Norsk lokalavis ble hacket – systemet løp løpsk og begynte å kreve inn penger

For første gang siden krigen klarte ikke Helgelands Blad å gi ut papiravisen. Årsaken er et hackerangrep fra en russisk IP-adresse.

Skjermdump fra avisas nettside

Overskrifta på en artikkel avisa la ut kort tid etter angrepet.

Foto: Skjermdump fra avisas nettside

Rundt oss blir verden stadig mer digitalisert.

De siste tiårene har vi bygd så godt som alle systemer i samfunnet rundt digital teknologi. Alt fra bensinforsyning til helse til matproduksjon benytter digitale systemer.

Dette er systemer som folk med onde hensikter forsøker å bryte seg inn i, fra ulike deler av verden. Hver dag. Døgnet rundt.

Det fikk Helgelands Blad erfare rett før helga. Redaktør Morten Hofstad beskriver et sjokk da de plutselig var stengt ute fra hele det redaksjonelle systemet.

– Ved nærmere undersøkelse visste det seg at hele den sentrale serveren var blokkert. Leverandøren vår fant ut fredag morgen at den var kryptert, og at det var satt på en slags digital hengelås på hele systemet. Da skjønte vi at det var et angrep.

Pengekrav

Programmet hvor de lager papiravisen, med arkiver og bildebaser, var helt nede.

Avisa kommer ut tre ganger i uka, og hadde ei nesten ferdiglaget avis som skulle i trykken på fredag. Men den var det ikke lenger teknisk mulig å produsere.

Terra-forfattar Morten Hofstad i skrivestova

Redaktør Morten Hofstad, her avbildet i forbindelse med en sak fra 2011.

Foto: Privat

– Fredagsutgaven måtte vi dermed gi opp, og så vidt jeg vet er det første gangen siden krigen vi har måtte avlyse en utgivelse. Vi klarte til og med å få ut avisen på fredsdagen 8. mai i 1945, forteller Hofstad til NRK.

De har funnet at det ligger et program i systemet, et såkalt «ransomware». Mer populært kalt for løsepengevirus.

– Det følger ofte pengekrav med denne typen virus. Vi har ikke fått noen krav. Men vi har funnet en beskjed hvor det står at dersom vi vil ha dataene tilbake, må vi henvende oss til en bestemt link. Men linken er blank og fører ingen sted.

Løp løpsk

Viruset spores til en avsender med adresse i Russland. Altså en russisk IP-adresse.

Men det er viktig å presisere at det kan ligge andre avsendere bak en slik adresse, og at det ikke er gitt at angrepet har russisk opphav.

For avisen har hackingen uansett medført en rekke følgefeil.

– Abonnementssystemet vårt begynte å kreve inn månedsbetalinger flere ganger. Folk ble trukket tre-fire ganger i løpet av helga.

Men dette er ikke penger som er stjålet av hackere, understreker redaktøren.

– Systemet har løpt litt løpsk, men vi har full kontroll. Vi vil tilbakebetale pengene, men siden det må gjøres manuelt vil det ta litt tid. Kortinfo. er uansett ikke stjålet av tredjepart.

Aggressivt trusselbilde

Det er foreløpig uklart hvem som står bak.

Avisen har koblet inn både Kripos og Nasjonal sikkerhetsmyndighet (NSM). NRK var i kontakt med sistnevnte mandag kveld, men det var da ikke mulig å få en kommentar.

Da sjefen for NSM, Sofie Nystrøm, gjestet Lindmo fredag kveld, kunne hun imidlertid fortelle om et trusselbilde som har endret seg kraftig de siste to årene.

– Det er et aggressivt trusselbilde der ute. Det er eksplosivt, fortalte hun.

Madrugada er tilbake med ny musikk. Mariangela Di Fiore og Lisa Aisato har lagd bok om kreftsyke barn. Einar Tørnquist er stolt besserwisser.

Her kan du se fredagens Lindmo hvor hacking var tema.

I januar satte et dataangrep hele Østre Toten ut av spill. Alt fra alarmsystemer til kommunehusets WiFi-nett sluttet å fungere. Dataangrepet har foreløpig kostet kommunen over 30 millioner kroner.

Nystrøm beskriver godt organiserte bander som sitter rundt om i verden og som har som jobb å stjele hemmeligheter, tjene penger eller sabotere.

– Det er ikke hettegensere på gutterommet. De er profesjonelle. Med skjorter og arbeidstid, fortalte hun på Lindmo.

Angrep skjer også i regi av statlige aktører:

– Både Kina, Iran, Russland, Nord-Korea har bemannet kraftig opp de siste årene. Der har man tusenvis av hackere, teknologer og kryptologer som hver dag går på jobb og har en målliste. Vi ser en enorm vekst på løsepenger og lammelse av virksomheter. Dette er en nasjonal sikkerhetsutfordring vi jobber med dag og natt.

Mange betaler

Nasjonal sikkerhetsmyndighet kjenner til flere tilfeller hvor de som blir rammet av hackerangrep betaler seg ut av problemene.

Det forteller Tom-Andre Røgden, som er seksjonssjef i NSM.

Tom-Andre Røgden, NMS

– Vi kjenner til virksomheter som har betalt løsepenger, sier Tom Andre Røgden i NSM.

– Vi kjenner til virksomheter som har betalt løsepenger. Det er enorme penger i omløp innenfor disse miljøene, som viser at betalingsviljen er stor. Det er samtidig viktig å presisere at det å betale løsepenger ikke nødvendigvis gir garantier for at system og filer blir låst opp eller at informasjon ikke blir publisert. NSM anbefaler at det ikke utbetales løsepenger.

Det har også vært flere kjente saker i nyhetsbildet det siste året som hvor det har kommet fram at aktørene har truet med å publisere informasjon.

Ifølge Røgden så peker ikke mediebransjen seg ut som spesielt utsatt, men er åpenbart risikoutsatt på linje med andre bransjer og sektorer. Nyhetsformidling er viktig og vil kunne få store konsekvenser hvis det rammes.

– Dette treffer bredt, både små og store virksomheter, private som offentlige, inkludert de som ivaretar samfunnsviktige funksjoner.

Dette er et problem som må tas på alvor i bedriftene.

– Cybersikkerhet skal ikke bare foregå på serverrommet. Ledergrupper og styrerom må være bevisst på hvilke verdier de forvalter og hvordan de skal beskyttes best mulig, sier Røgden.