Hackare tog filer som gisslan

Enligt en undersökning som genomfördes nyligen ökar dataintrången hos svenska företag. Under det senaste året har fler än vart tionde företag utsatts för hackerattacker. J.R. Johnssons Plåtslageri på Hisingen i Göteborg är ett av dem.

När Tommy Unger på J.R. Johnssons Plåtslageri kom till jobbet en måndagsmorgon i februari upptäckte han ganska snart att allt inte var som vanligt. Han startade upp sin dator för att ta itu med dagens uppgifter men lyckades inte öppna något av de dokument han ville arbeta med.

– Alla våra filer var låsta, berättar han. Vi misstänkte ganska tidigt att systemet drabbats av ett datavirus så vi ringde IT-supporten.

En felsökning inleddes och det stod tidigt klart att J.R. Johnssons drabbats av ett dataintrång. Dessutom ett synnerligen kvalificerat sådant. Troligen hade någon på företaget av misstag öppnat en bifogad fil i ett e-postmeddelande eller klickat på en länk. Undersökningen visade att hela servern, som förutom J.R. Johnssons affärssystem också innehöll systerföretaget GM Plåts dokument, blivit krypterad. Ett dokument gick dock att öppna. Brevet med begäran om lösensumma för att låsa upp servern.

– Hackarna hade lyckats ta sig hela vägen in till kärnan i vår server, säger Tommy Unger. Det är tydligen inte så vanligt men tack vare detta hade de kunnat arbeta sig inifrån och uti hierarkierna. Vårt system var helt utslaget.

Brevet, eller snarare textfilen, som hittades berättade på något knagglig engelska att det enda sättet för företaget att få tillbaka sina filer var att betala en lösensumma. För att verifiera äktheten erbjöds J.R. Johnssons att e-posta en krypterad fil för dekryptering. Gisslantagarna krävde betalning i enheten bitcoin, en digital valuta som i stor utsträckning möjliggör anonyma överföringar mellan flera parter.

– I det läget visste vi inte hur vi skulle gå vidare. Vi polisanmälde naturligtvis omedelbart men hela situationen var otroligt frustrerande. Att vi inte kunde komma åt vårt arbetsmaterial gjorde det väldigt svårt för oss att arbeta. Allt fanns på servern, alla offerter, fakturor, kundkontrakt, tidrapporter och så vidare. Vi fick plocka fram gamla analoga tidlappar och försöka jobba så gott det gick.

Samtidigt kontaktades också företagets försäkringsbolag, med nedslående resultat. J.R. Johnssons försäkring täckte inte den situation som uppstått.

Inte heller polisen kunde göra något åt saken.

– Budskapet vi fick innebar i princip att de inte kunde hjälpa oss men att de rekommenderade att vi inte skulle betala datahackarna.

Dagen efter intrånget kontaktade Tommy Unger ägaren Christian Johansson och informerade om vad som hänt. Fortfarande stod företaget med en smittad server. Man kände sig tvingade att fatta ett beslut.

– Vi hade en lång diskussion. Moraliskt kändes det helt åt skogen fel att betala för att få tillbaka våra egna filer. Men samtidigt kände vi att vi var helt utelämnade och på något sätt behövde vi komma tillbaka till jobbet på riktigt.

Efter en e-postkonversation bestämdes priset till 40 000 kronor och JR Johnssons bestämde sig för att betala datahackarna. Då infann sig nästa problem. Ett företag har inte möjlighet att köpa valutan bitcoin utan endast en privatperson kan genomföra en sådan transaktion. Sagt och gjort, den tidigare vd:n Kenneth Johansson genomförde betalningen och några timmar senare anlände en krypteringsnyckel som låste upp J.R. Johnssons server. I artiga ordalag förklarades hur plåtslageriet skull få tillbaka sina egna filer. Meddelandet avslutades med ”have a nice day, sir”.

Företagets IT-support kontrollerade därefter hela systemet och tillsammans upprättades nya rutiner för att undvika att drabbas igen.

– Nu jobbar vi mot en huvudserver och har två separata back up-system. När vi kommer på morgonen så kopplar vi in en av dessa och låter den andra vara helt frånkopplad. Skulle vi bli attackerade igen så finns alltså en ren kopia att tillgå. Om det händer så kan vi alltså förlora max ett dygns arbete.

Dessutom har J.R. Johnssons styrt tillgången till servern bättre, varje användare har tilldelats endast de nivåer i systemet denne arbetar med. Det går alltså inte längre att skaffa sig tillgång till hela servern genom att hacka sig in i en enskild dator.

– Hela affären har kostat oss en hel del, säger Tommy Unger. Förutom pengarna vi betalade också kostnaden för support och för stillestånd i arbetet. Det blev verkligen en dyr läxa för oss.

Han är övertygad om att det finns ett stort mörkertal när det gäller hur många som drabbas av dataintrång.

– Kanske skäms man för att man blivit lurad, så att säga. Men vi tycker att det är viktigt att berätta vad som hänt för våra kollegor i branschen. Förhoppningsvis kan vi hjälpa någon att undvika det som hände oss.

Text & foto: Niclas Kindvall

 

Lämna en kommentar

Vi delar aldrig ut din epostadress till spammare. Obligatoriska fält är markerade med asterisk *.

*
*