Som ett Uber för hackare – nytt rekordår för ransomware

2021-10-27 15:11  

Coop blev ansiktet utåt för utpressningsvirus, men är bara ett i mängden av drabbade bolag. Attackerna blir både fler och hackarna allt mer professionella. ”Det är ingen peak, det bara ökar”, säger säkerhetsexperten Marcus Murray.

Det var tidigt på fredagskvällen den andra juli när it-avdelningen på Coop upptäckte att något hade hänt. Vid halv sju-tiden började systemen som övervakar de runt 800 butikerna runt om i landet visa att antalet transaktioner störtdök.  

Samtidigt blev den interna supportlinjen nerringd av butiksanställda som alla larmade om samma sak: kassasystemen ligger nere.  

– Signalerna om att något gått fel kom från många håll, konstaterar Coops it-chef Liselotte Andersson. 

Coops it-chef Liselotte Andersson.   Foto: Coop

Hon hade själv hunnit ta helg när notiserna om att något hade hänt började fylla mobilskärmen. Inom kort stod några saker klara. Det var en attack, den största delen av butikskedjan var drabbad –och drygt 700 butiker hade inget annat val än att stänga.  

– Det var redan från början tydligt att det här var mycket större än något vi någonsin råkat ut för. Många butiker stod helt still. Det är en situation som aldrig inträffat förut, säger Liselotte Andersson. 

Den där fredagen i juli blev Coop ett av många företag som under 2021 fallit offer för ransomware, eller utpressningsvirus som det ibland kallas på svenska. 

Började i liten skala

När ransomware som fenomen dök upp på radarn för en handfull år sedan var det ett otyg i liten skala. Det spreds via spammejl och infekterade i regel enskilda datorer eller mindre nätverk. Hackarnas virus krypterade fotona på barnen, eller viktiga dokument hos småföretagare. 

Den som inte hade gjort en ordentlig backup stod i valet och kvalet mellan att betala utpressarna eller bli av med sina minnen eller affärskritiska handlingar.  

År för år har attackerna sedan blivit fler i antal, hackarna allt mer professionella och måltavlorna allt större. I Sverige har vi de senaste åren sett hur storföretag som Gunnebo, Norsk Hydro och Addtech råkat illa ut.  

– Det är ingen peak just nu. Utvecklingen har bara gått i en riktning, det har ökat. Vi har gjort över 135 komplexa cyberutredningar i samma storleksordning som Coop bara i år. Förra året gjorde vi 30-40 stycken. Det är en skrämmande ökning, och det är ofta stora företag som drabbas, säger Marcus Murray som grundat it-säkerhetsföretaget Truesec.

Marcus Murray är grundare av it-säkerhetsföretaget Truesec. Foto: Truesec

Att 2021 blir ett nytt rekordår verkar redan vara ett faktum. I Sverige har Polisen fått in 259 anmälningar om ransomwareattacker hittills i år, jämfört med 159 anmälningar under hela förra året. Då anses dessutom mörkertalet vara enormt.  

Samtidigt ökar intäkterna för gängen bakom angreppen. Bara under årets första sex månader drog de största ransomware-aktörerna in minst 590 miljoner dollar, dryga 5 miljarder kronor, från sina offer. Det visar en ny rapport från USA:s finanspolis Fincen som kartlagt bitcoin-transaktioner från och till hackerligorna.  

Om utvecklingen fortsätter i samma takt under resten av året kommer hackergrupperna som utför ransomwareattacker att ha tjänat mer pengar 2021 än de gjort de senaste tio åren sammantaget, slår rapporten fast. 

Spåren leder till Ryssland

För Coops del blev livsmedelskedjan ett av många offer i en omfattande global cyberattack. En rysk hackergrupp som kallar sig för Revil hade installerat ett ransomware på datorerna och servrarna som körde livsmedelkedjans kassasystem.  

Runt 700 av kedjans 800 butiker drabbades. Att några klarade sig beror på Coops struktur. Varje konsumentförening väljer om de vill köpa in sina egna it-lösningar, eller ansluta sig till de centrala. När det kommer till systemen som hanterar kassorna hade merparten av föreningarna valt det sistnämnda. 

Systemen som användes för att köra kassorna och vågarna i butikerna levererades av it-bolaget Visma Esscom. Det handlar om över 5 000 kassor och hundratals servrar som försvann i ett slag.

Foto: SOPA Images

För att hantera, felsöka och uppdatera en sådan mängd datorer behövs verktyg för att kunna fjärrstyra dem. I det här fallet använda Visma Esscom en lösning som kallas VSA och säljs av det amerikanska bolaget Kaseya.  

Och det är där problemet började.  

Coop valde direkt att gå ut och berätta öppet om cyberattacken. Men matvarukedjan var långtifrån ensamt om att drabbas. Samma hackare hade planterat skadlig kod hos över 1 000 företag som använder Kaseyas system. Den där fredagskvällen utlöste de viruset på datorer världen över.

Infekterade en miljon datorer

Ett hundratal förskolor på Nya Zeeland, ett rumänskt sjukhus, en amerikansk småstad, och ett nederländskt it-konsultföretag är några av de som gick samma öde till mötes. Här i Sverige drabbades också bland annat bensinmackar från ST1, Apoteket Hjärtat och Plantagen av angreppet, eftersom även de använder sig av betallösningar från Vissma Esscom.  

Det är några av de få fall som blivit kända för allmänheten, men betydligt fler bolag har valt att hålla tyst om att de utsattes för angrepp den där fredagen i juli.  

Revil själva hävdar att de totalt infekterade över en miljon datorer den andra juli. Hackergruppen krävde senare 70 miljoner dollar i bitcoin för att avbryta angreppet och hjälpa till att låsa upp de drabbade datorerna.  

När en världsomspännande cyberattack utlöses utbryter förstås förvirring kring vad som inträffat. Först kom spekulationer om att Kaseya själva blivit hackade, och att någon planterat skadlig kod via uppdateringar. Ungefär som fallet med amerikanska Solarwinds i slutet av förra året.  

Truesec, som utredde attacken åt flera av de drabbade företagen, kunde dock dementera detta. När de började titta närmare på angreppet kunde de konstatera att hackarna hittat och utnyttjat en hittills okänd sårbarhet i fjärrstyrningsverktyget VSA. En så kallad zero-day.  

– Vi kunde se att angriparen använde sig av befintliga sårbarheter i programvaran. Den hade nästan förvånansvärt låg säkerhetsnivå med tanke på vad den används till, säger Marcus Murray. 

Som Uber för hackare

För att förstå omfattningen av angreppet behöver man känna till lite mer om Revil, hackergruppen som låg bakom attacken.  

Om din bild av hackare är en ensam tonåring framför datorn är det dags att tänka om. Revil opererar som ett etablerat techföretag. De är en av grupperingarna som går i bräschen för vad som kommit att kallas ransomware-as-a-service. Ett begrepp som flörtar med it-branschens software-as-a-service (SaaS), alltså att sälja mjukvara som en kontinuerlig tjänst.  

Precis som Microsofts säljer abonnemang för Office 365 eller Salesforce erbjuder säljstöd till en månadskostnad, saluför Revil en hel teknikplattform för att genomföra ransomwareattacker.  

– Det fungerar lite som hur en Uber-chaufför kan ansluta sig till Uber. Det har gjort att gruppen kunnat skala upp och genomföra fler attacker mot fler organisationer, säger Marcus Murray. 

En hackare som ansluter sig till Revils plattform ansvarar själv för att hitta säkerhetshål hos företag, och kan sedan plantera in Revils ransomwarevirus. Därifrån tar hackergruppen över och hanterar kommunikationen med offret. De har en kundserviceliknande support där de kan hjälpa drabbade företag att exempelvis förstå hur de ska genomföra bitcoin-transaktioner och låsa upp sina filer med krypteringsnycklar.  

Sedan splittar Revil intäkterna med de frilansande hackarna. 

Tog veckor att återställa systemen

På Coop blev angreppet den andra juli början på en hektisk vecka.  

– Under det första dygnet kunde vi konstatera orsaken och få kontroll på spridningen, berättar Liselotte Andersson. 

Sedan återstod det mödosamma arbetet med att återställa alla de tusentals datorer som körde kassasystemet ute i butikerna. Problemet var bara att det inte gick att göra på distans. 

– Vårt normala återställningsarbete är att använda Kaseya, så vi behövde hitta ett annat sätt. Backuplösningen blev att göra ominstallationer av kassorna på plats i butikerna, säger Liselotte Andersson.

Fredagen den andra juli tvingades runt 700 av Coops butiker att stänga efter ett globalt hackerangrepp Foto: Ali Lorestani/TT

En armé av tekniker skickades ut till de 700 drabbade butikerna. Under den kommande veckan kunde butik efter butik öppna upp igen i takt med att kassorna återställdes. 

En lycklig omständighet var att Coop redan hade utvecklat ett alternativt betalsystem internt. Det är en app som kallas för Scan & Pay. Där kan kunderna själva scanna varorna med mobilen och betala direkt i appen.  

– Det är en helt molnbaserad lösning som vi testat i ett antal butiker, men inom ett dygn från attacken kunde vi rulla ut den till 300 butiker. Det var helt avgörande för att de skulle kunna öppna, säger Liselotte Andersson. 

Totalt tog det runt tre veckor för Coop, Truesec och livsmedelskedjans leverantörer att helt återställa alla system.  

Under de veckorna fick attacken ringar på vattnet. USA:s president Joe Biden ringde upp sin ryska motsvarighet Vladimir Putin för att uttrycka sitt missnöje över att Ryssland låter inhemska hackergrupper ha fritt spelrum. 

Samtidigt gick Revil under jorden. Det har spekulerats i att hackergruppen fick åthutningar från Kreml.  

Vad som verkar vara klarlagt är åtminstone att FBI på något vis lyckades komma över Revils krypteringsnycklar. Washington Post skriver att amerikansk säkerhetstjänst planerade en motattack mot Revil, men att hackergruppen hann försvinna innan någon sådan kunde genomföras. 

Den 21 juli lämnade FBI över krypteringsnycklarna till Kaseya. Men vid det laget hade de flesta av de drabbade kunderna redan återställt sina system med hjälp av backuplösningar.

De största attackerna känner vi inte till

Attacken mot Coops har kallats en av de största som drabbat Sverige. Marcus Murray menar att det finns betydligt värre angrepp, ur ett ekonomiskt perspektiv. Men kanske är det den cyberattack som berört flest av oss på ett mer personligt plan.  

– Det som är intressant med Coop-fallet är att det är den attack som träffat det svenska folkets medvetande mest. Men det är inte den attack som haft största konsekvenser eller haft största påverkan på svensk ekonomi, det är ofta attacker som allmänheten aldrig får höra talas om, säger han. 

För Coops del har attacken gjort att säkerhet kommit ännu högre upp på agendan. Liselotte Andersson säger att bolaget redan sedan tidigare var förberett på attacker, att personalen genomfört utbildningar och gjort riskövningar.  

Hon tror också att en så pass synlig attack, som påtagligt påverkade en bred allmänhet som inte längre kunde handla i Coops butiker, gör att fler förstår hur viktigt det är att värna om it-säkerhet.  

– It-säkerhet var redan en central fråga för oss, nu är den ännu mer central, säger hon.  

I mitten på oktober togs utpressningsvirus upp på högsta ort. Representanter från EU och ett 30-tal länder, däribland Sverige, samlades i Vita huset för att diskutera det växande problemet med ransomware. Några konkreta beslut blev det inte, men likväl ett konstaterande om att det nya cyberhotet är ett internationellt och växande orosmoln. 

FBI slår tillbaka

Och Revil då? Efter att ha legat lågt i två månader dök gruppen plötsligt upp igen i september. Det blev, vad vi vet, inga nya angrepp på samma skala som Kaseya. Det största kända målet är den Hong Kong-baserade pr-firman Fimmick som drabbades i början av oktober. 

Bara ett par veckor senare lade Revil ånyo ner sina vapen. Den här gången är det kanske för gott.  

Den här gången hade någon slagit ut de hemsidor som gänget använt för att kommunicera med sina offer och ta emot betalningar. Inom kort kom uppgifter om att det var tal om ett motangrepp.

Oljeföretaget Colonial Pipeline, här anläggning i Linden, New Jersey. Foto: Debra L Rothenberg

Det verkar som att USA tröttnat på Revil, som förutom Kaseya-hacket också låg bakom en tidigare attack mot oljeföretaget Colonial Pipeline. Den här gången hann FBI, i samarbete med säkerhetstjänst från andra länder, genomföra ett eget cyberangrepp mot Revil och lyckades ta kontroll över vissa av hackergruppens servrar, uppger anonyma källor för nyhetsbyrån Reuters

”Våra servrar har komprometterats, och de letade efter mig. Lycka till allihop, jag sticker”, skrev en ett konto som påstås tillhöra Revils ledare på ett hackerforum kort därefter.   

Även om Revil verkar uträknade, åtminstone för stunden, finns många andra ransomwaregrupper som kan fylla tomrummet de lämnar efter sig. Så länge det är lönsamt att genomföra den här typen av cyberangrepp kommer de av allt att döma att fortsätta.  

– Förr i tiden letade hackare efter pengar, och vi talade om banktrojaner och sådant. Men de har förstått att det finns en annan valuta som är mycket lättare att få tag i, det är tillgänglighet. I vårt samhälle ska allt gå snabbt, och tillgänglighet är ett stort värde. Kan man använda ett ransomware för att stjäla den tillgängligheten, då kan man ta betalt för att lämna tillbaka den, säger Marcus Murray. 

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt