Hackarna som tar industrin som gisslan – kan kosta hundratals miljoner

2020-02-06 06:00  

Cyberattacker som slår ut hela storbolag. Ransomware har gått från en irriterande plåga till riktade storskaliga attacker som kan kosta hundratals miljoner kronor att åtgärda.

Angreppet startade strax efter midnatt den 19 mars 2019. It-driften på den norska industrikoncernen Hydro, en av världens största aluminiumproducenter, upptäckte att flera servrar i företagets globala nätverk plötsligt slutade fungera.

Det var genast tydligt att det inte var någon normal störning. Servrar som stod i vitt skilda delar av världen kraschade. Snart insåg personalen att det bara fanns en lösning: koppla ner systemen och stänga servrarna innan infektionen spred sig.

Den tisdagsmorgonen blev bolagets nytillträdde it-säkerhetschef Torstein Gimnes Are väckt av ett telefonsamtal runt fyratiden på morgonen.

– Det var nästan overkligt att få samtalet. Jag hade börjat på jobbet 14 dagar tidigare, berättar han när Ny Teknik träffar honom vid ett Sverigebesök i höstas.

– Det är den bästa, och den värsta, upplärningen en ny it-säkerhetschef kan få, konstaterar han.

Läs mer: Han berättar historien om tidernas värsta cyberattack

Snart konstaterades att de kraschade servrarna hade infekterats av ett utpressningsvirus som heter LockerGoga. För att återfå kontroll över systemen ville hackarna att Hydro skulle betala en lösensumma. Ju längre företaget väntade, desto högre skulle priset bli stod det i ett meddelande som visades på de krypterade datorerna.

Ett par timmar senare satt bolagsledningen samlad, tillsammans med jurister, kommunikationsavdelning och it-organisationens chefer. De försökte sammanfatta skadorna, och se hur de över 35 000 anställda spridda över 40 länder skulle kunna arbeta utan några affärssystem eller orderlistor. Hur de skulle gå till väga för att byta digitala verktyg mot papper och penna.

Tidigt togs två avgörande beslut. För det första skulle bolaget inte betala en enda krona till hackarna. För det andra skulle Norsk Hydro, till skillnad från många offer för storskaliga it-attacker, genast berätta för allmänheten vad som pågick.

– Att vi skulle vara öppna etablerades redan på det mötet. Vi är ett börsnoterat företag, det ska vara naturligt för oss att kommunicera det här transparent och i god tid. Det är oftast bästa sättet att hantera en kris, säger Torstein Gimnes Are.

Torstein Gimnes Are är it-säkerhetschef på Hydro. Foto: Anders Vindegg

Hydro hade blivit det senaste i en lång rad offer för cyberbrottslingar som utför riktade utpressningsattacker mot stora bolag såväl som offentlig sektor. För aluminiumjätten blev skadorna monumentala: attackerna beräknas ha kostat bolaget upp till 675 miljoner svenska kronor.

Ett nytt hot

Under 2015 drog en ny våg av cyberattacker fram över Sverige. Hos både privatpersoner, företag och offentlig sektor damp det ned mejl i inkorgen som innehöll fejkade postavier som utgav sig för att komma från Postnord.

Användare som i god tro öppnade bilagorna installerade i själva verket ett virus på datorn. En typ av trojan som kallas för ransomware, eller utpressarvirus, och krypterar filer på hårddisken. Den som vill ha tillbaka sina viktiga dokument eller familjefoton uppmanas att pytsa upp pengar till hackarna.

Läs mer: Över 7 miljoner kunde få sin röstbrevlåda avlyssnad

Problemet blev snabbt uppmärksammat, inte minst efter att flera offentliga verksamheter drabbades. I mars det året tvingades exempelvis Stockholms läns landsting skicka hem flera hundra anställda efter en virusinfektion.

När ransomwarevågen var som störst, under mitten av 2017, utgjorde utpressarvirusen 68 procent av all skadlig kod som skickades via mejl, enligt e-postsäkerhetsföretaget Proofpoint.

Men sedan dess har utvecklingen vänt radikalt. Enligt samma källa utgör ransomware i dag mindre än en procent av all skadlig kod som skickas via mejl.

Ändå fortsätter utpressningsvirusen att orsaka skada och kosta pengar. Fast i en helt annan skala än tidigare.

– Den volym attackerna fick under 2017 och 2018 var så stor att aktörerna bakom dem inte hann administrera alla längre. Vad de egentligen gjorde då, var att ändra taktik, och bli mer riktade i sina angrepp, säger Fredrik Möller som är Sverigechef på Proofpoint.

Fredrik Möller är Sverigechef på Proofpoint som utvecklar lösningar för e-postsäkerhet. Foto: Alex Rumford

De gick från breda mejlkampanjer till skräddarsydda attacker riktade mot storbolag.

Men fortfarande är mejlkorgen den vanligaste vägen in. Omsorgsfullt utformade bluffmejl som innehåller en trojan som kan användas för att fjärrstyra datorn. Precis så började attacken mot Hydro.

Läs mer: Guide: Så surfar du säkert på internet

När bolaget i efterhand har gått igenom loggfiler har de kunnat hitta det ursprungliga intrånget, flera månder innan attacken.

– Då hittade vi ett mejl med skadlig kod. Problemet är att det kom från en kund som vi har regelbunden dialog med. Angriparen måste ha haft kontroll över deras mejlserver, och hade gått in i en pågående mejlkonversation och lagt in en länk till ett dokument som innehöll en trojan, berättar Torstein Gimnes Are.

– Du kan inte lasta en anställd för att ha klickat på den länken.

Tillvägagångssättet har blivit typiskt för den här typen av riktade attacker mot storbolag.

– Det ligger mycket social engineering bakom mejlen. De kommer aldrig i stora volymer utan är riktade till individer som är noggrant kartlagda. Det är väldigt snygga mejl, och de kommer från avsändare som ser legitima ut, säger Fredrik Möller på Proofpoint.

Från den första infekterade datorn spred sig angriparen i nätverket, och kartlade Hydros it-system. Det tog lång tid innan attacken genomfördes, en teori är att den som utförde det första intrånget sålde informationen vidare till en annan hackergrupp som utförde själva utpressningen.

– Vi har inte kunnat bekräfta vem som låg bakom. Det är en polissak och utredningen pågår, vår egen hypotes är att brottet är finansiellt motiverat, säger Torstein Gimnes Are.

Läs mer: Mafiaboy: ”Världen i dag är en hackares paradis”

Krypterad aluminiumfabrik i Småland

I småländska Vetlanda startade aluminiumtillverkningen när Sapa öppnade sin första anläggning 1963. Aluminiumprofiler som pressas här går till fordonsindustrin, möbeltillverkare och byggföretag både inom och utanför Sveriges gränser.

Sedan ett par år tillbaka äger Hydro verksamheten. På de två anläggningarna i småstaden jobbar över 700 anställda, och ytterligare 300 personer jobbar på verket i Finnspång. Här finns i princip hela värdekedjan för tillverkningen, från smältverk till färdiga profiler. Därför är de svenska anläggningarna också bland de enheter inom koncernen som drabbades hårdast av cyberattacken förra våren.

– Vår beredskapsgrupp fick ett meddelande mitt i natten om att vi hade attackerats. Vi aktiverade vår beredskap, och började plugga ur så många system vi någonsin kunde, berättar Thomas Hammarqvist som är it-ansvarig för Hydros svenska verksamhet.

Lyckligtvis sped sig virusinfektionen inte till några av industrimaskinerna i tillverkningen, då hade attacken kunnat få ödesdigra konsekvenser. Foto: Sofia Ernerot

En ljusglimt i attacken som skakade koncernen är att styrsystemen som kontrollerar de tunga maskinerna inne på fabrikerna inte påverkades. Det hade gjort återhämtningen svårare, och ökat riskerna för personalen.

Men när alltifrån lönelistor till orderhistorik ligger på en krypterad hårddisk rubbas ändå oundvikligen arbetet i tillverkningsindustrin. Också här samlades den lokala ledningsgruppen för att överblicka situationen, och kunde snabbt konstatera att läget var kritiskt.

Läs mer: David Jacoby: ”Man kan säga att det är jag som är Lisbeth Salander”

Visst hade de varit med om tidigare hackerförsök som orsakat gnissel i maskineriet, men inget som tagit någon längre tid eller krävt några större insatser.

– Till skillnad mot en vanlig cyberattack så växte det under den där dagen fram en bild där vi inte egentligen hade ett uppskattat datum för när vi kunde vara i drift igen, säger Thomas Hammarqvist.

Snart kunde de konstatera att koncernens alla globala it-system var utom räckhåll. Det gällde att bygga upp tillfälliga lösningar för att kunna ta beställningar och se till att kunderna fick sina leveranser.

Lyckligtvis var backuperna intakta. Produktionsnära system gick relativt lätt att återställa, och beställningarna för de närmaste dagarna gick att lokalisera så att arbetet på golvet kunde fortsätta långsamt framåt. Men det gick inte att leverera varor eller fakturera kunder.

– När vi insåg att det var en sådan magnitud att vi inte skulle kunna få tillbaka vår Active Directory eller vårt affärssystem inom rimlig tid började vi fråga oss hur vi skulle hålla produktionen vid liv och ta in nya ordrar, säger Thomas Hammarqvist.

It-tekniker på plats fick börja bygga upp en tillfällig miljö. Där alla enheter kommunicerade direkt över ett lokalt nätverk, ip-adress till ip-adress. De började långsamt skapa en manuell rutin för något som sedan länge varit automatiserat och digitaliserat.

– Hade något frågat innan attacken hade jag sagt att det vi gjorde var omöjligt. Det går inte att köra en it-miljö på det sättet. Vi var i princip nere och jobbade på PLC-nivå (styrsystem inom industrin, reds.anm.) de första veckorna. Det var på ett sätt fantastiskt lärorikt, våra tekniker fick bygga en ny miljö från scratch, säger Thomas Hammarqvist.

I Vetlanda har det funnits aluminiumproduktion sedan 1960-talet. Foto: Sofia Ernerot

Den första tiden jobbade många i personalen långa dagar för att lappa och laga, och bygga upp en lösning som kunde hålla verksamheten levande tills de globala systemen var på plats igen. Ett till synes aldrig sinande arbete.

Läs mer: Sectra bygger några av världens säkraste mobiltelefoner

– Det är en sak att tala om de stora dragen, men något annat när man står där i verkligheten och ser detaljerna som poppar upp varje minut. Märklappar på produkterna, adresser som saknas, felstavade namn på kunder, transporter som inte går att genomföra, högarna med varor som bara växer. Det är miljontals detaljer, något enormt komplext. I ett stort bolag händer saker varje timme, och utan ett system för att hålla koll på allt blir det synnerligen komplicerat efter bara ett litet tag, säger Jonas Bjuhr som är vd för Hydros profilverksamhet i Sverige.

Svensk teknikhandlare gick på knäna

Ett annat svenskt offer för den nya, storskaliga ransomwarevågen är teknikkoncernen Addtech. Den 30 oktober drabbades 80 av teknikhandelskoncernens 130 dotterbolag av en storskalig attack som lamslog verksamheten.

Det tog uppemot två månader innan Addtech, som agerar underleverantör åt många av Sveriges stora industriföretag, var på benen. Först i slutet på december uppgav koncernen att alla dotterbolag åter var ”tillbaka i relativt normal produktion”.

Läs mer: Addtechs it-system fortfarande utslagna efter hackerattack

Angreppet påminner i grova drag om det mot Hydro. Angriparna använde ett bluffmejl för att infektera en dator, och tog sedan god tid på sig att kartlägga bolagets it-infrastruktur.

– Vi vet att angriparna tog sig in via en enskild arbetsstation redan under försommaren. De kom över ett administratörskonto via ett makro i en mejlbilaga, och på så sätt kunde de ta sig vidare in i systemet utan att bli upptäckta. Själva ransomwareprogrammet aktiverade de inte förrän i det allra sista skedet av attacken. Det var en väldigt riktad och medveten attack, skriver Addtechs kommunikationschef Kerstin Danasten i ett mejl.

Attacken beräknas preliminärt ha orsakat skador för runt 150 miljoner kronor. Där ingår både inkomstbortfall till följd av produktions- och leveransproblem och kostnader för att bygga upp en ny och säkrare it-miljö.

– Det återstår mycket arbete fortfarande, men vi ser inte att vi är påverkade på lång sikt. Samtidigt har vi lärt oss väldigt mycket, och vi kommer absolut att berätta mer om våra erfarenheter framöver, skriver Kerstin Danasten.

Addtech vill i nuläget inte säga vilken typ av utpressarvirus de drabbades av utan hänvisar till att det pågår en polisutredning.

– Men vi kan säga så mycket som att vi vet att det handlar om ett kriminellt nätverk med internationella förgreningar, inte en enstaka lokal angripare, meddelar Kerstin Danasten.

”Ett väldigt stort mörkertal”

Det är i övrigt ont om publika exempel på svenska storföretag som drabbats. Men mörkertalet är stort, menar Marcus Murray som är grundare av it-säkerhetsföretaget Truesec. De kallas ofta in nära stora bolag har drabbats av cyberattacker för att återställa system och återupprätta en säker it-miljö.

Bara under 2019 deltog hans bolag i över tio sådana utredningar, men av sekretesskäl får han inte uppge vilka företag som Truesec arbetat för.

– Det finns ett väldigt stort mörkertal, de allra flesta incidenter av den här typen som sker i Sverige kommer inte till allmänhetens kännedom, säger Marcus Murray.

Läs mer: Här är 6 av världens säkraste smarta mobiler

I USA har flera amerikanska delstater och städer, däribland Baltimore, New Orleans och Riviera Beach, fått sina it-system kapade. I delstaten Alabama höll hackare flera sjukhus som gisslan. Attacker som beräknas ha kostat åtskilliga miljarder bara under 2019. Flera av de drabbade städerna ska ha betalat miljonsummor till kriminella för att återfå kontrollen över sina it-miljöer.

Marcus Murray har grundat it-säkerhetsföretaget Truesec. Foto: Truesec

På den här sidan Atlanten finns också ett antal högprofilerade offer för den nya ransomwarevågen. Det franska konsultföretaget Altran Technologies och den belgiska metallproducenten Nyrstar är två kända europeiska exempel från 2019. Men mörkertalet tros vara stort.

”På några månader bygga upp en it-miljö som tog 20 år att skapa”

De första veckorna efter attacken möts krisledningen på Hydro tre gånger om dagen. Totalt sysselsätts företagets it-anställda och ett hundratal externa konsulter med att lappa och laga och bygga upp en säker it-miljö från grunden.

– Det är alle man på däck i ett sådant läge. Flera hundra personer ur it jobbade enbart med att hantera den här krisen i både veckor och månader, berättar säkerhetschefen Torstein Gimnes Are.

Lyckligtvis hade företaget en backuprutin som säkerställde att inga data skulle gå förlorade. Men det är en sak att återställa enstaka kraschade datorer, nu handlade det om tusentals maskiner i många olika länder.

– Krypteringsviruset var bara en liten del av problemet. Efter ett sådant här angrepp måste du bygga upp hela infrastrukturen på nytt, och det medför stora kostnader, säger Torstein Gimnes Are.

– Du måste rensa servrarna, installera om mjukvaran och samtidigt introducera en högre säkerhet. Säkerställa att varje ny server lever upp till våra krav, det är en rigorös process. Det är ett gigantiskt it-projekt.

De första veckorna gick åt till att bygga upp en enkel infrastruktur, för att sedan börja driftsätta systemen som behövdes för verksamheterna.

– Det handlar i princip om att bygga upp en it-miljö som tog 20 år att bygga första gången, men nu skulle det ske på några månader, säger Torstein Gimnes Are.

Läs mer: Så använder Kina ny teknik för total social kontroll

Samtidigt dök nya faror upp. En bieffekt av att Hydro berättat öppet om attacken var en ny våg av bedrägeriförsök.

– Folk ringde och utgav sig för att tillhöra it-helpdesk och bad anställda om kreditkortsnummer eller lösenord. Det blev ett extremt tryck, säger Torstein Gimnes Are.

Det tog åtskilliga månader att återhämta sig från attacken. Först till sommaren började något som liknade ett normalläge infinna sig. Då hade bolaget samtidigt investerat i att öka säkerheten. Samtidigt håller de på att sammanställa lärdomarna från den här krisen.

– Vi måste dra lärdom av hur vi hanterat situationen, och skriva ner vår process så att vi kan öva på den i fredstid. Vi vill vara förberedda nästa gång. För vi är helt övertygade om att det blir en nästa gång, det här var ingen engångshändelse, säger Torstein Gimnes Are.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt