BROTTEN MOT FÖRETAGEN

Hackarna slog sönder hans företag - prislapp: 500 000 kronor

Bild: Elvira Lind

Risken för cyberattacker har ökat efter krigets utbrott, enligt flera bedömare. När hackarna slog till mot Mattias Westbergs företag var han helt oförberedd. All data krypterades och om han inte betalade flera hundratusen kronor skulle affärskritisk information försvinna. I ett reportage i TN berättar han om kampen för att rädda familjeföretaget.

Fredagen den 11 februari var Mattias Westberg som vanligt på väg till sin fabrik i Boden. Han driver Petterssons Charkuteri tillsammans med Frank Eldin och Lotta Boström. Varumärket och traditionen startades av Mattias farfar Bror Axel Pettersson och säljer bland annat norrländsk falukorv och andra läckerheter som ölkorven Bodenpirr.

Under resan till fabriken fick Mattias Westberg plötsligt ett samtal. Det var en i personalen som meddelade att det var trassel med datorerna. Ingen kom åt vare sig affärssystem eller filer.

Vad var det som hade hänt?

En kvart senare var Mattias Westberg själv på plats i fabriken. Han är relativt kunnig inom it – är lite av en tusenkonstnär, ett epitet många småföretagare kan känna igen sig i. Eller som Mattias själv uttrycker det – ”jag har många kepsar på mitt huvud”. Med andra ord försökte han själv ta reda på så mycket som möjligt om vad som hade hänt. Han testade att logga in på en av företagets servrar och gjorde klassikern, omstart för att skaka gång i it-miljön igen. Men inget fungerade.

Nästa steg blev att kontakta det företag som driftar Petterssons Charkuteris it-miljö, Overclockers. Tillsammans försökte han och en av Overclockers it-experter utröna vad som hade hänt.

– De bad mig bland annat att kolla skrivbordet och alla ikonerna. Då såg jag att de var alldeles vita och hade fått en ny filändelse, .mlock7, berättar Mattias Westberg.

"Vid ransomware-attacker går hackarna först på backup:en för att vi ska bli mer benägna att betala.”

Därmed stod det klart att det lilla Boden-företaget hade blivit utsatt för en så kallad ransomware-attack, ett av många djävulskap som cyber-kriminella använder sig av för att attackera företag. Vad ransomware handlar om är väldigt förenklat en kidnappning av data. Hackarna tar kontrollen över informationen på företagets servar och datorer och kräver pengar för att ”släppa gisslan”.

Bild: Elvira Lind

I det här fallet rörde det sig om en variant, en så kallad medusa locker-ransomware. Det är fortfarande idag inte klart hur viruset smittade systemet, men troligtvis har någon ovetandes klickat på en bifogad fil i ett mejl eller så att hackarna utnyttjat ett säkerhetshål i en mjukvara.

En fil som låg på skrivbordet gav mer information; där stod att alla filer hade blivit krypterade och Mattias Westberg uppmanades att logga in på Darknet med en särskild webbläsare som heter Tor för att få ta del av summan som utpressarna ville ha för att avkryptera alla data. Om han inte agerade inom 72 timmar skulle priset skjuta i höjden.

Med fanns också ett tragikomiskt tips om att han kunde mejla en särskild adress för support. Skulle han ringa hackarna för att be om hjälp om problemen som hade uppstått i hans it-miljö?

Men trots att det nu inte rådde några som helst tvivel om att Mattias Westberg företag hade blivit hackat var han relativt lugn eftersom han tänkte att företaget hade tre backuper och att allt borde vara i gång igen under dagen.

Han hade helt fel.

Det visade sig nämligen ganska snart att alla tre backuperna, som också var kopplade till nätet, inte gick att komma åt.

– Vid ransomware-attacker går hackarna först på backup:en för att vi ska bli mer benägna att betala, berättar Mattias Westberg.

”De kan ju säga att de vill ha 300 000 kronor till om vi betalar. Hur ska vi vara säkra på att vi får tillbaka något?”

Nu polisanmälde Mattias händelsen och fick tipset att kontakta det norska Ibas. Företagets experter lyckades återskapa en del information, men inte all den affärskritiska data som Petterssons Charkuteri var så beroende av.

Mattias valde också att kontakta ”data-kidnapparna” för att utröna hur mycket pengar de krävde. Var det 5 000 eller 500 000 kronor? Det visade sig att hackarna ville ha totalt 300 000 kronor.

Petterssons Charkuteri är ett litet företag med en årsomsättning på totalt 25 miljoner kronor, inte en stor organisation med finansiella muskler att hantera stora kriser.

– 300 000 kronor är enormt mycket pengar för oss och om man betalar så är det som att stoppa pengarna i ett svart hål. De kan ju säga att de vill ha 300 000 kronor till om vi betalar. Hur ska vi vara säkra på att vi får tillbaka något? Undrar Mattias.

För honom blev det ett lätt beslut att fatta:

– Vi betalar inte ett korvöre till hackarna, säger han.

Men vad var det för data som hackarna hade fått kontroll över? Det handlade om affärssystem, bokföring, statistik som gick 15 år tillbaka i tiden, marknadsföringsmaterial och kalkyler. Allt som rör ett företag egentligen.

Men tack och lov hade man korvrecepten på ett annat ställe, så de fanns kvar.

Från polisen kom det nedslående beskedet att hackarna förmodligen aldrig skulle gripas och åtalas.

– De saknar väl resurser och jag misstänkte nog redan att det var svaret jag skulle få. Men givetvis är det tråkigt och ledsamt, säger han.

”Det var bara att kavla upp ärmarna”

Det är en knapp månad sedan de cyberkriminella slog till mot Petterssons Charkuteri och man är mitt inne i arbetet att minimera skador och att återskapa allt som har gått förlorat. Det blir mycket improviserande och långa kvällspass.

Bland det första som Mattias Westberg gjorde var att blixtsnabbt ladda ned ett nytt affärssystem från Fortnox och att ladda in nya orderartiklar i det nya affärssystemet, ibland i samma ögonblick som kunderna ringde. Tack vare att företaget bara hanterar 400 order i veckan så var det trots allt hanterbart.

Och eftersom alla kommande order som var inlagda i det gamla systemet var borta så var man tvungen att ringa runt till kunderna för att se vad de hade beställt. På det viset tappade företaget inte så många beställningar trots allt.

– Det var bara att kavla upp ärmarna och spotta i nävarna, det var något som bara måste göras. Men vi är ett litet företag, vi är snabba i vändningarna, säger Mattias Westerberg.

Det är svårt att överblicka de totala kostnaderna för att återskapa alla data och hantera hackarattacken i övrigt. Men Mattias Westberg gör bedömningen att det blir minst 500 000 kronor om man räknar in allt extraarbete. Mycket är gjort, men det återstår ändå hundratals timmar innan jobbet är klart.

En attack mot flera företag

Till saken hör också att Mattias Westberg inte var ensam om att drabbas av hackarattacken i februari. I samma veva som hans servrar smittades av viruset slog de cyberkriminella till mot åtminstone sju andra företag i Boden och Luleå. Men när han har valt att berätta öppet om attacken har de andra företagen lagt locket på. Det kan alltså vara flera företag som antingen har betalt lösensumman eller som Mattias vägrat gå utpressarna till mötes. Hur mycket den totala kostnaden blir är omöjlig att överblicka.

Flera säkerhetsexperter har varnat för att cyberattackerna har blivit fler under Ukrainakriget. Det handlar om angrepp initierade av Ryssland som en del av Vladimir Putins kampanj mot Västvärlden.

Enligt polisen som Mattias Westberg har varit i kontakt med har de cyberkriminella ofta kopplingar till antingen Kina, Nordkorea eller Ryssland. Det kan vara av regimerna initierade attacker eller fristående grupper som bara vill tjäna pengar. Ingen vet exakt. Det är också viktigt att påpeka att Mattias servrar smittades innan Putin anföll Ukraina i februari.

För Mattias Westberg handlar det om att framöver på alla sätt säkerställa att han inte drabbas igen. Hans tips till andra företagare är att göra säkerhetskopior som inte är kopplade till nätverket. Alltså Old style. Det blir en del manuellt arbete, men det är det värt.

Hans andra tips är att ha bra rutiner kring lösenord och e-posten och det tredje; betala aldrig hackarna.

Sist men inte minst är det viktigt att ha koll på försäkringarna.

– Vi var inte försäkrade för cyberbrott. Det är en speciell försäkring som man behöver, Den vanliga försäkringen täcker bara småsummor, säger Mattias Westberg.

Petterssons Charkuteri är ett familjeföretag med många år på nacken. Och med all sannolikhet kommer företaget att fortleva många år till. Även Mattias 20-åriga son Liam är i högsta grad engagerad i verksamheten.

– När jag tog över bolaget hade det haft en tuff period bakom sig. Men vi har vänt trenden resultatmässigt. 2019-2021 var bra år. Och nu hoppas vi att 2022 blir lika bra. Men det är klart, attacken sätter sina spår i resultat, säger Mattias.