IT-attack – så funkar det

Maskerade och hotfulla. Hackergrupper som angriper organisationers IT-system begär ofta stora lösensummor för att lämna tillbaka kontrollen. Foto: Kasia Derenda/Unsplash.

20 januari 2024 cyberattackerades ett av företaget Tietoevrys datacenter, något som fick konsekvenser för både privata organisationer och myndigheter i Sverige. Såväl biografers kassasystem som personal- och lönesystem slogs ut i attacken, och det är i dagsläget oklart vilka personuppgifter som kan ha läckt ut.

Vi bad Fredrik Blix och Stefan Axelsson som båda är forskare på Institutionen för data- och systemvetenskap (DSV) att reda ut vad som har hänt – och hur hotbilden ser ut framöver. Enligt uppgifter från Tietoevry har företaget utsatts för en så kallad ransomwareattack. Med det menas att angriparen som har gett sig på IT-systemet har begärt en lösensumma. Först när summan är betald får företaget tillbaka kontrollen över sina system.

Hur funkar egentligen en IT-attack av det här slaget?

Fredrik Blix, universitetslektor på DSV. Foto: Niklas Björling.

FREDRIK: ”Det går till så att angriparen tar sig in IT-miljön manuellt eller helt automatiserat. Ofta finns en teknisk sårbarhet, en felkonfigurering av något slag, eller så luras en medarbetare att släppa in angriparen i sin dator. Väl inne i systemet etablerar sig angriparen genom att identifiera fler IT-system på det interna nätverket, och loggar in via tekniska sårbarheter, felkonfigureringar eller lösenord som kommits över på den första datorn. Ett mål är att hitta och ta över eventuella säkerhetskopieringssystem. Allt det här kan ta några sekunder eller några veckor, beroende på vilka aktörer, mål och metoder som är aktuella.

När IT-system och säkerhetskopior är kartlagda krypteras information på alla påverkade system samtidigt. Krypteringen gör informationen – dokument, filer och inställningar i applikationer – oläsbar för både människor och datorer. När systemen är obrukbara blir effekten att den drabbade verksamheten inte kan skötas på vanligt sätt. För att få tillbaka kontrollen över systemen krävs verksamheten på en lösensumma som ska betalas i någon kryptovaluta – lätt att skicka men svår att spåra.

Själva betalningen och distributionen av den hemliga kryptonyckeln som låser upp systemen sköts ofta av en centraliserad ”kundtjänst” som angriparen har anlitat. Det finns ibland möjlighet att förhandla ned summan och kanske till och med få en riktig faktura genom mellanhänder som specialiserar sig på detta. I vissa fall lyfter angriparen ut information för att kunna läcka den på Internet om den drabbade verksamheten inte vill betala lösensumman. Dessvärre betalar många, vilket gör att detta kommer fortsätta.”

Stefan Axelsson, professor på DSV. Foto: Richard Kihlström.

STEFAN: ”Jag kan bara lägga till att krypteringen sker ’i smyg’. Med det menar jag att angriparen lägger in skadlig programvara som dekrypterar informationen när din dator läser den, därför märker du som användare inte att mer och mer information i själva verket krypteras. När angriparen anser sig vara ’färdig’ stängs dekrypteringsfunktionen av, och då kan du inte längre läsa dina data.”

Hur vanligt är det med IT-attacker och vilka summor rör det sig om?

STEFAN: ”Det finns inga riktigt tillförlitliga siffror, men jag har hört att ungefär 60 procent av alla drabbade organisationer betalar lösensumman. De som betalar brukar bli drabbade igen eftersom ryktet sprider sig i angriparkretsar. Utpressning där man hotar med att publicera data har också ökat den senaste tiden.

Sedan ska man inte glömma att i cyberangrepp mellan stater, eller motsvarande aktörer, gömmer man sig ibland bakom en ransomwareattack. Det kan alltså se ut och fungera som en ransomwareattack, men angriparen har ingen avsikt att ge dig tillgång till dina data och system igen även om du betalar. Syftet var nämligen cyberkrigföring, inte att tjäna pengar på cyberbrottslighet. Men att hävda cyberbrott gör att det blir svårare att peka fingret mot den aktör som i själva verket håller på med cyberkrigföring.”

Det finns ett mörkertal eftersom många som drabbas inte skyltar med att de betalar

FREDRIK: ”Det finns som sagt inga säkra siffror. Det händer att den drabbades IT-leverantör betalar om det är leverantörens fel att attacken kom till. Det händer även att mellanhänder betalar på olika sätt. Det finns bedömare som menar att ungefär var tredje betalar, och då brukar det ske i det tysta. Av dem som betalar får cirka två tredjedelar faktiskt tillbaka kontrollen över sina system.

Att lösa och städa efter en attack kostar enligt vissa bedömare i storleksordningen 20 miljoner kronor. I andra fall är det dyrare, som i Coop-fallet för ett par år sedan där kostnaderna landade på runt en kvarts miljard kronor. Ungefär hälften av alla verksamheter har drabbats av någon form av ransomewareattacker. I kronor räknat är kostnaden för dessa attacker globalt cirka 3 000 000 000 000 – alltså 3 000 miljarder”.

STEFAN: ”OK, vad intressant. Då har vi sett lite olika siffror. Vi kan väl sammanfatta med att det finns ett mörkertal eftersom många som drabbas inte skyltar med att de betalar. Det skulle innebära en PR-förlust – eller förlust av riktiga pengar om vi pratar om bank- och finansvärlden. Man brukar säga att ’reputation loss’ i bankvärlden är 10 gånger mer än vad man förlorar på själva bedrägeriet eller angreppet. Där håller man med andra ord tyst!”

Kostnaderna för IT-attacken som drabbade Coop 2021 beräknas till en kvarts miljard kronor. Foto: Gamma-Man/Mostphotos.

Enligt Tietoevry jobbar experter dygnet runt för att lösa problemen, men det kan ta veckor. Varför tar det så lång tid?

FREDRIK: ”I det aktuella fallet handlar det om många kunder och många system. Förmodligen har man någon form av omutbar backup, så att det teoretiskt är möjligt att återställa de flesta systemen – åtminstone till en tidigare tidpunkt. Men när det ska ske med så många system samtidigt är det extremt tidsödande. Det finns förmodligen flaskhalsar både vad gäller tekniska system och kompetens, just för att det är så mycket som ska göras samtidigt.

När systemen är återställda från säkerhetskopior måste man verifiera att angriparen inte är inne i systemet längre, och inte heller kan ta sig in där. Det är tidskrävande i sig. Samtidigt behöver man åtgärda de återställda systemens brister så att liknande intrång inte sker igen. Det är extremt klurigt att göra allt detta så att det inte dyker upp nya problem efter några veckor. Det räcker ju med att angriparen har en liten programsnutt någonstans som ligger redo att startas automatiskt, så kan det hela vara i gång. Jag har stor respekt för dem som har kompetensen att städa upp efter sådana här angrepp.”

STEFAN: ”Och vi ska inte glömma att många backuper visar sig vara värdelösa när det kommer till att återställa. Det saknas delar som man inte har tänkt på när många system är kopplade till varandra, och man har förmodligen inte testat skarpt att faktiskt återställa. Dessutom behöver man återskapa systemet så att det går att läsa in från backup igen, något som inte heller är självklart. Det kan vara mycket som behöver byggas upp på nytt igen. Det kompliceras av att beskrivningar av hur systemet faktiskt fungerar ofta saknas. Man kan ha missat att uppdatera dem, eller så har kompetent personal slutat.

Det finns gamla siffror från USA som säger att av de företag som tvingades återställa från backup efter ett större systemhaveri gick hälften i konkurs inom ett år. Det blir en sådan oerhörd chock i systemet att organisationen inte hämtar sig.”

Akira verkar ligga bakom den aktuella attacken. Vilka är de, och vad är motivet?

FREDRIK: ”Akira är en hackergrupp med ryskt ursprung som tidigare var inriktad på små och medelstora företag, men som nyligen har bytt till större mål som stora IT-leverantörer. Akira har även visat stort intresse för myndigheter och genomför inte bara ransomewareattacker. Sedan oktober 2023 genomför de också rena utpressningsattacker där de stjäl information och hotar att tillgängliggöra den på internet om den drabbade inte betalar. Det största motivet för Akira verkar vara finansiellt.”

STEFAN: ”Här är det intressant att påpeka att många av de stora cyberkrigsaktörerna – Ryssland framför allt – har gått ifrån att ha egna styrkor som kan genomföra den här typen av angrepp. I stället hyr man in ’legosoldater’ när man vill ha något gjort. De här hackergrupperna existerar redan med regimens goda minne. De måste betala mutor till rätt personer för att inte åka in, och hålla koll så att de inte angriper verksamheter där de som bestämmer har ekonomiska intressen. Innan kriget i Ukraina hittade man så kallad malware som inte körde om datorn hade ryskt, vitryskt eller ukrainskt tangentbord. Det gäller att inte bita den hand som spöar skiten ur en... Steget var inte långt till att bara behålla beställarkompetensen och använda de här grupperingarna när man behöver. Grupperna sköter och finansierar sig ju själva i mellantiden, man behöver inte ha dem slåendes dank i ’kasernen’ mellan uppdragen.”

Cyberattacker är numera ett viktigt inslag i krig och konflikter

Går det att skydda sig mot den här typen av attacker? Är företag generellt dåligt rustade?

FREDRIK: ”Det viktigaste skyddet är att hela tiden vara på tårna och skydda IT-systemen med hjälp av rätt inställningar och säkerhetsuppdateringar. Medarbetare måste utbildas så att de kan detektera försök till angrepp i form av phishing-attacker och liknande. Det är inte enbart så att företag är dåligt rustade: Angriparna har också blivit smartare och besitter stora brottsvinster sedan tidigare. De kan lägga extremt mycket resurser på att ta sig in i en stor IT-leverantör som i det aktuella fallet. Men rent generellt behöver vi en uppryckning av cybersäkerheten i svenska organisationer.”

STEFAN: ”Javisst. Vi har redan mer eller mindre bra rutiner och tekniker för det – men de kostar pengar. Och själva idén med att hyra tjänster av IT-leverantörer var ju att komma billigare undan… Betalningsviljan finns inte, som jag ser det. Det är precis som att tågen slutar gå om det är kallt på vintern – ingen vill betala vad det kostar. Det är inte för inte som man talar om procent av BNP när det gäller pengar till landets försvar. Det skulle här kunna översättas med procent av omsättningen. Det är den typen av investeringar som krävs.

Det finns dock branscher som är bättre. Du hör sällan om den här typen av angrepp inom bankvärlden, och det är inte bara för att de är bra på att hålla tyst. Det handlar också om att de verkar i en bransch med tydlig och lättbegriplig hotbild: Alla vill stjäla pengar från banker. Därför ligger deras IT- och informationssäkerhet 20–30 år före många andra branscher. Banker är duktiga på risk och säkerhet. De har behövt vara det i några hundra år vid det här laget.

Ett annat problem är att det är svårt att ta betalt för säkerhet eftersom kunden inte förstår vad det är den får. Det är svårt för leverantören att bevisa att de levererar 50 procent bättre säkerhet än någon annan, vad nu det ens skulle betyda.”

Hur ser framtiden ut – kommer attackerna bli fler?

FREDRIK: ”Jag bedömer att det kommer att förvärras så länge det går att tjäna lätta pengar. Man borde överväga att kriminalisera betalning av utpressningssumman till brottslingarna, så att de väljer andra mål. Cyberattacker är numera ett viktigt inslag i krig och konflikter, så vi kommer få se mer av sådant i världen – där motivet inte är finansiellt utan geopolitiskt.”

STEFAN: 1991 blev det olagligt att betala lösensumma vid kidnappningar i Italien. Man gick så långt att man fryste de drabbades finansiella tillgångar. Så tanken som sådan är inte helt ny. Men jag tror att innan vi kommer dit så kan vi se en liten uppskärpning med ökande kostnader som följd.”

Kontaktuppgifter till Fredrik Blix

Kontaktuppgifter till Stefan Axelsson

Läs om forskning och utbildning på Institutionen för data- och systemvetenskap (DSV)

 

Så blir du mer cybersäker

Foto: Cristian Tarzi/Unsplash.

När en stor IT-leverantör attackeras är det inte mycket du som privatperson kan göra för att skydda dig. Men i din digitala vardag finns några saker att tänka på. Fredrik Blix listar de fem viktigaste.

1. Byt router. Ring din internetleverantör och skaffa en ny router som säkerhetsuppdateras automatiskt. När den nya kommer, gå igenom inställningsguiden för att sätta ett säkert lösenord för ditt trådlösa internet. Byt namn på det trådlösa från ”Svenssons” till något som inte kan förknippas med dig.

2. Byt lösenord. Inte ens din kärlek ska ha ditt lösenord, det är personligt – det är bara du som ska ha det. Byt till ett bra och säkert lösenord som du kan komma ihåg. Man behöver inte byta lösenord regelbundet – det blir bara svårt att komma ihåg då. Om du inte orkar hålla reda på flera lösenord, dela upp det så att känsliga tjänster har ett visst lösen och okänsliga ett annat.

3. Använd lösenordshanterare. I webbläsaren finns en lösenordshanterare – använd den, det är smidigt. Använd också ansiktsigenkänning eller fingeravtryck, det är säkrare än tangentbord som kan lyssnas av.

4. Kryptera datorn. Se till att datorn har ”brandväggen” påslagen, det är ett program som styr vilken trafik till internet som är tillåten. Se också till att data lagras krypterat på hårddisken, det ingår i dag på de flesta datorerna och kan slås på. Då skyddar du dig om du blir av med datorn, så kan ingen ta del av innehållet utan att de kan ditt lösenord. När datorn senare raderas och installeras om, går det inte heller att återskapa din information.

5. Tänk efter före. Var försiktig när du klickar på länkar, uppger ditt lösenord eller installerar något program eller app. Det finns ingen spärr på internet som gör det omöjligt att skicka e-post som ser ut att komma en kollega. Mejlet kan vara ett intrångsförsök. Är du osäker, ring upp personen som står som avsändare.

Text: Åse Karlén