De Blaa Omnibusser kom styrket ud af hackerangreb efter to nervepirrende dage

De Blaa Omnibusser oplevede alle virksomheders it-mareridt, da de mødte ind til en krypteret server. Virksomheden var blevet hacket, og nu begyndte kampen mod tiden for at lukke adgangen til serveren og redde værdifulde data. It-eksperterne fra vores incident response team fik dem op at køre igen.

”Vi var overraskede over, at hackerne kunne ødelægge så meget så hurtigt. Også backuppen, som vi ellers havde styr på. For et transportselskab som os er det jo en katastrofe at miste sine køreplaner og hele administrationen. Vi havde i den grad brug for hurtig og dygtig hjælp,” siger Morten Sørensen, der som driftschef hos De Blaa Omnibusser fulgte alle begivenhederne på nærmeste hold.

”Meget af vores data er krypteret og mere og mere forsvinder. Så ved vi, at den er helt gal.”

Morten Sørensen, driftschef, De Blaa Omnibusser

Mandag, den 8. april 2019, kl. 6 – akut krise

”Jeg bliver ringet op kl. 6 om morgenen af vores kørselsleder. Han kan ikke komme ind i vores system og busplanen, der styrer al driften og vores 220 medarbejdere. Da jeg og vores it-ansvarlige når derind, kan vi se, at meget af vores data er krypteret, og mere og mere forsvinder. Så ved vi, at den er helt gal,” fortæller Morten Sørensen.

Mandag kl. 10.30 – backuppen ramt

Morten kontakter deres it-leverandør, der hurtigt kan bekræfte, at serverne er blevet hacket, og at backuppen i skyen også er ramt. Heldigvis har leverandørerne tilfældigvis netop lavet en backup af de vigtigste filer, som hurtigt kan genindlæses, så busserne kan komme ud at køre. Men De Blaa Omnibusser ved fortsat ikke, hvilke filer de mangler og skadernes fulde omfang. Derfor beder de en samarbejdspartner om hjælp og får anbefalet Dubex.

Mandag kl. 15 – angrebet skal stoppes

”Vi modtager opkaldet fra De Blaa Onmibusser og begynder straks at gennemgå deres systemer og setup for at få overblik over angrebet og skaderne. Vi kan se, at hackerne om søndagen har skaffet sig adgang til systemerne med administratorrettigheder og brugt dem til at fjerne antivirus-programmerne og slette alle Windows volume snapshots for derefter at starte ransomware, som har krypteret al indhold på serverne – og efterladt en besked om, at det kun frigives mod en betydelig løsesum. Hullet til serveren bliver som det første lukket, så vi er sikre på, at angrebet, der stadig er i gang, bliver stoppet,” fortæller Thomas Bøjstrup Johansen, der er incident handler i DIRT, Dubex’ Incident Response Team, og ledte vores indsats hos De Blaa Omnibusser.

Tirsdag, den 9. april 2019, kl. 8 – skadernes omfang

”Vi rykker ud til De Blaa Omnibusser, og den store opgave er nu at kortlægge, hvad de har mistet i angrebet. Al data på servere og i backup er krypteret, men vi anbefaler aldrig vores kunder at betale løsepenge til hackere – det er sjældent, at virksomhederne får noget brugbart tilbage, og vi ønsker ikke at støtte de kriminelle. Vi regner de krypterede filer for tabte og må derfor undersøge, om de kan genskabes.”

Tirsdag 9.30 – data reddet

”Gode nyheder! Vi kan genskabe de fleste filer gennem såkaldt data carving, som vi bruger til at opspore gamle versioner af filerne. Den type af ransomware, der blev brugt her, laver en ny fil med de krypterede data og sletter den originale fil. Men de originale data bliver bevaret, og dem kan vi derfor grave frem fra det ubrugte område på harddisken, inden de bliver overskrevet – og det er vores held,” forklarer Thomas.

”Det lykkedes Dubex at finde og genskabe næsten alle vores filer.”

Morten Sørensen, driftschef, De Blaa Omnibusser

Tirsdag kl. 14.30 – skader repareres

”Det lykkedes Dubex at finde og genskabe næsten alle vores filer ud fra gamle versioner – i alt mere end 1,7 millioner filer. Desværre har en del af dem skader, blandt andet et specifikt program med tilhørende filer, som spiller en central rolle i vores daglige drift. Derfor får den it-virksomhed, der har udviklet programmet, filerne over til reparation, og vi kan efterfølgende afslutte sagen med en meget lykkelig udgang,” fortæller Morten.

Afværgede katastrofen og ændrede it-sikkerheden radikalt

”Vi synes, det er utroligt, hvor hurtigt og effektivt Dubex behandlede vores sag og fik os op at køre igen trods det alvorlige angreb. De gjorde et glimrende arbejde og sparede os for et uoverskueligt arbejde med selv at skulle rekonstruere de tabte filer. Deres rådgivning har også medvirket til, at vi i dag har et helt andet og meget mere sikkert it-system, der bliver styret centralt fra koncernen Nobina, som vi er del af,” slutter Morten, der er lettet over at kunne lægge den ubehagelige begivenhed bag sig.

Hvad kan andre lære af casen?

  • Sørg for at have opdateret og sikret backup af alt på et eksternt system – det er ofte et spørgsmål om held og timing, når det lykkes at genskabe filerne.
  • Hackernes metoder udvikler sig hele tiden, så husk at opdatere sikkerheden i både it-systemer og hos medarbejderne.
  • Tiden er afgørende! Sørg for, at I har de nødvendige processer, værktøjer og kompetencer på plads. Og at I har aftalt, hvem I skal ringe til, så I kan få den rigtige hjælp hurtigt.

Hvis I bliver ramt af et hackerangreb …

  • Få en incident response-ekspert på sagen med det samme til at rådgive jer og sikre en hurtig indsats for at begrænse skaden. Tænk i worst case scenario, og tag jeres forholdsregler.
  • Det er vigtigt at sikre beviser. Derfor skal I være påpasselige med, hvad I gør. I kan nemt komme til at lave mere skade og miste beviser for, hvad der er sket.
  • I bør udpege én person som projektleder, der kan sikre, at I holder jer til beredskabsplanen og følger de aftalte processer – selvom I måske er i panik.

Tak for din henvendelse. Du hører fra os hurtigst muligt.