Coophacket: Svensk polis har kört fast

Hackerangreppet mot Coop kan vara den största utpressningsattack som drabbat Sverige – men svensk polis kommer inte Ă„t angriparna. Samtidigt ökar attackerna. I dag finns ett 40-tal kriminella hackergrupper internationellt.

Hackergrupperna lyckas dra in enorma summor pengar pÄ utpressning. Arkivbild.

Hackergrupperna lyckas dra in enorma summor pengar pÄ utpressning. Arkivbild.

Foto: Thomas Winje Øijord/NTB/TT

Cyberbrott2021-11-06 09:10
Anja Haglund/TT

– Utvecklingen Ă€r vĂ€ldigt oroande, sĂ€ger Marcus Murray, grundare av cybersĂ€kerhetsföretaget Truesec.

Ett stort antal svenska företag polisanmÀlde att de drabbats av den stora hackerattacken som slog ut Coop i somras. Det hÀr Àr en typ av cyberbrottslighet som ökat enormt de senaste Ären.

Polisen uppmanar utsatta att anmÀla. Men frÄgan Àr vad polisen kan göra? I fallet med Coop kan polisen nu, nÄgra mÄnader efter attacken, konstatera att man inte kommer lÀngre i sin utredning.

– Vi har ett drygt 50-tal svenska förundersökningar som vi har utrett samtliga. Alla spĂ„r leder till gĂ€rningspersoner som sannolikt finns i utlandet. SĂ„ i nulĂ€get gör vi bedömningen att nĂ„got Ă„tal sannolikt inte kommer att kunna vĂ€ckas i Sverige, sĂ€ger Björn Eriksson, gruppchef pĂ„ nationellt it-brottscentrum.

40-tal aktiva grupper

Bakom angreppet lÄg hackergruppen Revil, som kopplats till Ryssland, som krÀvde en stor summa i lösen för att lÄsa upp krypteringen.

– Det Ă€r naturligtvis trĂ„kigt att polisen inte har kapacitet och förmĂ„ga att driva polisutredningar som kan lagföra utlĂ€ndska hotaktörer som begĂ„r brott i Sverige, sĂ€ger Marcus Murray.

– Men för att ta polisen lite i försvar: Varför har de inte den kapaciteten och förmĂ„gan? En anledning Ă€r att vĂ€ldigt mĂ„nga organisationer som drabbas av den hĂ€r brottsligheten inte polisanmĂ€ler. DĂ„ kommer brotten inte in i statistiken och dĂ„ kommer politiska beslut inte tas för att tillsĂ€tta mer resurser.

SÄ kallade utpressnings- eller ransomware-attacker har pÄ kort tid blivit ett stort problem. Runt om i vÀrlden finns i dag ett 40-tal aktiva kriminella hackergrupper, enligt Jonas Lejon, it-sÀkerhetsexpert som jobbat med bland annat kryptering i mÄnga Är.

– MĂ„nga av de hĂ€r grupperingarna samarbetar med varandra och Ă„teranvĂ€nder varandras material. De flesta Ă€r baserade i lĂ€nder som Ryssland och Ukraina. En anledning Ă€r att myndigheterna ser mellan fingrarna pĂ„ de hĂ€r attackerna och att man inte lagför cyberbrottslighet lika hĂ„rt, sĂ€ger han.

En slags "fristÀder" för cyberbrottslingar alltsÄ.

"OtÀnkbart för nÄgra Är sen"

OrovÀckande Àr enligt Marcus Murray ocksÄ att hackergrupperna utvecklat nya metoder för slÄ bredare och skada fler.

– Förr angrep man företag ett i taget – nu kan man angripa vĂ€ldigt mĂ„nga. I Coop-fallet hittade man ett sĂ€tt att angripa uppemot 1 500 företag samtidigt. Det Ă€r siffror som var helt otĂ€nkbara för nĂ„gra Ă„r sedan, sĂ€ger han.

Polisen ser samtidigt hur attackerna blir alltmer aggressiva.

– Den senaste tiden har angriparna kanske inte fĂ„tt ut lika mycket av att bara kryptera enheter och filer, utan dĂ„ stjĂ€l man ocksĂ„ informationen och hotar att lĂ€gga ut den. Det har vi sett den senaste tiden att det blir en dubbel utpressning, sĂ€ger Björn Eriksson.

Ett problem Àr att svenska företag ofta gÄr med pÄ att betala, sÀger han. Enligt uppgifter frÄn it-sÀkerhetsföretagen betalar runt 80 procent av företagen hela eller delar av lösesumman.

– TyvĂ€rr pekar det mot att Sverige Ă€r ett land som ofta betalar. Och företag som valt att betala tidigare löper högre risk att bli attackerade igen, sĂ€ger Björn Eriksson.

Revil slogs ut

Även om den svenska utredningen kring Coop-attacken inte kommer lĂ€ngre fortsĂ€tter jakten pĂ„ hackarna, understryker han.

– Parallellt med den svenska förundersökningen har svensk polis delat viss information om bland annat tillvĂ€gagĂ„ngssĂ€tt med polissamarbetspartners utomlands. Internationellt fortsĂ€tter arbetet att komma Ă„t den kriminella grupp som lĂ„g bakom attacken.

För bara nÄgon vecka sedan uppgav amerikanska myndigheter att man gjort en "hack back", och slagit ut Revils servrar.

Det Àr nÄgot som blivit vanligare under de senaste Ären, enligt it-sÀkerhetsexpert Jonas Lejon.

– Man tar till alla medel för att komma Ă„t dem. Att hacka sig in pĂ„ deras servrar, utreda vem som ligger bakom och Ă€ven strypa deras tillgĂ„ngar ekonomiskt – dĂ€r har myndigheterna varit vĂ€ldigt framgĂ„ngsrika.

– Det har ju blivit ett stort ramaskri frĂ„n de hĂ€r grupperna som tycker att det Ă€r omoraliskt att de blir hackade av myndigheterna.

Upp pÄ toppnivÄ

Men enligt Marcus Murray riskerar detta bara att bli en katt-och-rÄtta-lek.

– LĂ„ngsiktigt handlar det om att sĂ€tta press pĂ„ dem som inte vill samarbeta, och det gör man politiskt genom sanktioner och liknande. Efter Coop-incidenten talade (USA:s president) Biden direkt med (Rysslands president) Putin, sĂ„ spelet har redan börjat. Det börjar bli sĂ„ pass stor samhĂ€llsskada av it-attackerna att man förstĂ„tt att man mĂ„ste ta upp det hĂ€r pĂ„ högsta nivĂ„, sĂ€ger Murray.

Bakgrund: Attacken mot Coop

PÄ kvÀllen den 2 juli slutade kassorna pÄ Coop att fungera. Fler Àn 700 matbutiker tvingades hÄlla stÀngt i en knapp vecka.

I Sverige drabbades ocksĂ„ Apotek HjĂ€rtat, bensinkedjan St1 och tĂ„gbolaget SJ av störningar. Ytterligare cirka 1 500 företag jorden runt attackerades via programvara frĂ„n it-företaget Kaseya i Florida i USA.

Hackarna krĂ€vde motsvarande 400 000–4 000 000 kronor i lösen. Stora företag krĂ€vdes pĂ„ större summor. Coop vĂ€grade betala.

Den kriminella hackergruppen Revil (förkortning av Ransomware Evil) tog pÄ sig attacken. Gruppen bedöms vara kopplad till Ryssland.

Nyligen försvann Revil frÄn nÀtet. FBI uppges ha "hackat hackarna".

Revil ligger bakom fler cyberattacker, bland annat mot Colonial Pipeline (som sköter driften av USA:s största oljeledning), vÀrldens största köttproducent JBS, samt Quanta, en taiwanesisk underleverantör till Apple.

SĂ„ jobbar vi med nyheter  LĂ€s mer hĂ€r!
LĂ€s mer om
Brott & Straff
Sverige
SJ
Apple