It-ekspert: Data fra hackede virksomheder kan blive solgt til konkurrenter

Virksomheder skal ruste sig til potentielle afpresningsforsøg, hvis de er blevet ramt i det globale hackerangreb, der siden tirsdag har lagt it-systemer og computere ned i adskillige lande.

Det siger it-sikkerhedsekspert Peter Kruse fra CSIS Security Group, som rådgiver politi, regeringer og virksomheder om cybersikkerhed.

Han har analyseret den kode, der blev brugt i angrebet, som udnytter en svaghed, der primært ligger i Windows 7.

- Vitale oplysninger kan være lækket, som de kriminelle i princippet kan bruge til at lave yderligere angreb, afpresse og tiltvinge sig adgang til netværk og potentielt støvsuge dem for data, der kan have en værdi for konkurrenter, siger han.

Ramt af en viruscocktail

Angrebet er ifølge Peter Kruse dels udført med såkaldt ransomware, der låser og krypterer filer og data på de ramte netværk og computere for derefter at afpresse indehaverne for en løsesum.

Det var det samme, der skete, da virksomheder i hele verden i maj blev inficeret i det såkaldte Wannacry-angreb.

Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste har også bekræftet, at der er ransomware på spil i det nye angreb.

- Men denne kode er noget mere avanceret, end vi først troede. Nu har jeg pillet den fra hinanden stykke for stykke, og den er langt bedre lavet end Wannacry. Det vil sige, at dem, der står bag, er langt dygtigere rent teknisk, siger han.

Peter Kruse vurderer, at ransomwaren kan være et røgslør for hackernes egentlige mål.

Ofrene bliver ifølge cybersikkerhedseksperten også ramt af det, som man i it-termer betegner som en 'logbot', der stjæler folks data.

- Man får en virus, som stjæler data, og så får man oven i det en ransomware med i købet, som krypterer dataen, forklarer Peter Kruse.

Oplysningen om logbotten er dog ikke blevet bekræftet af Center for Cybersikkerhed.

Værdifulde oplysninger

Virussen har ramt alt fra ukrainske banker til rederigiganten Mærsk og globale advokatvirksomheder.

- De ligger jo inde med en masse oplysninger og data, som kan være penge værd, og som i hænderne på konkurrenter kan blive brugt imod de ramte virksomheder, siger Peter Kruse.

Han vil ikke undre sig, hvis de it-kriminelle, som står bag angrebet, vil sætte oplysninger fra virksomhederne til salg eller bruge dem til igen at trænge ind i virksomhedernes netværk.

Koden er nemlig designet på den måde, at den stjæler brugernavne og adgangskoder.

Det betyder, at man i princippet ikke alene skal kæmpe med at få sit netværk op at stå igen.

- Man skal også fortælle alle brugerne, at de skal skifte kode både der, hvor de arbejder, men formentlig også alle andre steder på internettet, da folk typisk genbruger deres adgangskoder. Det gør det noget mere komplekst, siger Peter Kruse.

Han vurderer, at der er tale om meget kompetente bagmænd.

- Når de rammer så store virksomheder, så er vi oppe imod nogen, der rent faktisk kan deres håndværk, og som i min vurdering laver en forretning på det her. Vi kan faktisk også nemt være oppe imod en statssponsoreret hackergruppe, siger han.

Hvor startede det?

Ifølge cybersikkerhedseksperten er der flere teorier om, hvor angrebet startede.

Ukraine er blevet hårdest ramt i angrebet og efterforskes som et muligt epicenter. Fokus er især på en ukrainsk tjeneste, som minder lidt om NemID, og som bruges i det ukrainske told- og skattesystem.

Ifølge Peter Kruse kan en opdatering til den tjeneste være blevet hacket, så ransomwaren og logbotten er blevet presset ud til brugere, der har fået opdateringen.

En anden mulighed er, at virussen er spredt via e-mail, hvor folk kan have åbnet vedhæftede filer inficeret med virus.

- Den største opgave for it-sikkerhedsbranchen er netop nu at finde ud af, hvor 'patient nul' er. Det er et stort udredningsarbejde, der kommer til at tage tid, siger Peter Kruse.