Från vänster: Bryan Vorndran, FBI, Jason Manar, Kaseya

Som svensk minns man ransomwareattacken mot Kaseya i juli förra sommaren. En av bolagets kunder som drabbades hårt var nämligen livsmedelskedjan Coop vars kassasystem, som tillhandhålls av Kaseyas kund Visma, kraschade. Detta ledde till att Coop fick stänga ner cirka 700 av sina 800 butiker i Sverige under ett par dagar, något som markant påverkade butikens verksamhet, omsättning och kunder.

Under samtalet mellan Kaseyas CISO, Jason Manar, och Bryan Vorndran från FBI:s cyberdivision togs attacken förstås upp – och Vorndran hade bara goda saker att säga om Kaseyas respons.

– Kasyea hanterade attacken på ett mycket bra sätt – de hörde genast av sig till oss för att berätta om situationen. Man var med andra ord inte rädd för att få dålig press utan istället helt lösningsorienterade, sade Bryan Vorndran.

– Efter att man kontaktat FBI sträckte bolaget ut en hand till privata partners som var essentiella för att hantera attacken, som exempelvis försäkringsbolag. Samtidigt kunde vi i vår tur kontakta andra organisationer på myndighetsnivå som behövde bli involverade.

Det var hackergruppen REvil som tog på sig attacken mot Kaseya och deras kravsumma på 70 miljoner dollar publicerades på gruppens egna blogg. Kaseya kunde den 5 juli 2021 konstatera att mellan 800 och 1500 av deras egna kunder, samt kunder till dem, hade drabbats. Den 13 juli försvann REvils hemsida spårlöst från nätet och tio dagar senare lät Kaseya meddela att man mottagit ett universal dekrypteringsverktyg att använda på REvil-krypterade filer från en ”pålitlig tredje part”, varpå man inledde processen att hjälpa de som blivit drabbade. Det är fortfarande inte helt känt i dag vem denna tredjepart är. Coop höll sammanlagt sina butiker stängda upp emot sex dagar i samband med attacken.

Bryan Vorndran avslutade med att understryka hur viktigt det är för företag att se till att vara så förberedd som man bara kan på en attack:

– Se till att bolaget har en kontakt på myndighetsnivå, som ni kan nå direkt om en cyberincident skulle ske. Vidare är det viktigt att IT-beslutsfattarna har en god dialog med både ledning och styrelse, så att samtliga är på samma sida och är medvetna om vad det är som händer och vad som måste göras. Slutligen – det är absolut nödvändigt att alltid anmäla incidenter!