Så kan vågen av cyberattacker spåras till Ryssland

2021-09-06 08:00  

Nästan alla ransomware-attacker kan spåras tillbaka till ryska kriminella nätverk. Dagens internetmaffia kan dra in miljarder på angreppen, och har tydliga kopplingar till ryska staten – ända upp till Putin.

Från Coop till Colonial Pipeline har 2021 varit ett år då ransomware blev ett begrepp i allmänhetens medvetande. Det svenska ordet utpressningsvirus sammanfattar vad det oftast handlar om: skadlig kod som planteras i ett system och krypterar en mängd data. Angriparen kräver sedan betalning för att avkryptera den.

Utvecklingen under de senaste åren har varit tydlig: tillvägagångsättet har professionaliserats och det har blivit vanligare. Attacker sker varje dag, och nästan alla kan spåras till Ryssland, enligt flera experter.

Det är inte alltid bevis som skulle hålla i domstol, men ger ändå tydliga fingervisningar.

– En stark indikation är att grupperingarna i stor utsträckning rekryterar och annonserar på ryska. De vill rekrytera andra ryssar för att minska risken att bli infiltrerade, säger Marcus Murray, grundare av it-säkerhetsbolaget Truesec.

Läs mer: Svenska storbolag håller tyst om cyberattacker: ”Stort mörkertal”

Hur vet man att grupperna är från Ryssland?

En ledtråd kan hittas i koden, som ofta är skriven på ett sätt som gör att den undviker att aktiveras på system med rysk tangentbordsuppsättning. En annan är att aktiviteten minskar under ryska högtider och helger. En tredje är det går att se att viss kod har skrivits i ryska program.

Truesec är långt ifrån ensamma om att spåra ransomware-angreppen till Ryssland. I en uppmärksammad rapport visar analysföretaget Analyst1 attackernas koppling till rysk underättelsetjänst. Men den kanske tydligaste signalen kom från Washington DC, när Joe Biden talade direkt till Vladimir Putin och meddelade att Ryssland kommer att få känna på konsekvensen om attackerna fortsätter.

– När presidenten gör ett sådant uttalande är det för att han har en stark informationsapparat bakom sig. De kan namnge individer som är inblandade och har kopplingar till ryska staten, säger Marcus Murray.

En sådan person är den 34-årige ryssen Maksim Jakubets. Att han är en central figur inom den ryska cybermaffian är solklart, enligt både Truesec och FBI, som har efterlyst honom. Jakubets svärfar är Eduard Benderskij, överstelöjtant i FSB som fångats på bild tillsammans med Vladimir Putin.

Läs mer: Svensk hackare tog över Kongos toppdomän

Det här är Revil – som låg bakom Coop-attacken

Truesec följer regelbundet drygt 20 organisationer som arbetar med ransomware i stor skala. En av dem är Maksim Jakubets Evil Corp.

Mellan grupperingarna är kulturen ganska öppen. Folk rekryteras fram och tillbaka och nätverken utbyter idéer och skadlig kod. Några nätverk skiljer dock ut sig, enligt Truesecs Rysslandsexpert Mattias Wåhlén, som har en bakgrund på FRA:s Rysslandsenhet.

Störst av dem alla är Revil, som anlitar många hackare genom en affiliate-modell. Den går att jämföra med hur taxichaufförer arbetar för Uber. Hackaren tar sig in i ett nätverk, och får sedan den skadliga koden av Revil, som också kräver in betalningen av lösensumman. Efter att nätverket tagit sin andel landar resten av pengarna hos hackaren.

Revil är nätverket som låg bakom angreppet mot Kaseya som bland annat slog ut Coops kassasystem sommaren 2021. I lösensumma ville man ha 70 miljoner dollar, vilket inte betalades ut. Efter all publicitet som attacken genererade gick Revil under jorden, men det betyder inte att de slutat.

– De kommer sannolikt att byta namn och dyka upp i ny skepnad. Att just byta ransomware och namn är ett vanligt sätt att försvåra identifiering av gruppens medlemmar, säger Mattias Wåhlén.

Läs mer: ”Sverige måste satsa mer på cybersäkerhet”

Det här är ransomware-gängen Wizard Spider och Lockbit

Ett annat nätverk som gör stora pengar går under namnet Wizard Spider. De har använt ransomware med olika namn: Ryuk, Conti och nu Diavol.

– De har inga affiliates utan är det största och mest professionella gänget med många anställda hackare. Vi vet inte hur mycket pengar de drar in, men det var i storleksordningen ett par hundra miljoner dollar under 2020, säger Mattias Wåhlén.

Ett tredje intressant nätverk är Lockbit, som nyligen gjorde ett stort angrepp mot konsultfirman Accenture. De har lanserat en egen modell för att ta sig in på företags nätverk.

– Via annonser och sin hemsida meddelar Lockbit att de är villiga att betala miljoner dollar för insiders, som hjälper till att få in skadlig kod på företags nätverk. De kan betala sig förbi hela hackningen genom vanliga anställda på företag, säger Mattias Wåhlén.

Läs mer: Han berättar historien om tidernas värsta cyberattack

Varför finns nätverken i Ryssland?

Bland det 20-tal nätverk som Truesec följer är alla ryska. Att Ryssland blivit så dominerande beror enligt Mattias Wåhlén på en oskriven regel.

– Så länge du inte ger dig på ryska offer låter myndigheterna dig hållas. Kontakterna mellan nätverken och säkerhetstjänsten är ganska täta, säger han.

Varför låter ryska staten de kriminella hållas?

– Om man ser det ur ett strikt ryskt perspektiv: Varför skulle de stoppa dem? Organisationerna skadar bara deras motståndare, och drar in pengar till landet. Vissa grupper säljer också den data de kommer över till underrättelsetjänsten.

De cyberkriminella som efterlysts i andra länder har inte lämnats ut av Ryssland.

– De gör allt för att skydda dem. När kända cyberbrottslingar har gripits utomlands har ryska UD ägnat år åt att stoppa personen från att bli utlämnad till USA, säger Mattias Wåhlén.

Vad måste ske för att lösa problemet?

– Min uppfattning är att man på något vis måste se till att det kostar politiskt för Ryssland att se mellan fingrarna med, eller till och med profitera på, brott. USA börjar protestera litegrann, men hela västvärlden måste följa med och ställa krav på Ryssland.

Henning Eklund

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt