Et halvt år etter dataangrepet mot Amedia, som eier Romerikes Blad og en rekke andre lokalaviser i Norge, kommer selskapet med en oppdatering.

Det var lørdag 25. desember klokka 00.30 at kriminelle angripere klarte å hacke seg i ett av Amedias datasystemer via en kompromittert brukerkonto. Tirsdag 28. desember klokka 00.10 ble de første filene kryptert.

– Tirsdag 28. desember anmeldte Amedia dataangrepet til politiet, samme dag som det ble oppdaget. Saken er fortsatt under etterforskning. Vi vet at politiet bruker kunnskap fra angrepet opp mot tilsvarende dataangrep i andre land. Det pågår altså fortsatt et internasjonalt politisamarbeid med mål om å arrestere de som står bak, sier sikkerhetssjef Stein Damman i Amedia i en pressemelding.

– Amedia ble rammet av et klassisk løsepengevirus. Denne sikkerhetstrusselen er eskalerende, og kan i prinsippet ramme alle virksomheter, i privat og offentlig sektor, fortsetter han.

Samarbeidet med løsepengeaktør

Amedia har, med bistand fra Mnemonic og Telenor, gjennomført omfattende tekniske undersøkelser i etterkant av angrepet.

– Flere av Amedias sentrale datasystemer ble midlertidig satt ut av drift. Takket være gode rutiner for sikkerhetskopier, raske kriseløsninger og en iherdig innsats i hele organisasjonen, kunne Amedias produksjon av papiraviser kjapt komme i gang igjen, lønn kunne utbetales og øvrig drift etter hvert komme tilbake til normalen – med et ytterligere forsterket sikkerhetsnivå, uttaler konserndirektør for data og teknologi, Pål Nedregotten, i pressemeldingen.

Selv om mediekonsernet ikke vil spekulere i hvilke personer som sto bak angrepet, kan de nå likevel gå ut med mer informasjon.

– Det vi imidlertid kan bekrefte, basert på hvordan angriperen opererte og informasjonen de la fra seg i løsepengebrevet, er at angriperne samarbeidet med løsepengeaktøren Hive. Dette er en av verdens største og mest avanserte grupper som tjener store svarte penger på å lage skadevare og legge til rette for bruk av løsepengevirus, sier Damman.

Driver «doble» utpressingsforsøk

Hive og andre globalt datakriminelle driver med «doble» utpressingsforsøk ved å publisere navn på virksomhetene som nekter å betale, samt lekke stjålet data.

– Seks måneder etter dataangrepet er Amedia fortsatt ikke publisert på Hives liste. Dette til tross for at vi av prinsipielle grunner ikke gikk i dialog med dem. Vi var derimot raskt ute i mediene med vårt syn på bruk av løsepenger, og vi demonstrerte at vi kjapt kom tilbake i produksjon, forteller Damman.