Kriminelle skryter av 600.000 Bjørklund-filer. Det kan være et godt tegn

Gullsmed-kjeden Bjørklund ble nylig angrepet, og en kriminell gruppe skryter nå av resultatet. Det tyder på at angrepet ble håndtert riktig, mener ekspert.

En kriminell ransomware-gruppe skryter av å sitte på 340 GB med Bjørklund-data. Det tror Lars Eirik Berg i Semaphore Consulting Partners er et godt tegn. 📸: Ole Petter Baugerød Stokke / Privat
En kriminell ransomware-gruppe skryter av å sitte på 340 GB med Bjørklund-data. Det tror Lars Eirik Berg i Semaphore Consulting Partners er et godt tegn. 📸: Ole Petter Baugerød Stokke / Privat Vis mer

4. april gikk gullsmed-kjeden Bjørklund ut og advarte kundene om at de hadde blitt utsatt for datainnbrudd.

«Det kan ikke utelukkes at enkelte opplysninger knyttet til deg som medlem i kundeklubben vår har vært tilgjengelige for uvedkommende» skrev de til kundene, og mente data som kjøpshistorikk og informasjon om kundene kunne være på avveie.

At data er på avveie ser nå ut til å bli bekrefta, i en ny post på dark web fra en kriminell ransomware-gruppe kode24 velger å ikke navngi:

På sin .onion-side skryter de av å sitte på hele 600.000 filer, totalt 340 GB med data, fra Bjørklund.

Men dette er ikke utelukkende dårlige nyheter, mener sikkerhetsekspert.

Saldolister publisert

– Jeg går av prinsipp aldri inn på filer som blir lagt ut, så jeg vet ikke nøyaktig hva de har, eller om de faktisk har lagt ut alle de 600.000 filene ennå, forteller Lars Eirik Berg til kode24.

Han er direktør for GRC hos Semaphore Consulting Partners, og kom over posten fra gruppa på deres dark web-sider. Altså «det mørke nettet», i dette tilfellet bestående av .onion-sider som bare kan leses med Tor-nettleseren.

Gruppa har i alle fall lagt ut to smakebiter, som viser to saldolister med navn på selskaper og deres saldo hos Bjørklund, og eventuelle forfalte beløp.

– Ikke så spesielt sensitiv informasjon, ser det ut til, kommenterer Berg.

Berømmer å ikke betale

Slike ransomware-grupper angriper for å nettopp kreve «ransom»; løsepenger for at kryptert data skal låses opp, eller som i Bjørklunds tilfelle, for at ikke stjålet data skal bli sluppet.

– De aller fleste grupper legger ut slike poster i sluttfasen av utpressingsforsøkene sine, når det ser ut til at offeret enten ikke har respondert i det hele tatt, eller ikke viser vilje til betaling, forklarer Berg, som dermed berømmer Bjørklund for å tilsynelatende ha håndtert situasjonen riktig.

– Det er jo et «godt» tegn, dessverre, at gruppa legger ut data. For det tyder på at Bjørklund heldigvis ikke har hatt interesse av å forhandle, eller betale noe som helst, sier Berg til kode24.

kode24 har spurt Bjørklund om de faktisk har blitt bedt om å betale noe etter angrepet. Det ønsker de ikke å svare på.

– Vi har tatt dette svært alvorlig og jobbet tett med eksterne eksperter for å håndtere situasjonen på en trygg og effektiv måte, forteller Vibeke Holann, leder for Marked & Digital hos Bjørklund Norge AS, til kode24.

De gjentar at de er i kontakt med blant annet politiet, Datatilsynet og Nasjonal sikkerhetsmyndighet, samt har advart medlemmene av kundeklubben sin.

«Verdien kan potensielt være svært stor, og ha mange formål.»

Hvorfor selges data?

Neste steg for dataen fra Bjørklund-angrepet, er trolig at det selges videre til kriminelle. Berg har sett denne type datasett selges til mellom 10.000 og 100.000 dollar – altså opp mot én million kroner.

– Verdien kan potensielt være svært stor, og ha mange formål, forteller han.

Blant annet:

  • Phishing: – Med å ha detaljert og potensielt sensitiv informasjon om ansatte i en virksomhet, og ikke minst om andre virksomheter, så er det jo veldig lett å skreddersy svært realistiske phishing eposter (spear-phishing).
  • Industrispionasje: – Det å kjøpe informasjon om sine nærmeste konkurrenter kan potensielt ha stor verdi.
  • Videre utpressing: – Datasett kan inneholde svært sensitiv informasjon, for eksempel fra helseforetak og datingsider, både om personer og andre virksomheter.
  • LLM/AI opplæring: – Store realistiske datasett er jo også en gullgruve for videre opplæring av store språkmodeller.

– Så formålene kan være så mangt. Men informasjon i seg selv er jo «digitalt gull», så her er det nesten kun fantasien som setter begrensningene, sier Berg.

Advarer mot å betale

Berg mener altså at Bjørklund tilsynelatende har håndtert dette angrepet etter boka.

De har jobba med relevante myndigheter, de har advart kundene sine tidlig, og ikke minst: De har tilsynelatende ikke betalt de kriminelle.

– Mange undersøkelser tyder på at minst halvparten av de som betaler ikke får tilbake alle krypterte filer, og i mange tilfeller får de ikke tilbake noe som helst, sier Berg, og fortsetter:

– Mer interessant er det at opp til 70 prosent av de som betaler blir angrepet på nytt, enten av samme gruppering eller av en annen som utnytter samme sårbarhet. Ved å betale som viser man jo «desperasjon» og betalingsvilje, noe som kan gjøre en virksomhet til et attraktivt nytt offer for andre igjen.