Kripos og Europol koblet inn i Amedia-angrep: – Klassisk løspengeangrep

Amedia jobber fremdeles med å få oversikt over hackerangrepet som førte til stopp i produksjonen av papiraviser. Nå er Kripos og Europol koblet inn.

– Det har vært folk inne i systemene våre i flere døgn, siden før julaften. Så vi vet ganske mye om hva som har skjedd i systemene. Dette er ganske typisk for denne type angrep, sier konserndirektør for teknologi i Amedia, Pål Nedregotten, under en pressebrifing onsdag.

Natt til tirsdag 28. desember ble flere av Amedias sentrale datasystemer satt ut av drift.

– Det ser ut som et klassisk løsepengeangrep. Det ligger en tekstfil i systemet som peker til en lenke, men vi har ikke klikket på den. Jeg vet ikke hva den lenken inneholder, det kan være et krav om løsepenger, men det blir spekulasjoner. Det overleverer vi til dem som har god peiling på det, sier Nedregotten til VG.

Angrepet har i hovedsak gitt dem to utfordringer:

Utgivelse av papiraviser og at de ikke kan utelukke at persondata kan være på avveie. Av persondata er det ansattinformasjon og abonnentinformasjon som kan være på avveie.

– Vi understreker at passord og betalingsinformasjon ikke er på avveie.

VG har vært i kontakt med Datatilsynet, som sier at de foreløpig ikke har blitt varslet. De skal varsles ved brudd på personopplysningssikkerheten i en virksomhet – og dersom det er sannsynlig at bruddet vil medføre en risiko for de registrerte sine rettigheter og friheter.

Kripos og Europol

Amedia vet fortsatt ikke hvem som står bak angrepet.

– Vi vet ingenting om motparten. Det arbeidet overlater vi til politiet. Kripos jobber med saken, sier Nedregotten.

Det bekrefter også seksjonsleder Øystein Andreassen ved Nasjonalt cyberkrimsenter (NC3) ved Kripos til VG.

– Saken er anmeldt i Oslo. NC3 ved Kripos er i dialog med selskapet, og mottar fortløpende informasjon som utveksles med Europol, sier Andreassen.

Kripos bekrefter at de også koordinerer med andre saker som har truffet norske selskaper den siste tiden – og at de tillegg koordinerer med Nasjonal sikkerhetsmyndighet (NSM).

VG har ikke lyktes å komme i kontakt med NSM onsdag ettermiddag. Tirsdag ønsket de ikke å uttale seg om saken.

Slik angrep hackerne

Før jul advarte Nasjonal sikkerhetsmyndighet mot angrep i fridagene. I slutten av november advarte amerikanske FBI om at julen er en periode der man fryktet flere digitale angrep, blant annet i form av utpressing og sabotasje. Dette gjaldt også i Norge.

Ifølge NSM var det en sterk økning av cyberoperasjoner i november og desember.

Nedregotten opplyser at de har hatt en dedikert sikkerhetssatsing som har løpt i halvannet år, som de trodde var tilstrekkelig.

– Så kan man kan selvfølgelig være etterpåklok. Men jeg tenker det er ganske viktig å være klar over at man aldri kan sikre seg 100 prosent. Det er mer et spørsmål om hvor mye penger man ønsker å putte på en sikring. Og i dette tilfellet så har dessverre de som angrepet funnet sikkerhetshull som har gjort at de har kommet inn i våre systemer.

Han sier det er et sikkerhetshull i Windows som er utnyttet.

– Det er en kjent sårbarhet på Windows som handler om programvare for å håndtere printere.

– Burde denne svakheten blitt avdekket tidligere?

– Det er et godt spørsmål. Det vil den videre undersøkelsen vår avdekke.

Flere aviser publiseres torsdag

Produksjonen av nettavis går som normalt, men ingen papiraviser ble publisert onsdag. Det er fordi systemer for publisering av papiravis, annonser og abonnementshåndtering ikke fungerer som det skal.

Nå jobbes detmed å få kontroll på situasjonen. De prøver å få på plass en nødløsning slik at de kan publisere papiraviser igjen. De har backuper av systemene som kreves for å lage papiravisen, i tillegg til backuper av abonnementssystemet.

– Det er et møysommelig og tidkrevende arbeid, men vi håper at vi får det til i løpet av de neste dagene, sier Nedregotten.

Grunnen til at det tar tid er at de må være sikker på at det ikke er trojanere i systemene der de oppbevarer backupene.

En trojaner er designet for å skade, forstyrre, stjele eller generelt påføre andre skadelige handlinger på dataene eller nettverket ditt.

På pressebrifingen onsdag opplyser konsernet at de tror flere aviser kan bli gitt ut torsdag, etter at de har fått til en nødløsningen etter dataangrepet. Fremdeles vil det likevel være aviser som høyst trolig ikke kommer ut.

Selskapet eier helt eller delvis 82 lokal- og regionaviser samt tilhørende nettaviser. Ifølge Amedia distribusjon er det 78 av disse som er papiraviser. Av disse er 37 dagsaviser, mens de øvrige kommer ut to eller tre dager i uken.

– Dette er en alvorlig og krevende situasjon. Det er krevende for alle som er involverte, og det er frustrerende for abonnementene våre.