I 18 dage har danske ISS været lagt ned af et hackerangreb. Store dele af af den globale virksomheds IT-systemer har været ude af funktion - inklusive virksomhedens hjemmeside.

Indtil nu har den internationale servicevirksomhed, der har en halv million medarbejdere verden over, ikke ønsket at fortælle, hvilken type angreb der var tale om, eller hvad hackerne gik efter.

Men det viser, at der er tale om et såkaldt ransomware-angreb af typen Ryuk, hvor hackernes formål er at tjene penge ved afpresning.

Det fremgår af ISS’ indberetning om sikkerhedsbrudet til Datatilsynet, som DR Nyheder har fået aktindsigt i.

"Det er nu blevet konstateret, at ISS er blevet udsat for en såkaldt “ransomware” ved navnet Ryuk," skriver ISS i indberetningen, som er sendt den 19. februar.

Det fremgår også af indberetningen, at hackerne har fået adgang til personfølsomme data på cirka 65.000 medarbejdere i 23 lande.

"De oplysninger, der har været adgang til, inkluderer kontaktoplysninger såsom navn, professionel e-mail, firma telefonnummer og afdeling," skriver ISS.

Ifølge en meddelelse til ISS' medarbejdere, som er vedhæftet indberetningen og som skulle udsendes samme dag, kunne hackerne dog have opnået adgang til langt flere oplysninger.

Samtidig skrev ISS, at hackernes motiv var pengeafpresning:

"Det er vigtigt at huske på at formålet med ransomware-angreb er at afpresse ISS og ikke at få adgang til dine personlige data."

ISS ønsker ikke at stille op til interview. Men selskabet bekræfter over for DR, at det har været ramt af Ryuk - men selskabet kalder det fortsat malware:

"Ja det drejer sig om malware type ”RUYK”," oplyser ISS i en mail til DR Nyheder.

"Det er rigtigt som du skriver – at vi i vores anmeldelse har oplyst, at ca. 65.000 kan være omfattet."

"Vi har ikke været i kontakt med de pågældende hackere, men har derimod overladt sagen til politiet og som du ved anmeldt sagen til datatilsynet.

Ifølge anmeldelsen til Datatilsynet blev angrebet opdaget tidligt om morgenen mandag den 17. februar kl. 00.56.

Alarmen var gået i et overvågningssystem hos hostingfirmaet Itadel, som huser en del af ISS’ systemer.

Udover Datatilsynet blev også Center for Cybersikkerhed under Forsvarets Efterretningstjeneste underrettet om angrebet.

Onsdag d. 19. februar, samme dag som ISS underrettede Datatilsynet, udsendte ISS en kort pressemeddelelse, der fortalte, at virksomheden havde været mål for et “malwareangreb”.

Malware er en generel samlebetegnelse, der dækker alle forskellige typer skadelige computerkoder. Ransomware, derimod, er en bestemt type malware, som bruges til at afpresse virkedsomheder for store pengebeløb. Og denne detalje udelod ISS at fortælle offentligheden og aktionærerne, selvom ISS en uge forinden havde oplyst Datatilsynet om typen af angreb.

ISS har også flere gange siden den 19. februar afvist at svare DR på, om der var tale om et ransomwareangreb.

Heller ikke da selskabet en uge senere, onsdag den 26. februar, fremlagde årsregnskab, fortalte ISS, at der var tale om ransomware, men holdt sig i stedet til den overordnede betegnelse malware. Ligesom virksomheden heller ikke forklarede, at samtlige ca. 65.000 brugerkonti i ISS' netværk var blevet kompromitteret.

I stedet meddelte selskabets administrerende direktør, at der ikke var tegn på, at nogle kunders data eller systemer var berørte - og at man havde ageret hurtigt, da man opdagede angrebet:

"Indenfor en time besluttede ISS’ IT-team af forsigtighedshensyn, og i henhold til vores standardprocedurer, at lukke ned for vores netværk. På dette tidspunkt var vi berørt i en række lande," sagde Jeff Gravenhorst, CEO i ISS World A/S.

I løbet af den halvanden time, pressemødet varede, faldt ISS-aktien med cirka 16 procent, svarende til et værditab på omkring 3,5 milliarder kroner. På pressemødet erkendte ISS, at angrebet vil koste på bundlinjen.

DR har efterfølgende spurgt ISS, hvorfor selskabet ikke oplyste offentligheden om, at man var ramt af et ransomwareangreb. Svaret lyder:

"Vi har ønsket arbejdsro – det er årsagen. For os var det ikke afgørende hvilket type malware, der var tale om, men at de rette parter – herunder politiet og datatilsynet tog fat."

I en særlig trusselsvurdering udsendt i December 2019 advarede Center for Cybersikkerhed (CFCS) danske virksomheder mod den stigende trussel fra kriminelle hackeres brug af ransomware.

Fænomenet, som blandt fagfolk kaldes storvildtjagt (big game hunting) er beskrevet I detaljer, ligesom det fremhæves at at et stigende antal danske virksomheder er blevet ramt af ransomware.

Også den specifikke type ransomware, som ifølge anmeldelsen til datatilsynet ramte ISS, er fremhævet i advarslen fra CFCS.

Ifølge sikkerhedsekspert Peter Kruse fra CSIS, der længe har fulgt og advaret mod Ryuk-ransomwaren, tyder alt på, at organiserede russiske kriminelle står bag angrebet:

"Det, vi kigger ind i her, er formentligt en russisk gruppe af organiserede kriminelle, som gennem lang tid har rettet deres fokus på store og mellemstore virksomheder," siger han til DR.

"Vi har længe observeret og holdt øje med de servere, som de (hackerne, red.) anvender til at styre de mange infektioner, de har. Og der kan vi se, at kommunikationen er russisk," siger han til DR.

Ifølge indberetningen til Datatilsynet har hackerne opnået adgang til "alle brugere oprettet i ISS Active Directory", som er en helt central del af det Windows-baserede netværk.

Det tyder ifølge Peter Kruse på, at hackerne har haft fuld adgang til ISS’ systemer:

"De er blevet ramt i hjertet af deres infrastruktur. Der, hvor de gør allermest ondt. Tusindvis af computere kan blive kompromitteret i løbet af få minutter," forklarer Kruse.

Ransomware bruges af kriminelle hackere til at afpresse ofre for store pengebeløb.

Hackerne kommer typisk ind gennem en inficeret e-mail sendt til en intetanende medarbejder. Derfra sikrer hackerne sig adgang til flere maskiner på tværs af netværket, og til virksomhedens mest følsomme filer, som de i nogle tilfælde stjæler for senere at kunne bruge dem til afpresning eller videre salg.

Som kronen på værket låser hackerne for adgangen til virksomhedens vigtigste data og kræver løsepenge - ofte millioner af kroner - for at låse op igen.

Hvis virksomheden betaler - og hackerne ellers holder deres del aftalen - får virksomheden de såkaldte krypteringsnøgler og kan derved få adgangen tilbage til de data, hackerne har taget som gidsel.

Men hvis angrebet opdages under første fase af angrebet - der typisk foregår i flere trin, og hvor krypteringen er kronen på værket - kan man begrænse skaden og helt undgå at betale løsepenge.

Det gøres ved at kappe netværksadgangen inden smitten spreder sig. På den måde kan man i nogle tilfælde begrænse skaden.

DR kender ikke detaljerne i netop det Ryuk-angreb, ISS er blevet ramt af, så ovenstående er en generel beskrivelse af ransomwareangreb virkemåde.

Uanset hvad kommer virksomhederne i fremtiden til at skulle ruste sig til et trusselsbillede, hvor hackerne bliver mere og mere professionelle:

"Virksomhederne skal reagere forud. Det er for sent, når man er blevet ramt af angrebet," siger Peter Kruse:

"Umiddelbart er alle virksomheder mål for den her type angreb," siger Peter Kruse til DR Nyheder.

Med angrebet på ISS, er det anden gang på to år, at en stor dansk virksomhed rammes af et alvorligt ransomwareangreb.

Sidste år blev høreapparatkoncernen Demant ramt af et lignende ransomwareangreb, der kostede selskabet op mod 650 mio. Kr.