från Postnord. Eftersom mejlet i sig inte innehöll något virus släpptes det igenom av virusprogrammen i mejlservern såväl som på pc:n. Men i mejlet fanns en länk till en hemsida, som såg helt äkta ut, och på hemsidan fanns en länk för paketspårning. Inte heller den länken fick varningslampor att blinka, och medarbetaren klickade vidare.
– Trojanen som laddade ner och spred krypteringsprogrammet fanns i länkarna. Det innebar att alla de filer som denna användare hade skriv- och läsrättigheter till blev krypterade, säger Håkan Eriksson.
Alla resurser lades på att få i gång verksamheten så snart som möjligt. Tiden var det viktiga.
”Om vi hade betalat hade vi bekräftat för angripare att vi var utsatta. Nej, betala var aldrig aktuellt. Fokus blev att backa och återställa”
Om man kan prata om tur i oturen så var turen att Sund Birsta året innan flyttat sin backup från de egna lokalerna till helt separerad lagring hos IT-företaget Savecore. Alltså gick det att återläsa en oskadad version av de data som krypterats av utpressningstrojanen. Ett av de första samtalen denna dramatiska morgon gick därför till Daniel Brorsson, systemarkitekt på Savecore.
– Det innebar att all data fanns säkrad hos oss, frågan var hur den skulle återtas, säger Daniel Brorsson.
Backade bandet
Planen blev att backa bandet till timmarna innan medarbetaren klickade på länken i det falska mejlet.
– Skadan var total så vi fick börja med en katastrofåterläsning och sedan bygga upp infrastrukturen igen enligt den aktivitetslista vi satt upp, förklarar Daniel Brorsson.
Först på måndagen kunde personalen börja jobba som vanligt igen.
– Men när alla kom till jobbet efter helgen fick de börja med att försöka komma ihåg vad de hade gjort på tisdagen veckan innan, och göra om samma sak igen, säger Håkan Eriksson.
För den delen av verksamheten som drabbats av cyberattacken var det många arbetstimmar som försvann. Vad det innebar i kronor och ören har ingen räknat på. Företagets försäkring täckte inte heller en förlust av de här slaget.
– Cyberförsäkringar är svåra, och i vårt fall var ju problemet på sätt och vis självförvållat. Det går aldrig att skydda sig till 100 procent. Vi gjorde en polisanmälan, men mest för sakens skull, och den har hittills inte lett till något, säger Håkan Eriksson.
Säkerhetsutbildade personalen
Efter attacken fick all personal delta i en säkerhetsutbildning om de hot som finns och hur man på bästa sätt är vaksam mot alla typer av nätfiske och skadlig programvara.
– Det har gått sex år sedan vi drabbades av den här attacken. Sedan dess har vi även utsatts för andra bedrägeriförsök, så det gäller att hela tiden göra alla medvetna om riskerna, säger Anders Hellgren.
Bland annat har personalen fått mejl om utbetalningar som sett ut som om de kom från företagets vd:s mejladress. Det har också dykt upp fakturor som sägs komma från befintliga leverantörer men där bankuppgifterna ändrats.
– Riktigt förberedd på sådant här blir man aldrig, och att det drabbade oss är fortfarande svårt att ta in. Det är alltid knepigt att veta vilken säkerhetsnivå man ska lägga sig på, men att ha separerad backup var väl investerade pengar. Och sedan hade vi tur att det fanns kompetenta personer här i Sundsvall som kunde rycka ut och hjälpa oss med så kort varsel, säger Anders Hellgren.
Text: Susanna Lindgren.