Mandag 12. oktober ble Telenor Norge rammet av et betydelig cyberangrep med krav om løsepenger. Utpresserne krevde betaling for ikke å utsette virksomheten for ytterligere angrep. Nå kan andre norske selskaper stå for tur, advarer Telenor.
Siden august har flere bedrifter over hele verden blitt utsatt for ransom-DDoS-angrep (rDDoS) fra vinningsmotiverte cyberkriminelle, ofte kalt «Lazarus Bear Armada». rDDoS er distribuerte tjenestenektangrep med krav om løsepenger for ikke å gjenta og fortsette angrepene.
Mandag ettermiddag 12. oktober ble Telenor utsatt for et større tjenestenektangrep der det ble sendt opp mot 400 Gbps med trafikk mot Telenor.
– Slike angrep sender store mengder «søppeltrafikk» mot en internett-tjeneste eller andre eksponerte systemer hos en bedrift, slik at disse blir utilgjengelig for brukerne eller bedriften selv, forklarer administrerende direktør i Telenor Norge, Petter-Børre Furberg.
Mobil og bredbånd fungerte
Angrepet på Telenor varte i cirka tre timer. I en kort periode tok Telenor ned all trafikk inn til de berørte tjenestene. Noen tjenester tilknyttet Telenor ble berørt og var utilgjengelige i omtrent en time. Det inkluderer Telenors egne nettsider, e-post og enkelte andre tjenester.
Angrepet rammet ikke Telenors kjernetjenester, det vil si mobil- og bredbåndstjenester. Alle telefonsamtaler, mobildata, sms og bredbåndforbindelser fungerte som normalt under hele angrepet.
– Vi har gode rutiner for å håndtere DDoS-angrep uten store konsekvenser. Nødvendig håndtering av angrep på akkurat DNS-infrastrukturen gir noen side-effekter, men vi ser hele tiden etter forbedringer. Vi er nå bedre rustet til å håndtere denne typen angrep raskere og med færre konsekvenser, sier Furberg.
Kort tid etter ble det oppdaget et trusselbrev som kunne forsikre Telenor om at angrepet kun var en liten forsmak på hva som kunne komme, dersom Telenor ikke betalte 20 bitcoin (cirka 2 millioner kroner) til angriperne.
Mandag denne uken gikk betalingsfristen ut, og Telenor har ikke betalt.
– Jeg ønsker å advare om at denne gruppen nå angriper norske selskaper. Jeg vil spesielt advare selskaper som ikke har effektive metoder for å avverge store konsekvenser fra tjenestenektangrep gjennom DDoS-beskyttelse, men det viktigste av alt er å ikke betale. Det vil bare gjøre denne typen angrep lønnsom, og motiverer de cyberkriminelle til å fortsette, forklarer Furberg.
Ønsker åpenhet
Utpressing under trussel om DDoS er heller ikke nytt, men ransom-DDoS har hatt et oppsving i senere tid.
– Vi har vært ute og advart våre kunder om dette tidligere, da vi forventet at angreps- og utpressingsmetoden også ville komme til Norge. Når vi nå har opplevd det selv, ønsker vi å være åpne og advare flere om det samme, sier Furberg.
Kobler inn politiet
Det er rapportert om tilsvarende DDoS-angrep med påfølgende forsøk på utpressing på tvers av mange kontinenter og bransjer. Kampanjen og grupperingen bak har nå fått tilnavnet «Lazarus Bear Armada». Kampanjen er godt beskrevet av mange, og samsvarer med Telenors opplevelser.
– For de fleste moderne bedrifter tar det ikke lang tid før fraværet av internett-forbindelse defineres som en krise, selv under ordinære forhold. Konsekvensene har for mange blitt enda større under pandemien. På det personlige plan har mye av vår kontakt med lege, jobb, bestemor og omverden generelt til tider vært forbeholdt digitale kanaler. Mange virksomheter er også langt mer avhengig av digitale flater for fjerntilgang og fjernarbeid enn tidligere. Da må vi gjøre det vi kan for å bidra til at vi og andre selskaper får vite om slike trusler og kan hindre at det får store konsekvenser, sier Furberg.
Telenor Norge vil anmelde forholdet til politiet.