BROTTEN MOT FÖRETAGEN
Så genomförs ransomware-angreppen
Det började som en påminnelse om en ny programuppdatering.
Men i samma stund som kunderna installerade mjukvaran inleddes ett globalt it-angrepp.
– De lurar sig in och tar kontroll över operativsystemet, säger it-säkerhetsexperten Robert Ståhlbrand.
It-angreppet mot det amerikanska mjukvaruföretaget Kaseya har drabbat en lång rad företag, bland annat omkring 800 svenska Coopbutiker.
Kunderna till leverantören ombads att uppdatera sina system, men uppdateringen kom inte från Kaseya. Bakom stod i stället en eller flera ännu okända bedragare.
– Jag vet inte vilka som är skyldiga i det här fallet. Men det är inte ovanligt att den här sortens attacker kommer från Ryssland, säger Robert Ståhlbrand, it-säkerhetsexpert på företaget NTT Security Sverige.
Låser systemet
Oftast genomförs dessa attacker av organiserade ligor, säger han.
De letar efter sårbarheter som leverantören själv inte har upptäckt. Vissa säljer sedan den värdefulla informationen på darknet. Andra går direkt till angrepp.
– De lurar sig in och installerar en så kallad ransomware-mjukvara som tar kontroll över operativsystemet.
Mjukvaran placeras ofta på fysiska datorer, men kan också förekomma i molntjänster. Så fort den installerats blir systemet otillgängligt för användaren.
– Vad man än gör så möts man av en ruta med information om vart man ska vända sig för att låsa upp systemet igen. Oftast krävs en lösesumma, inte sällan i form av någon cryptovaluta.
Alternativa utvägar
Att betala är dock fel väg att gå, enligt Ståhlbrand.
– De testar betalningsvilligheten hos företag. Det finns andra sätt att ta sig ur situationen. Men det är ingenting som ett vanligt företag med enkelhet kan göra.
Det krävs en it-forensisk utredning, klargör han.
– Hårddisken måste köras genom ett system som plockar bort mjukvaran. Men kompetensen är väldigt sällsynt. Dessutom är det en dyr historia.
Ransomware-mjukvaran kommer i olika mutationer, vilket ytterligare försvårar processen.
Därtill finns det flera nivåer av mjukvaran, enligt honom.
– Många betalar för att snabbt bli av med det, men så visar det sig att angriparna har installerat tidsinställda låsningar för att kräva mer pengar i framtiden, säger Ståhlbrand.
Jesper Karlsson/TT
Fakta
Ransomware kan översättas med utpressningsvirus, där hackarna låser ett företags datasystem med krav på lösesumma för att öppna systemet igen.
Några relativt nyligt uppmärksammade fall:
Colonial Pipeline drabbades i maj av en attack vilket stängde USA:s största oljeledning.
För en månad sedan drabbades amerikanska köttjätten JBS som betalade 11 miljoner dollar, närmare 100 miljoner kronor, i lösesumma till hackarna.
I november 2020 slog hackare till mot danska nyhetsbyrån Ritzau som inte kunde leverera nyheter. Ritzau krävdes på pengar, men betalade inte.
Svenska polisen har tidigare sagt till TT att hundratals svenska företag har utsatts och att många betalar sig fria, men att mörkertalet förmodligen är stort eftersom många drabbade inte vill berätta offentligt.