Her krever kriminelle 44 millioner etter alvorlig dataangrep mot hotellkjede

Bookinger måtte føres med tusj på tavler, og gjester måtte låses inn manuelt. Datainnbruddet hos Nordic Choice fikk alvorlige følger. Nå deles nye detaljer fra angrepet, slik at andre kan lære.

Skjermbilde fra chat på Darkweb.

I en chat på det som populært kalles «darkweb» krever angriperne 5 millioner dollar for å dekryptere en fil. Ingen, heller ikke Nordic Choice selv, vet hvem som har gått i dialog med angriperne og også delt en fil med dem.

Grafikk: Skjermdump

Se for deg at du sitter på jobb.

Det tikker inn en e-post til deg. E-posten er et svar på en pågående korrespondanse med en partner du kjenner godt. Den er skrevet på godt norsk.

Vedlagt er en fil du blir bedt om åpne. Inne i en såkalt .zip-fil er det et Excel-dokument med informasjon du blir oppfordret til å se.

Det er kanskje litt travelt på jobb, og det er ingen åpenbare varsellamper som blinker.

Informasjonen i Excel-filen kan være viktig.

Ville du klikket og åpnet dette vedlegget?

Ville du klikket på vedlegget?

Eksemplet er ikke oppdiktet.

Det var akkurat dette som skjedde hos Nordic Choice Hotels i starten av desember.

Partneren var noen som pleide å booke rom, og det var de som fikk sin mailserver infisert først. Ut fra deres server gikk tilsynelatende legitime e-poster ut til ansatte ved flere hotell i Nordic Choice. I vedlegget til e-posten var ondartet programvare.

– Våre antivirus-løsninger ble slått ut og de fikk tilgang til våre systemer. Der var de inne i rundt 36 timer før de ble oppdaget. De er så effektive, og det går ekstremt fort, forteller teknologidirektør ved kjeden, Kari Anna Fiskvik, til NRK.

Kari Anna Fiskvik ved Choice.

Kari Anna Fiskvik er teknologidirektør ved Nordic Choice.

Foto: Maia Hansen/A-I-AM

De kriminelle fikk etter alt å dømme ikke tak i data om gjestene, men interne dokumenter og sensitiv informasjon om de ansatte klarte de å hente ut.

Dette har angriperne siden delt på det «mørke nettet», en del av Internett som en må ha en spesiell nettleser for å få tilgang til.

– Det har vært ekstra tungt for de ansatte. Dette er en gjeng som har stått i krisen i to år allerede, sier Fiskvik videre.

Dataangrepet har tidligere vært omtalt av blant andre NRK, Dagens Næringsliv, E24 og Digi.no.

Bildet/skjermpdumpen viser en bedrift sine data på avveie og kan lastes ned av hvem som helst på det mørke nettet. Bildet/skjermpdumpen viser at det ligger flere filer fra angrepet og de som står bak påstår at de kun har offentliggjort 20% av alle data de stjal.

Sensitive data fra Nordic Choice ble delt av angriperne på det mørke nettet, en del av Internett som en må ha en spesiell nettleser for å få tilgang til.

Nå deler Fiskvik helt nye detaljer om angrepet. Hun håper deres erfaringer kan hjelpe andre.

– Vi mener det er viktig å bistå i at folk forstår at datakriminalitet handler om deg og meg og hvordan vi kan beskytte oss, sier teknologisjefen.

Hotellkjeden er nemlig ikke alene om å ha opplevd alvorlige følger etter dataangrep:

Innhold på PCer ble kryptert

Det som skjedde da ondsinnet programvare begynte å spre seg internt, var at selskapet stod i fare for å bli stengt ute av sine egne systemer.

De mener det var kriminelle nettverket «Wizard Spider» som kom seg inn og installerte løsepengeviruset Conti.

(sladdet versjon) Gjestelister måtte føres på tavle, noe Otto Johansen gjør her. Han jobber ved Hotel Winn i Göteborg.

Gjestelister måtte føres på tavle, noe Otto Johansen gjør her. Han jobber ved Hotel Winn i Göteborg.

Foto: DAN BERGSTEN/NORDIC CHOICE

Dette nettverket holder trolig til i Russland, ifølge E24.

Filer på PCer ble låst. For å åpne disse igjen, måtte det betales løsepenger. Dette ifølge en fil som ble lagt igjen på flere tusen av PCene de krypterte.

– Her ser man hvordan de identifiserer seg og hvordan de overlater til oss å ta kontakt med dem. Det har vi aldri gjort – det har aldri vært aktuelt for oss å betale kriminelle kartell.

Fiskvik sier innholdet i tekstfilen angriperne la igjen gir en unik innsikt i hvordan kriminelle opererer. Du ser innholdet gjengitt under. NRK har fjernet lenken i fila:

All of your files are currently encrypted by CONTI strain.

As you know (if you don't - just "google it"), all of the data that has been encrypted by our software cannot be recovered by any means without contacting our team directly.

If you try to use any additional recovery software - the files might be damaged, so if you are willing to try - try it on the data of the lowest value.

To make sure that we REALLY CAN get your data back - we offer you to decrypt 2 random files completely free of charge.

You can contact our team directly for further instructions through our website :

TOR VERSION :

(sladdet av NRK)

YOU SHOULD BE AWARE!

Just in case, if you try to ignore us. We've downloaded a pack of your internal data and are ready to publish it on out news website if you do not respond. So it will be better for both sides if you contact us as soon as possible.

---BEGIN ID---

(sladdet av NRK)

---END ID---

Faguttrykket for denne type angrep, er «quackbot reply chain»-angrep.

Konsekvensen av angrepet har blant annet vært at ansatte har måttet skrive bookinglister på tavler. Betaling har foregått via Vipps. Gjester har måttet bli låst inn manuelt.

Nytteløst å spekulere

Etterforskningen pågår for fullt, og det er avdekket ting som beskrives som spesielt.

Én ting som beskrives som meget spesielt, er at noen har vært i dialog med angriperne via den linken som lå i tekstfila. Altså, den som ble lagt igjen på de infiserte PCene.

Det er registrert at noen har vært i dialog med angriperne via lenken den 20.12, og at det er utvekslet en fil med dem, forteller Fiskvik.

Hun understreker at det ikke har vært et initiativ fra Nordic Choice og naturligvis heller ikke noen fra politiet, å gå i dialog med angriperne.

Vet dere hva slags fil det er? Er det noen med tilgang til deres PCer (for eksempel en ansatt) som har delt denne fila?

Per nå så vet vi ikke hva slags fil det er, men vi håper jo at vi kan avdekke dette som en del av etterforskningen. Det er et team som jobber med å undersøke det.

Det er veldig spesielt at noen har gått inn på lenken og snakket med dem og kan selvfølgelig ikke utelukke at det er en ansatt et sted. Men vi vet ikke hvem det kan være og har heller ingen mistanker til noen.

I dialogen kommer det frem at vedkommende ber dem dekryptere en fil på 13mb og svaret da er at de skal ha fem millioner dollar. Eller rundt 44 mill. norske kroner.

Beløpet er jo helt absurd. Det viser også hvor nytteløst det er å gå i dialog med disse.

NRK har sett den faktiske dialogen som har skjedd på «mørkenettet». Den gir et unikt innblikk i hvordan disse datakyndige kriminelle opererer (NRK har sensurert deler av dialogen, og tatt bort lenker):

Hacker:(link)
Hacker:The part of your data was published.
Ukjent:ok
Hacker:100% of your data will be published soon, but you can stop it!
Ukjent:Is it possible to decrypt 1 file 13mb approx?
Hacker:Yours elevators and cards in the hotels stopped working after our attack, why didn't you go to negotiations and a deal?
Ukjent:Everything is up and running. But can you decrypt one file?
Hacker:YES, we can. But it will cost $5,000,000 for you.
Ukjent:Ok. Thats a lot of money... just for one file, so we can see if it works..
Hacker:Yes, you can see how it works after the payment!
Ukjent:So no taste? :)
Hacker:Yes, we have the test. Send your file but it does not contain the important information.
Ukjent:Its says max 8mb ... Thats no use..
Hacker:we are still waiting your test file.
Ukjent:How to send? It still says max 8 mb
Hacker:send by site: (*fjernet av NRK*)
Ukjent:to what recipient?
Hacker:give me link here.
Ukjent:(link)
Hacker:We decrypted this file. It's (*fjernet av NRK*) and it is very important. Like evidence I give you screenshots, where you can see your (*fjernet av NRK*)
Hacker:(bildefil)
Hacker:If you'd like to get this file, pls make the payment!

Fiskvik håper det kan komme frem mer informasjon i etterforskningen.

Det eneste vi nå vet med sikkerhet er at det ikke er et initiativ fra oss, noen av våre partnere eller noen som etterforsker saken. Dette er noen som har opptrådt på egen hånd.

Det er veldig ubehagelig for oss og vi anser det som veldig uheldig dersom noen tror at vi faktisk har forsøkt å forhandle med dem. Det har vært en prinsippsak for oss fra dag én at vi aldri skal gå i dialog med kriminelle og aldri gjøre noe som bidrar til at denne type kriminalitet lønner seg.

Oppe på beina igjen

Nå er det meste av systemer oppe og går igjen.

At de deler erfaringer, håper hun kan hjelpe andre til å være forberedt.

Å være forberedt handler blant annet om å ha tilgang til riktig kompetanse når du trenger det. En enkelt sikkerhetsansatt er ikke nok, det er hun tydelig på.

Du trenger tilgang til folk som kan dette med IT-sikkerhet inn og ut.

– Ha en god IT-sikkerhetspartner og tenk gjennom hvordan du kan styre bedriften dersom tilgangen til datasystemene blir rammet. Det å ha manuelle backup-rutiner og beredskapsplaner for katastrofer. Det var det som reddet oss, sier Fiskvik.

Føler du at din bedrift har klare planer for et dataangrep?

Anbefaler flere miljøer

Er du en bedrift, kan det være lurt å ha flere miljøer å lene seg på. Altså ikke bare Windows, sier Fiskvik.

– Det er ikke lett for alle bedrifter, men vi har tre ulike plattformer. Sånn at hvis det ene blir angrepet, så kan vi jobbe i de andre miljøene.

Foruten Windows, har de også Mac og Chrome OS.

– Vi hadde allerede et prosjekt gående for å få maskiner over på Chrome OS. Det fikk vi fortgang i. Innen 48 timer hadde vi 2000 maskiner over på dette operativsystemet.

At de hadde Chrome OS å lene seg på, gjorde at de sparte cirka fire uker arbeid i prosessen med å få forretningen opp å stå igjen, forteller hun.

– Vi hadde et møte nå på fredag hvor vi diskuterte lærepunkter. Vi har ikke konkludert enda, men det er klart at det er mange lærepunkter i en hendelse som dette, avslutter hun.

Har du en historie?

Håper du fant saken interessant! Jeg interesserer meg for datasikkerhet, og vil gjerne høre fra deg om du har historier knyttet til svindel og/eller hacking. Jeg har tidligere blant annet skrevet om Telenor som opplever ny svindelbølge, fenomenet «deepfake» og hacking av lokalavis.