Politiet advarede mod at betale løsesum, det gjorde Techotels aligevel og først halvanden måned senere er systemerne tilbage i drift

By Michael RasmussenDeKryptering, Hacking, Ransomware

Betal aldrig løsesum til hackere, når man kan dekryptere

Information Care, Politi og alle eksperter er entydige i sin rådgivning. Betalt aldrig. Politiet og Statens sikkerhedstjeneste fraråder at betale løsesum. Det kan måske være fristende hvis nedetiden skaber flere problemer end betalingen til hackerne. Den gennemsnitlige betaling er dog på ca. 17 millioner kroner i Norden. Alligevel er der nogen der betaler for at komme hurtigere online igen. Men dette er langtfra tilfældet. I dette eksempel førte en hurtig betaling ikke til en genetablering og der skulle gå 1,5 måneder før systemerne var oppe igen.

Dertil kommer at man INGEN sikkerhed for at Hackerne ikke har placeret bots, filer, bagindgange eller malware på serverne eller klienterne.

Udbyderen af hotel software AK Techotel blev ramt af ransomware den 9 juni 2021. Det gik udover hotel systemet Picasso, som udbyderen sælger i abonnementsform. Det betød at de 900 hoteller, der brugte Techotel’s løsning mistede overblik over bookinger til sommerens gæster. Der kan være mange andre bestillinger tilknyttet til en hotelbestilling f.eks. biletter, bil, cykler, forplejning og andre ting. Et rent skrækscenarie, for det er svært at genskab med anden software eller papir og blyant.

“Efter ni dages nedetid kom de væsentligste systemer op igen, mens de seneste systemer først blev genoprettet i slutningen af juli”, “Jeg synes vi har skrevet meget om den sag på vores side efterhånden. Ti sider eller sådan noget«

siger Klaus Ahrenkilde der er ejer, direktør og udviklingschef siger til mediet Version2:

Overfor Version2 er han ikke meget for en detaljeret gennemgang af sagen. Han henviser dog til, at sagen har betydet, at andre opgaver er blevet udskudt, hvorfor virksomheden har usædvanligt travlt.

På AK Techotels hjemmeside har de slettet informationer om selv hackerangrebet. Men her fremgik det imidlertid at data var krypteret 4 gange. Dette er ikke usædvanligt, og man kan sagtens dekryptere 4 gange.

I dag stammer eneste status fra virksomheden om sagen fra den 28/7, hvor AK Techotel melder, at support-mailadresserne til virksomheden nu er genetableret efter to Gmail-adresser har gjort det ud for det sædvanlige supportsystem indtil nu. Det fremgår ikke, at mail-problemerne skyldes et angreb. Men det bekræfter Klaus Ahrenkilde.

“Vi anbefaler man undgår at betale løsepenge. For det første er man ikke garanteret, at de kriminelle løser problemet, når man har betalt, men man motiverer også yderligere afpresning ved at vise, man er villig til at betale”

sagde sektionschef i politiets Landsdækkende Center for It-Kriminalitet Anders-Emil Nøhr Kelbæk til mediet Version2.dk

Direktøren ville underligt nok ikke til Version 2 besvarer spørgsmålet om løsesummen eller hvilken Ransomware han var udsat for. Det ville han til gengæld til nytår af en eller anden ubegribelig årsag.

Et af de efterfølgende afpresningsspørgsmål er om hackeren henvender sig igen for flere penge. Det er sket mange sager, at hackeren vælger at offentliggøre alle data, hvis ikke der betales. Så det er altså forsat en efterfølgende mulighed for softwareleverandøren.

Valget om at betale blev truffet efter en konsulentvirksomhed havde rådet Klaus Ahrenkilde til at betale løsesummen, fortæller han. Her fik han at vide, at man typisk kunne nøjes med et døgns nedetid, hvis man betalte. Det var så ikke tilfældet her og i mange andre sager.

Dekryptering er løsningen

Der er også rigtig mange eksempler på at det ikke kan betale sig at betale, det er jo trods alt bedre at dekryptere og rense de inficerede systemer.

Det måtte Colonial Pipeline erfarer, idet de betalte men endte med at bruge egne backup løsninger. De brugte dermed ikke hackernes værktøjer for at åbne for adgangen til de krypterede systemer. De havde ellers betalt 11 millioner dollars for disse. FBI endte dog med at få beslaglagt dette beløb.