- Vi kan nå si med overveiende sannsynlighet at angrepet startet ved at en identifisert arbeidsstasjon ble kompromittert, og ikke gjennom en programvare for å håndtere skrivere. Det er viktig for meg å understreke at ingen ansatte i Amedia på noen måte er delaktig eller medansvarlig i dette angrepet, sier Pål Nedregotten, konserndirektør for data og teknologi i Amedia, i en pressemelding.
Amedia har gjennomført omfattende tekniske undersøkelser med bistand fra Mnemonic og Telenor etter dataangrepet 28. desember.
Parallelt er Amedia i sluttfasen av en trygg og kontrollert gjenåpning av sentrale datasystemer, forteller selskapet.
Microsoft: - Vi bruker ikke lenger passord
- Klassisk løsepengeangrep
Amedias nettaviser har blitt publisert som normalt i hele perioden, men angrepet i romjulen rammet sentrale systemer for blant annet papiravisproduksjon.
– Som Norges største utgiver av redaktørstyrte medier har Amedia en samfunnsviktig funksjon. Et dataangrep på redaktørstyrte medier er svært alvorlig. Etter våre tekniske undersøkelser kan vi heldigvis med overveiende sannsynlighet slå fast at trusselaktøren ikke målrettet sitt angrep mot Amedia, sier Nedregrotten.
Han understreker at angrepsform og modus viser et klassisk løsepengeangrep der Amedia ikke var et spesifikt eller planlagt mål.
– Vi kjenner fortsatt ikke til hvem som står bak angrepet utover at det er organiserte kriminelle aktører som krypterte noen av våre servere, og la igjen et typisk løsepengebrev. For Amedia var det prinsipielt uaktuelt å gå i dialog med angriperne. Brevet ble oversendt til politiet som vi har god dialog med, for å bidra til å avdekke hvem som stod bak. Politiet har betydelig erfaring i slike saker, sier Nedregotten.
Dataangrepet ble politianmeldt 28. desember og saken er fortsatt under etterforskning.
- Open source var ikke problemet med Log4Shell
Avkrefter sårbarhet i skriver-program
I innledende fase var en arbeidshypotese at en kjent svakhet i programvaren for å håndtere skrivere kunne ha vært veien inn, men den teorien er tilbakevist, ifølge Amedia.
– Det var teorien vi hadde kort tid etter angrepet ble oppdaget. I dag har vi et mer fullstendig bilde av hendelsesforløpet, og kan avkrefte dette, sier Nedregotten.
Han viser til analyser og tekniske undersøkelser, med bistand fra sikkerhetseksperter i mnemonic og Telenor.
Amedia skriver i pressemeldingen at de av sikkerhetshensyn ikke kommer til å gå nærmere inn i disse detaljene.
Utvikleren Magnus redda Amedia etter hackingen
Ikke avdekket at persondata er på avveie
Onsdag 29. desember sendte Amedia rutinemessig avviksmelding til Datatilsynet, og har gitt oppdatert informasjon om status i saken.
– Amedia har i tett samarbeid med teknisk ekspertise brukt betydelig ressurser på å analysere om personopplysninger er på avveie. Vi har fremdeles ikke avdekket spor som viser uthenting av slike data. Samtidig kan vi ikke utelukke at det har skjedd, sier Nedregotten i pressemeldingen.
Amedia har heller ikke registrert at persondata som kan stamme fra angrepet mot Amedia er publisert på internett.
Arbeidet med å følge med på hvorvidt det blir tilgjengeliggjort opplysninger som kan stamme fra dataangrepet fortsetter.
Hacker-knepene du bør vite om i 2022: SQL injection, XXE, XXS og SSRF
Trygg gjenåpning av sikre systemer
Rutinemessig kuttet Amedia tilgang til servere og nettverk, og satt krisestab da dataangrepet ble oppdaget tirsdag 28. desember, forteller selskapet.
– Amedia har de siste årene prioritert sikkerhetsarbeidet høyt. Flere av de planlagte sikkerhetstiltakene som skulle iverksettes senere i 2022, har blitt fremskyndet og implementert, sier Nedregotten og understreker i pressemeldingen at systemene nå blir gjenopprettet på et enda sikrere nivå.
Amedia er nå i sluttfasen av å gjenåpne berørte datasystemer.
- Disse datasystemene blir gjenopprettet i prioritert rekkefølge. Ordinære systemer er allerede på plass for blant annet lønn og regnskap, abonnement og papirproduksjon. Amedia regner med å være tilbake i helt ordinær drift i løpet av mars, og skal nå i gang med evalueringen av hendelsen, avslutter han.