”Ett stort mörkertal”

De senaste åren går det att se en ny trend av stora, riktade attacker där cyberkriminella försöker pressa storbolag på pengar. Med hjälp av så kallade utpressningsvirus, ransomware, kan de låsa ett företagets it-miljö och kräva ersättning för att återställa den.

Två kända exempel under 2019 var aluminiumjätten Norsk Hydro, med en stor anläggning i småländska Vetlanda, och den svenska teknikhandelskoncernen Addtech. I båda fallen orsakade ransomwareangrepp skador för hundratals miljoner kronor.

Men de är långt ifrån ensamma om att drabbas. Säkerhetsbolaget Truesec, som ofta hjälper storbolag att utreda cyberattacker, deltog i över tio utredningar av ransomwareattacker mot stora bolag på svensk mark bara under förra året.

– Det finns ett väldigt stort mörkertal. De allra flesta incidenter av den här typen som sker i Sverige kommer inte till allmänhetens kännedom. Det är bara ett fåtal som gör det, säger Truesecs grundare Marcus Murray.

Av sekretesskäl kan han inte uttala sig om vilka bolag som de har hjälpt under året, men säger att det rör sig om många välkända företag. I de allra flesta fall har attackerna varken anmälts till någon tillsynsmyndighet, polisanmälts eller uppmärksammats i media.

– Addtech sticker inte ut, det finns betydligt större företag som har drabbats. Det Addtech gjort är att de varit föredömligt transparenta, vilket jag vill ge dem kredd för. De tar ett samhällsansvar och ett juridiskt ansvar för vad som skett. Det är föredömligt, och jag är förvånad över att så många företag som drabbas väljer att inte rapportera det på samma sätt, säger Marcus Murray.

Efter att den nya dataskyddsförordningen gdpr infördes för snart två år sedan trodde många att fler cyberattacker och andra incidenter skulle komma till allmänhetens kännedom. Men när det gäller angrepp mot större bolag har den effekten uteblivit, enligt Marcus Murray.

– Vi i branschen trodde att gdpr skulle ändra på det, men så är inte fallet. De drabbade bolagens jurister gör sina egna tolkningar, och intar ofta en försvarsställning där målsättningen är att slippa rapportera. Om en bank blir rånad är målsättningen att rapportera snabbt för att få hjälp, men här är det tvärtom. Företagen är oroliga för att få ”bad will”, för böter och för att utredningen i sig ska vålla skada. Om polisen konfiskerar datorer och de blir bevismaterial kan ingen jobba på dem, säger Marcus Murray.

Utpressningsattackerna mot storbolag är ofta tredelad. Ibland kan samma hackare ligga bakom alla tre steg, ibland säljs information mellan olika grupperingar. Så tros exempelvis vara fallet i ransomwareangreppet mot Hydro.

Det första attacksteget är brett. Hackare försöker få tillgång till datorer på så många företag som möjligt. Ofta använder de sig av riktade bluffmejl för att lura anställda att lämna ifrån sig inloggningsuppgifter eller installera trojaner.

– Sedan börjar de vaska fram guldklimparna. De bedömer hur svårt det skulle bli att ta över bolagets it-miljö, och hur mycket de kan få ut av attacken, säger Marcus Murray.

För att ett bolag ska vara en riktigt lukrativ måltavla ska hackarna kunna störa ut produktionen. Det är ofta inkomstbortfallet som en krypteringstrojan innebär som är det stora problemet. Är det bara tillräckligt stort kan vissa bolag överväga att betala hackarna.

Har ni varit med om svenska bolag som valt att betala lösensumman i ett sådant läge?

– Det har vi. Vi har också varit med där kunder valt att betala men där vi lyckats återställa krypteringen innan transaktionen gått igenom och därmed kunnat avstyra det. Men vissa är väldigt betalningsvilliga.

Det tredje steget är att placera ut utpressningsviruset på så många datorer och serv­rar som möjligt, för att sedan inleda det slutgiltiga angreppet.

– I de snabbaste exempel vi sett har angriparna tagit sig in i systemet en fredag eftermiddag klockan fem, och sedan krypterar de hela miljön klockan två på söndag natt. Allt kan hända på mindre än två dygn, säger Marcus Murray.

För att klara sig så lindrigt som möjligt i en sådan situation gäller det att ha förmåga att upptäcka intrång. Det handlar både om system som kan övervaka trafik i nätverket och hitta ovanliga beteenden som kan tyda på en attack, och att ha kompetent personal som kan tolka signalerna.

– De bolag som drabbas hårdast är ofta de som saknar modern övervakning som har förmågan att tidigt upptäcka dataintrång så att det snabbt går att agera. Tid är en avgörande faktor, säger Marcus Murray.

Förutom att kryptera data ser Truesec att hackarna ofta passar på att stjäla företagshemligheter. Känsliga data som skulle kunna ha ett värde på marknaden.

– I de flesta utredningar vi gör har vi kunnat påvisa att hackarna stulit känslig data. Angriparna kommer att göra allt för att kapitalisera på sin åtkomst till it-miljön. Ibland kanske ransomware inte ens är det primära, utan är då ett sätt att sopa igen spåren efter att de stulit data, säger Marcus Murray.