Välkommen, du har tillgång till Premium-materialet via ett samarbete med Telia Zone!

Hackarna som pressar börsbolagen

2020-02-07 07:14
Foto: SPL / IBL Bildbyrå

Utpressarvirus har gått från en plåga för de breda massorna till riktade angrepp mot börsbolag. Enskilda attacker har orsakat skador för flera hundratals miljoner kronor.

Angreppet startade strax efter midnatt den 19 mars 2019. It-driften på den norska industrikoncernen Hydro, en av världens största aluminiumproducenter, upptäckte att flera servrar i företagets globala nätverk plötsligt slutade fungera.

Hydro hade blivit det senaste i en lång rad offer för cyberbrottslingar som utför riktade utpressningsattacker mot stora bolag såväl som offentlig sektor. För aluminiumjätten blev skadorna monumentala: attackerna beräknas ha kostat bolaget uppåt 650 miljoner kronor.

Ett annat svenskt offer för den nya storskaliga ransomwarevågen är teknikkoncernen Addtech. Den 30 oktober i fjol drabbades 80 av teknikhandelskoncernens 130 dotterbolag av en storskalig attack som lamslog hela verksamheten. Det tog uppemot två månader innan Addtech, som agerar underleverantör åt många av Sveriges stora industriföretag, var på benen. Först i slutet på december uppgav Addtech att alla deras bolag åter var ”tillbaka i relativt normal produktion”.

Attacken beräknas preliminärt ha orsakat skador för runt 150 miljoner kronor. Där ingår både inkomstbortfall till följd av produktions- och leveransproblem och kostnader för att bygga upp en ny och säkrare it-miljö. Nu säger Kerstin Danasten, kommunikationsansvarig på Addtech, att det fortfarande återstår mycket arbete.

Under 2015 drog en ny våg av cyberattacker fram över Sverige. När ransomwarevågen var som störst, under mitten av 2017, utgjorde utpressarvirusen 68 procent av all skadlig kod som skickades via mejl, enligt e-postsäkerhetsföretaget Proofpoint.

Men sedan dess har utvecklingen vänt radikalt. Enligt samma källa utgör ransomware i dag mindre än en procent av all skadlig kod som skickas via mejl.

Ändå fortsätter utpressningsvirusen att orsaka skada och kosta pengar. Fast i en helt annan skala än tidigare.

– Den volym attackerna fick under 2017 och 2018 var så stor att aktörerna bakom dem inte hann administrera alla längre. Vad de egentligen gjorde då, var att ändra taktik och bli mer riktade i sina angrepp, säger Fredrik Möller som är Sverigechef på Proofpoint.

De gick från breda mejlkampanjer till skräddarsydda attacker riktade mot storbolag.

Det är ont om publika exempel på svenska storföretag som drabbats. Men mörkertalet är stort, menar Marcus Murray som är grundare av it-säkerhetsföretaget Truesec. De kallas ofta in när stora bolag har drabbats av cyberattacker för att återställa system och återupprätta en säker it-miljö.

Bara under 2019 deltog hans bolag i över tio sådana utredningar, men av sekretesskäl får han inte uppge vilka företag som Truesec arbetat för.

– Det finns ett väldigt stort mörkertal. De allra flesta incidenter av den här typen som sker i Sverige kommer inte till allmänhetens kännedom, säger Marcus Murray.

De första veckorna efter attacken möttes krisledningen på Hydro tre gånger om dagen. Totalt sysselsattes företagets it-anställda och ett hundratal externa konsulter med att lappa och laga och bygga upp en säker it-miljö från grunden.

– Det är alle man på däck i ett sådant läge. Flera hundra personer ur it jobbade enbart med att hantera den här krisen i både veckor och månader, berättar säkerhetschefen Torstein Gimnes Are.

Lyckligtvis hade företaget en backuprutin som säkerställde att ingen data skulle gå förlorad. Men det är en sak att återställa enstaka kraschade datorer; nu handlade det om tusentals maskiner i många olika länder.

– Krypteringsviruset var bara en liten del av problemet. Efter ett sådant här angrepp måste du bygga upp hela infrastrukturen på nytt, och det medför stora kostnader, säger Torstein Gimnes Are.

– Du måste rensa servrarna, installera om mjukvaran och samtidigt introducera en högre säkerhet. Säkerställa att varje ny server lever upp till våra krav, det är en rigorös process. Det är ett gigantiskt it-projekt.

De första veckorna gick åt till att bygga upp en enkel infrastruktur, för att sedan börja driftsätta systemen som behövdes för verksamheterna.

– Det handlar i princip om att bygga upp en it-miljö som tog 20 år att bygga första gången, men nu skulle det ske på några månader, säger Torstein Gimnes Are.

Samtidigt dök nya faror upp. En bieffekt av att Hydro berättat öppet om attacken var en ny våg av bedrägeriförsök.

– Folk ringde och utgav sig för att tillhöra it-helpdesk och bad anställda om kreditkortsnummer eller lösenord. Det blev ett extremt tryck, säger Torstein Gimnes Are.

Det tog åtskilliga månader att återhämta sig från attacken. Först till sommaren började något som liknade ett normalläge infinna sig. Då hade bolaget också investerat i att öka säkerheten. Samtidigt håller de på att sammanställa lärdomarna från den här krisen.

– Vi måste dra lärdom av hur vi hanterat situationen, och skriva ner vår process så att vi kan öva på den i fredstid. Vi vill vara förberedda nästa gång. För vi är helt övertygade om att det blir en nästa gång. Det här var ingen engångshändelse, säger Torstein Gimnes Are.

Detta är en kortversion av Hackarna som tar industrin som gisslan. Prenumeranter kan logga in och läsa hela artikeln här.

Simon Campanello

Mest läst

Premiumnyheter

Aktuellt inom