Silje Fredriksen og Bjørn Ole Kyllesdal i Etnisk musikklub ble utsatt for hackerangrep. FOTO: Fredrik Bjerknes

Under angrep fra nettpirater

Hva gjør du hvis en ukjent inntrenger kidnapper alt du har på datamaskinen og krever løsepenger for å gi deg innholdet tilbake?

– Det er jo helt absurd at vi ble utsatt for dette.

Vi sitter i kjelleren til Etnisk musikklubb i Kongsberg. Langs veggene står hyllemeter på hyllemeter med musikk fra alle verdenshjørner – alt fra mongolsk strupesang til norske slåtteskatter. For en drøy måned siden var Silje Storm Fredriksen og Bjørn Ole Kyllesdal i ferd med å avslutte arbeidet med det siste nummeret av klubbens medlemsblad, Toner på tvers. Samme kveld gikk Fredriksen ned i kjelleren for å sjekke noe på pc-en. Hun var sliten etter en lang dag og kunne ikke være lenge borte fra ungene.

– Jeg så at det sto en eller annen beskjed på skjermen. Jeg tenkte at det måtte være et virus, men jeg var så stressa at jeg bare løp opp igjen.

Fredriksen bor i huset der Etnisk musikklubb holder til. Det var faren som startet opp familiebedriften for rundt 20 år siden. Etter at han fikk slag, har Fredriksen tatt over som leder for den daglige driften.

Da Fredriksen kom ned i kjelleren dagen etter, ble hun alvorlig bekymret. På skjermen tikket en klokke: «Your personal files are encrypted by CTB-Locker». Under den røde skriften fulgte en oppskrift på hva som måtte gjøres for å få filene tilbake.

– Alle filene var blanke. Jeg skjønte at dette måtte være alvorlig.

Krevde betaling i bitcoin

Fredriksen ringte rundt til folk hun kjente som var mer datakyndige enn henne selv. Svaret hun fikk fra alle var: «Dette er seriøst».

– Det var selvfølgelig veldig dumt av oss at vi ikke hadde skikkelig backup, sier Fredriksen.

Hun ringte medarbeider Bjørn Ole Kyllesdal og fortalte at nettpirater hadde tatt kontroll over alt de hadde av filer; artistkontrakter, kontaktinformasjon, mailer, lydspor – alt bedriften har jobbet med i 20 år var kryptert. Inntrengeren krevde løsepenger for at filene skulle låses opp igjen. Utpressingsbeløpet måtte betales i bitcoins. Fredriksen hadde så vidt hørt om den elektroniske valutaen. Men hvordan skaffer man bitcoins? Og hva ville skje med familiebedriften hvis alt gikk tapt? På skjermen tikket klokka. 72 timer igjen.

Vi svinger inn på gårdsplassen til Alex Backer som bor noen kilometer unna Etnisk musikklubb. Backer driver selskapet IT-Kilden og har hatt Etnisk musikklubb som kunde helt siden bedriften startet opp på midten av 90-tallet.

– Jeg visste med en gang hva det var da Silje ringte. Det er et helvete. Jeg var borti noe av det samme i fjor. Men det viruset var snillere. Dette var mer aggressivt. Det hjelper ikke om du er NASA eller CIA – det finnes ikke datakraft nok til å låse opp filene hvis man ikke har nøkkelen.

Backer var aldri i tvil om at det var verdt å gjøre et forsøk på å få filene tilbake. Beløpet som utpresserne krevde tilsvarte 7.500 kroner. Selv om politiet ikke anbefaler noen å betale utpresserne, forstår Backer godt at mange velger å gi etter. Han spør oss retorisk: Hva gjør du hvis noen tar kontroll over alle familiebildene dine og det finnes én mulighet for å få dem tilbake – betaler du eller ikke?

Å betale seg ut av uføret er lettere sagt enn gjort.

– I dag får du 95 timer på deg til å redde filene. Før kunne du betale med kontanter eller visakort. I dag kreves det stadig oftere at betalingen skal skje med bitcoins, som igjen skaper et satans problem – for hvem har bitcoins?

LES OGSÅ: - Honning-krukke for 
hackere

Kryptovaluta legger til rette for kriminalitet

Bitcoin skiller seg fra andre valutaer ved at det ikke er noen sentral utsteder.

– Å omgjøre vanlige penger til bitcoins er ikke enkelt. Du kan registrere deg som trader, men de fleste som har bitcoins er ikke interessert i å trade åpent siden de ønsker å være anonyme.

For kriminelle er bitcoin blitt en stadig mer populær valuta fordi det nærmest er umulig å følge pengene. Håvard Aalmo, leder ved Seksjon for datakriminalitet i Kripos, forteller at det i dag finnes mer enn 100 ulike varianter av virtuelle valutaer.

– Det er ikke ulovlig å bruke digital valuta i seg selv, men det kan forenkle kjøp av ulovlige varer for kriminelle – på samme måte som kontanter i den fysiske verden. Kryptovaluta er med på å legge til rette for kriminalitet ettersom de tillater tilnærmet anonymt eierskap og anonyme overføringer av verdier, sier Aalmo.

Åpnet vedlegg

Det er Kripos som har det nasjonale ansvaret for å etterforske datakrimsaker. I fjor ble det registrert 50.000 tilfeller der virus knyttet til datakidnapping ble lastet ned på norske pc-er. Kripos har ingen god oversikt over hvem som rammes siden det er få som anmelder denne typen datainnbrudd.

– De fleste tilfellene vi kjenner til har trolig fått sin datamaskin kompromittert etter at de har åpnet et vedlegg de har mottatt på e-post. Personer som er ukritiske til hva de trykker på av lenker og vedlegg de mottar på e-post har større risiko for å rammes, sier Aalmo.

Utpressingsviruset plantes som oftest i et vedlegg til en mail. Silje Storm Fredriksen har ingen idé om hvilket vedlegg hun åpnet som startet angrepet.

– Vi får så mye rart. Det kan ha vært i en hvilken som helst mail. Vi er sårbare siden vi har samarbeidspartnere i hele verden, sier Fredriksen.

Alex Backer er overbevist om at vi vil se mer av slike datainnbrudd i framtida.

– Det eneste man kan gjøre for å beskytte seg er å ta backup og bruke gode, oppdaterte antivirusprogram.

Dyrt for små bedrifter

Ifølge Backer er det ikke lett å vite hvor lenge utpressingsviruset har vært på maskinen før krypteringen starter.

– Det kan være snakk om minutter eller et døgn. Det kan derfor være vanskelig å si når du fikk det, sier Backer, som oppfordrer alle til ikke å åpne vedlegg i mailer med ukjent avsender.

– Selv om man har backup kan det bli veldig dyrt for en liten bedrift å gjenopprette alt innholdet som har blitt infisert.

IT-eksperten trodde det skulle være relativt lett å skaffe tre bitcoins.

– Jeg holdt på hele helgen. 0.10 bitcoins var alt jeg greide å skrape sammen. Jeg måtte være kreativ og kontaktsøkende for å få tak i noen som var villige til å overføre bitcoins før tida gikk ut.

Backer brukte sine kontakter i IT-verdenen. Gjennom en bekjent av en bekjent kom han i kontakt med en som var villig til å selge bitcoins.

– Det var ingen link mellom denne personen og meg. Det er jo galskap å holde på sånn. Men det var det som måtte til.

Følg oss på Twitter og Facebook!

– Det river i sjela

En kollega av Backer dro til Skien for å møte mannen med den elektroniske valutaen. Kollegaen hadde med en app på telefonen som brukes til overføringer av bitcoins.

Da overføringen var gjennomført, var det et halvt døgn igjen til fristen gikk ut.

– Det river deg i sjela å betale for noe du ikke har bedt om. Du betaler jo til terrorister, og du har selvfølgelig ingen garanti for at filene blir låst opp.

Han var svært spent da han satte seg ned ved pc-en for å overføre pengene til nummeret inntrengeren hadde oppgitt. Minst like spent var Fredriksen, som knapt hadde sovet denne helgen. Men så – like etter at pengene var overført – poppet det opp et nytt vindu på skjermen: «Decrypting in progress ...»

Lånekassen rammet

Tall fra sikkerhetselskapet Symantec viser at såkalt kryptokidnapping økte med 45-gangen i 2014. Nylig ble Lånekassen angrepet av det samme viruset som rammet Etnisk musikklubb. 120.000 filer ble låst etter at ansatte hadde åpnet et vedlegg som inneholdt en tilsynelatende feilsendt faktura. Lånekassen klarte seg fordi de hadde gode rutiner for sikkerhetskopiering. Men selv for bedrifter som er godt rustet for slike angrep, er det en tidkrevende og kostbar prosess å komme tilbake til en normalsituasjon. Ifølge tall fra Center for Strategic Studies og sikkerhetsselskapet McAfee fører datakriminalitet til et tap på 19 milliarder kroner for den norske økonomien hvert år. I etterkant av datainnbruddet kritiserte Jostein Jensen, sikkerhetsansvarlig i Lånekassen, politiet for ikke å ta denne typen kriminalitet på alvor. Etter at Lånekassen anmeldte forholdet, fikk de til svar fra politiet at «det ikke er rimelig grunn til å undersøke om det foreligger straffbare forhold».

– Datakriminalitet er et ufattelig stort samfunnsproblem. Ved å anmelde forholdet ønsket vi å synliggjøre hvor stort problem dette er, sier Jensen.

Han viser til Mørketallsundersøkelsen fra i fjor der det gikk fram at bare én prosent av all datakriminalitet mot norske virksomheter anmeldes.

– Når så få anmelder datakriminalitet kan ikke myndighetene og politiet vite hvor stort problemet er. Vi har forståelse for at det er vanskelig å oppklare denne typen kriminalitet, men vi hadde ønsket at de tok tak i saken og eventuelt løftet den fram i internasjonale fora.

Etter at Lånekassen anmeldte saken og fortalte om hva de var blitt utsatt for, ble Jensen kontaktet av flere som hadde opplevd det samme. Han tror det er mange årsaker til at bedrifter ikke anmelder datakriminalitet.

– Jeg vil anta at mange er bekymret for omdømmet, og at det spekuleres i om det blir negativ omtale hvis man anmelder. Men det kan vel også hende at bedrifter tenker at sakene ikke vil bli etterforsket, og at det derfor ikke er noen vits å anmelde forholdet.

Til tross for henleggelsen, oppfordrer Jensen andre virksomheter som utsettes for datakriminalitet til å anmelde forholdet.

– Synlighet kan bidra til endrede prioriteringer på sikt, sier Jensen.

LES OGSÅ: Lett spill for spioner og sabotører

Vanskelig å etterforske

Det var Oslo politidistrikt som behandlet denne saken. Håvard Aalmo i Kripos er enig i at det er et problem at mørketallene er store, men de ser en økning i antall anmeldelser.

– Det er en positiv trend at flere og flere alvorlige sikkerhetshendelser meldes til politiet. Seksjon for datakriminalitet har også initiert flere saker på bakgrunn av etterretningsopplysninger vi har mottatt.

Aalmo understreker at de har styrket innsatsen for å bekjempe datakriminalitet de siste årene, men legger ikke skjul på at dette er tunge saker å jobbe med.

– Alvorlig internasjonal datakriminalitet er vanskelig å etterforske, særlig når den er knyttet til land som ikke prioriterer bekjempelse av slik kriminalitet. Kripos jobber tett med blant andre Europol og Interpol der vi deler informasjon om de framgangsmåtene og virusene vi ser blir brukt mot enkeltpersoner og bedrifter i Norge.

Han ser det som svært sannsynlig at det vil komme nye angrep, men de har ingen indikasjoner på at det sitter folk i Norge og utvikler programvare for datakidnapping.

– I prinsippet kan alle utføre denne typen kriminalitet, men i Norge har vi kun saker med fornærmede.

– Å bli utsatt for slike angrep er nitrist både for privatpersoner og bedrifter.

Alltid noen som betaler

Hans Christian Pretorius, direktør for operativ avdeling i Nasjonal Sikkerhetsmyndighet (NSM), er glad for at bedrifter som blir utsatt for datainnbrudd står fram og snakker om det de har opplevd. NSM er en nasjonal varslings- og koordineringsinstans for alvorlige dataangrep.

– Krypteringsnøklene som brukes i dag lar seg ikke knekke. Hvis du ikke har backup, er datene med stor sannsynlighet tapt.

Angrepene kommer i bølger.

– Dette er utpressingsvirus som bare pøses ut. Er volumet stort nok, vil det alltid være noen som betaler. Det kreves mye kompetanse for å lage denne typen virus. Men når de først er ute, kan hvem som helst plukke dem opp og bruke dem igjen.

NSM vet ikke hvem som står bak. Når de analyserer krypteringsprogrammene, kan de finne ut noe om hvilke tidssoner de kriminelle befinner seg i og hva slags språk som brukes.

– Men vi vet ikke hvilke land det er snakk om. Disse virusene er enormt godt laget og er veldig komplekse.

Pretorius har ikke hørt om tilfeller i Norge der ofrene har betalt for å få filene tilbake.

– Vi har ikke så mye empiri på hvem som har lykkes med å betale. Vi har fulgt rådene til internasjonale aktører når vi fraråder folk fra å gjøre det, sier Pretorius.

Samtidig har han forståelse for at folk som får alle data slettet velger å betale.

Pretorius mener norske bedrifter må bli flinkere til å beskytte seg mot denne typen angrep, men vil ikke anklage enkeltpersoner i bedrifter for å være uforsiktige.

– Nesten alle virus kommer via en mail. Mail er laget for å kommunisere, også med folk du ikke kjenner fra før. Det er lett å åpne et vedlegg når man skuffer unna e-post etter en lang dag på jobb. Bedriftene kan derimot gjøre mye. De kan for eksempel sørge for at kjørbare filer skal stoppes. Da reduserer man risikoen for slike angrep, sier Pretorius, som oppfordrer alle til å oppdatere sin antivirusprogramvare jevnlig og sørge for å ha gode backup-rutiner.

– Man kommer langt ved å gjøre disse basistingene.

Utpressere sa de var politiet

Ola Rehnberg, sikkerhetsekspert i Symantec, følger også utviklingen tett når det kommer til utpressingsvirus. Ifølge svensken har denne typen angrep vært minst like hyppige så langt i 2015 som i fjor. Og det kommer stadig nye varianter av krypteringsprogrammet som Etnisk musikklubb ble utsatt for.

– I Australia dukket det nylig opp et lignende utpressingsvirus der de som rammes får opp et symbol med Los Pollos Hermanos fra TV-serien «Breaking Bad» på skjermen.

Før var det vanlig at utpresserne utga seg for å være politiet. Ofrene ble beskyldt for å ha besøkt sider de ikke burde gå inn på, og ble så presset for penger.

– I dag er det vanlig å være helt åpen om hva som er hensikten. Dette er ikke noe annet enn ren utpressing. Det handler om å bygge så avanserte angrepsvåpen som mulig. For bedrifter som har kompetansen sin på helt andre områder enn datasikkerhet er det lett å glemme å sikre seg mot denne typen angrep, sier Rehnberg.

Han har heller aldri hørt om bedrifter i Norden som har stått fram og sagt at de har betalt løsepengene og fått filene tilbake.

– Mange skammer seg nok, og tenker at de har vært idioter som har klikket på et vedlegg de ikke skulle ha åpnet. Bedrifter er redd for å skade sitt rykte fordi man ikke har hatt god nok kontroll på sikkerheten.

Han beskriver de skjulte miljøene som står bak de avanserte krypteringsprogrammene som et eget økosystem.

– Utviklere, forskere og programmerere leter etter sårbarheter. Det er vanlige mennesker som deg og meg. På morgenen følger de barna til skolen, så drar de på jobb der hensikten med arbeidet er å bruke kriminelle midler til å presse oss og stjele penger. Dette er en ny form for organisert kriminalitet som vi kommer til å se mer av.

Han opplever ikke at folk i Sverige og Norge er gode på å beskytte seg mot datainnbrudd.

– Nei, jeg kan ikke si at vi er det. I Sverige er vi kanskje spesielt godtroende. Folk tenker at det ikke vil hende dem og stikker hodet i sanden.

Han har ingen tro på at denne typen virus vil forsvinne med det første.

– Dette vil fortsette så lenge noen betaler. Det er ren forretningsvirksomhet, sier Rehnberg.

– Ikke stas å snakke om

Alle filene til Etnisk musikklubb ble åpnet. Innbruddet er anmeldt til politiet. Alex Backer har nå sørget for at den lille bedriften har et skikkelig backup-system på plass. Men Silje Storm Fredriksen er fremdeles litt bekymret der hun sitter i kjelleren i Kongsberg. Vil det dukke opp igjen?

– Man blir litt paranoid. Har du betalt én gang, blir man kanskje et lett offer senere.

Hun synes ikke det er så stas å snakke om det de ble utsatt for. Hadde de hatt et skikkelig backup-system ville de sluppet de nervepirrende dagene da bedriftens framtid sto på spill. Samtidig vet hun at veldig mange har opplevd akkurat det samme, og at det derfor kan være vel verdt å fortelle historien.

– Vi har i hvert fall lært at virkeligheten kan overgå det man leser om i fiksjonen.