Sådan brød hackerne ind: Angrebet kom i en e-mail

Et klik på en vedhæftet fil i en mail kom til at koste Danish Agro adskillige millioner kroner. Hackerne læste nemlig med i en ellers uskyldig mailudveksling.

Søndag morgen den 19. april går alarmer, der overvåger it-systemerne i Danish Agro.

Et hackerangreb låser servere og pc-er og på skærmene flimrer en besked med retningslinjer for, hvordan grovvareselskabet skal forholde sig. Og - naturligvis - størrelsen af den løsesum, som hackerne vil have for at slippe systemet fri igen. En fuldtonet gidseltagning er i gang. Angrebet er af typen ransomware, der er sammensat af de engelske ord for løsepenge og software.

Driften ikke ramt

Men den 19. april er bare dagen, hvor det hele går i udbrud. Allerede en uge inden – lørdag den 11. april – er en virus sluppet ind i en af Danish Agros computere et sted i Skandinavien, Finland eller Polen. Det præcise sted og den nøjagtige computer kender man godt i Danish Agro, men den viden vælger man at holde for sig selv:

"Vi har fået computeren til Danmark og har set, at der ikke er noget at klandre brugeren for. Det, der skete, kan ske alle steder og derfor synes vi ikke, at den nøjagtige placering er vigtig i denne sammenhæng", mener Henning Haahr.

"Vi vælger ikke at fortælle, hvor i verden det præcist skete, fordi det i princippet kunne ske alle steder. De pågældende medarbejdere har på ingen måder handlet uforsigtigt og det er det, der gør det hele så skræmmende", siger Henning Haahr.

En uge fra start til udbrud

For at finde ud af, hvad der præcist skete, er man nødt til at skrue tiden en uge tilbage fra da alarmen gik. Lørdag den 11. april blander hackerne sig så overbevisende i en mailkorrespondance mellem en medarbejder og en leverandør, at den skæbnesvangre fil bliver åbnet og en virus sluppet fri. Inde i systemet begynder den i de kommende dage at snuse rundt.

"Vi har set mailkorrespondancen og hackerne blander sig i samtalen på en meget overbevisende måde med et sprog i den jargon, som medarbejderen og leverandøren i forvejen bruger. På et tidspunkt modtager medarbejderen en fil fra leverandørens hackede mailkonto. Og den fil åbner vores medarbejder".

I Danish Agro spørger man sig selv om, hvorfor lige de blev ramt. Måske er det hele bare en tilfældighed og måske er det fordi Danish Agro med en omsætning på over 30 mia. kr. er et fedt bytte med penge til at betale en solid løsesum.

Den del af historien får man næppe nogen sinde svar på. Men givet er det, at der i Danish Agros system var en indgang, og i de kommende dage æder virusset sig vej gennem kablerne ind i de 2.500 computere og 350 servere, som Danish Agro har placeret i Danmark, Norge, Sverige, Finland og Polen.

Ingen adgang til følsomme data

Og så er vi fremme ved søndag morgen den 19. april, hvor overvågningsalarmen går i Danish Agro. Men på det tidspunkt har hackerne allerede haft held med at låse computere med blandt andet kundernes oplysninger af generel karakter som adresser og e-mail. Heldigvis får de ikke adgang til kontooplysninger og heller ikke til de computere, der styrer driften og produktionen af f.eks. foder. Skaden er begrænset til kommunikationen mellem computerne, mens der altså ikke sker et stop af driften. Var det sket, havde det haft uoverskuelige konsekvenser.

I Danish Agro vælger man ikke at gå i dialog med hackerne, hvis krav om løsesum flimrer på computerskærmene. Løsesummen er i størrelsesordenen et mindre tocifret millionbeløb – som Danish Agro ikke ønsker at sætte et præcist tal på – blandt andet fordi hackerne ændrer krav undervejs. Heldigvis er backupperne ikke inficeret og om mandagen den 20. april cutter man i Danish Agro it-forbindelsen til omverdenen og går i gang med det møjsommelige arbejde med at få systemet bygget op.

"Vi kan desværre ikke sige, at det ikke kan ske igen. Det er også det, vi gerne vil fortælle andre om. Man tror, man er sikret, lige indtil det er for sent", siger Henning Haahr, der gerne stiller Danish Agros erfaringer til rådighed for andre.

Da Mærsk blev hacket i 2018 og led et tab på omkring én mia. kroner, undersøgte man efterfølgende i Danish Agro muligheden for at forsikre sig mod hacking. Det var ikke en reel mulighed for en virksomhed i den størrelse. Derfor er der heller ikke udsigt til nogen erstatning og Danish Agro må glæde sig over, at tabet trods alt ikke blev større end de 20-40 mio. kr., som man regner med.

Og hackerne? Ja, sagen er meldt til politiet, der efterforsker sagen. Efter Danish Agros oplysninger er der tale om en international bande, der blandt andet boltrer sig på det såkaldte sorte net, som er den lyssky del af internettet. Banden har været aktiv i flere år

Forsiden lige nu

Seneste videoer

Se alle