Kriminella har förhållandevis riskfri utpressningsverksamhet, där de kan vara i ett land, datorer i ett annat land, den som blir utpressad i ett tredje land. Dessutom de som verkligen finns bakom kanske är i ett fjärde land och syns aldrig i dessa härvor.
Berörd börsbolag: ”Det finns enorma krafter i arbete” Hoten mot svenska företag växer i takt med att ryska cybernätverk lånar ut sina hackverktyg till underjorden. Inte ens företagsjättar kommer undan den nya generationen utpressare.
Verksamheten är dock tyst om problemet
– och de attackerade företagen undviker kontakt med polisen. ”Vår strategi är att inte prata. Om vi gör detta kommer vi att attackeras igen”, säger en representant för det berörda börsbolaget.
Jesper Larsson, tillhör Sveriges elit när det kommer till avancerade dataintrång. ”Det jag ska visa dig är otroligt enkelt. Om du är en del av ett kriminellt gäng som har tröttnat på att sälja droger i förorten behöver du bara hitta någon med rätt kunskap, säger han.
Jesper Larsson visar hur enkelt det är att köpa en verktygslåda för att bekämpa cyberbrottslighet på Darknet.
Inom några minuter hittar han en leverantör. Vanligtvis hjälper Jesper Larsson företag att hitta sårbarheter i sina IT-system. ”Det är ungefär som ett block av cyberbrott.
Du kan få alla tjänster, från smitta med virus till penningtvätt”, säger Jesper Larsson och pekar på skärmen. Ögat skannar textraderna och stannar vid en nypublicerad annons.
”Här kan vi hyra ett ransomware-kit som stöder Windows och Mac. Leverantören lovar att den kan kringgå de fem bästa antivirusprogrammen.” Ransomware är skadlig kod designad för utpressning.
Detta är vad som erbjuds i utbyte mot kryptovaluta. ”Hyran” i det här fallet är $2 000, vilket motsvarar 22 000 SEK per månad. ”Då får du tillgång till hela den cyberbrottsspecifika verktygslådan.
Leverantören lovar också ständiga uppdateringar, så att du vet att den alltid fungerar. Dessutom finns en supporttjänst tillgänglig om man kör fast”, fortsätter Jesper Larsson. ”Det är lite som att köpa Office. Men helt olagligt så fort du börjar använda den.
Det som länge var en sluten värld dominerad av anonyma grupper av hackare har på några år förvandlats till en lättillgänglig marknad för cyberkriminella jättar. Denna förändring öppnar oöverträffade möjligheter för kriminella som letar efter nya inkomstkällor.
Cyberbrottsutpressning är en ”bransch” som beräknas generera motsvarande 10 miljarder kronor i år. Ransomware as a service, eller RaaS, är en ny nisch inom internationell cyberbrottslighet som involverar kriminella nätverk av hackare som tillhandahåller betalningsverktyg för digital brottslighet.
•Namnet syftar på Software as a service, SaaS affärsmodell, vilket innebär att IT-företag säljer prenumerationer på licensierad programvara.
2023 tros bli ett mörkt år när det gäller cyberbrottslighet och utpressningsattacker mot företag. Redan i sommar beräknas de totala brottsliga intäkterna ha nått ungefär samma nivå som hela 2022, enligt Chainalytic, ett analytiskt företag som har insyn i kryptovalutatransaktioner.
September visade sig vara den värsta månaden på länge.
• Om trenden håller i sig kommer cybernätverk att tjäna motsvarande cirka 10 miljarder kronor i slutet av året.
Ett stort antal kriminella cybernätverk har gått över till samma affärsmodell som många mjukvaruföretag: de hyr sina tjänster per månad. Istället för att bara starta sina egna attacker har nätverk lanserat betalplattformar som hjälper andra att starta fullskaliga IT-attacker.
På engelska kallas detta ransomware as a service, eller RaaS för kort. Ett av många företag som berörs är den svensk-schweiziska industrikoncernen ABB. I maj i år avbröts en del av ABB:s IT-system och följande meddelande dök upp: ”Ditt nätverk är krypterat av Black Basta-gruppen.
” Black Basta är ett av de cybernätverk som har anammat RaaS-modellen. Det hjälpte inte att ABB hade gjort betydande investeringar i cybersäkerhet. Black Basta har överlistat gruppens säkerhetssystem och kräver nu pengar.
”ABB har fastställt att en obehörig tredje part fick åtkomst till vissa ABB-system, använde icke-självförökande ransomware och extraherade viss data”, meddelade företaget utan att avslöja om en lösensumma hade betalats. Fyra månader senare vägrar ABB fortfarande att svara på vad som hände.
Men en chef på ett av Sveriges ledande cybersäkerhetsföretag säger att ABB kan ha underskattat kända varningssignaler. ”Vi såg denna virusvåg för en månad sedan och har arbetat hårt för att förbereda våra kunder. ABB hade uppenbarligen inte den kapacitet som krävdes vid den tiden.
De har tusentals datorer, så det är inte lätt att skydda allt.” ABB är inte ensamma om att förbli tyst mot cybermaffian. Några veckor senare hackas flygbolaget SAS och kräver motsvarande 100 miljoner kronor.
Kommunikationsdirektör Karin Nyman svarar inte ”Vår strategi är att inte prata. Om vi gör detta kommer vi att bli attackerade igen. Det är enorma krafter i omlopp.” Även trots löftet om total anonymitet är rädslan utbredd.
DI har frågat över 400 svenska börsbolag om deras erfarenheter – utan att behöva avslöja företagsnamnen – svarar bara ett tjugotal. Kriminalinspektör Björn Eriksson uppmanar företag att anmäla brott, särskilt de som betalat lösen.
”Då kommer vi att kunna spåra förövarna genom att följa pengarna.” Kriminalinspektör Björn Eriksson uppmanar företag att anmäla brott, särskilt de som betalat lösen. ”Då kan vi spåra förövarna genom att följa pengarna.
Nästan lika ovanligt är polisanmälan av offer. Enligt Noas nationella operativa avdelning rapporteras inte mer än 5 procent av alla ransomware-attacker.
”Vi har fått in 49 ärenden hittills i år. Men enligt våra uppskattningar är det verkliga antalet över 1 200″, säger Björn Eriksson, chef för enheten ”Complex Cyber Threats”. Brott som begåtts med RaaS-tjänster dominerar anmälningarna. ”Ofta köper gärningsmän flera tjänster samtidigt, vilket stärker deras kriminella förmåga.
” Avvado, Blackcat, C10p, Lockbit, Darkside, Medusa och Play – listan över aktiva cybernätverk är lång. Att slå dem är dock svårt för Björn Eriksson och hans kollegor. Ingen av de 35 förundersökningar som pågår hösten 2023 beräknas leda till åtal i Sverige.
Ofta leder spåren till Ryssland eller andra länder som inte samarbetar med Sverige. – Å andra sidan deltar vi ofta i pågående internationella operationer.
Tillsammans med andra länder löser vi pussel, samordnar arbetsuppgifter och attackerar servrar och hjälpare i länder där vi har tillgång till dem, säger Björn Eriksson.
I januari i år fick en handfull svenska företag bevis på hur effektivt internationellt samarbete kan vara. De och cirka 1 500 andra runt om i världen hackades av det ryska cybernätverket Hive.
Men då drog bland andra Europol, amerikanska FBI och polisen i Sverige igång en gemensam insats. ”Bordsbekämpande myndigheter hittade dekrypteringsnycklar och distribuerade dem till många offer, vilket hjälpte dem att återfå tillgång till sina uppgifter utan att betala”, sa Europol senare.
LÄMNA KOMMENTAR