Ransomware: Utpressningsvirus slår ut miljardbolag

0
65


Det började med ett falskt mejl. Falskt, men nästintill omöjligt att skilja från ett äkta. 

Fyra månader senare skulle ett av Norges största företag lamslås av en it-attack. Den skulle ta månader att avhjälpa. Kostnaderna skulle uppgå till hundratals miljoner kronor. Bolaget var aluminiumtillverkaren Norsk Hydro, en industribjässe i Sandviks storlek och attacken var en typ av angrepp med utpressningsvirus, riktade mot storföretag och myndigheter. 

Idén är i grunden okomplicerad: Hacka ett storföretag. Kryptera alla dess filer. Kräv en lösensumma för att avkryptera dem.

Låter det bekant? I flera år har liknande utpressningsvirus riktats mot privatpersoner, som råkar klicka på en länk och förtvivlat får se bröllopsfilmer och privata fotoalbum tas som gisslan. När målen är koncerner med miljardomsättning, då blir insatserna högre.

För Norsk Hydro startade det alltså med ett mejl. Falsk e-post är ett vanligt sätt att lura en mottagare att klicka på en länk eller att ladda hem en infekterad fil. Den brukar dock gå att avslöja, om man är uppmärksam. Men nu var det annorlunda. Angriparen hade inte fejkat en avsändare, utan hackat hela mejlservern så denne – eller om det var en hel grupp – kunde skicka äkta mejl mellan anställda. 

Inte nog med det, det ödesdigra meddelandet smögs in mitt i en konversation mellan två anställda. De hade alltså redan utväxlat flera mejl, och vips så kom ännu ett, till synes normalt men som lurade mottagaren att infektera sin dator med ett virusliknande program.

 

I kartläggningen av attacken har det blivit känt som den ursprungliga infektionen.

– Den första infektionen upptäcktes inte av något antivirusprogram, säger Torstein Gimnes Are, chef för informationssäkerhet på Norsk Hydro, när DN möter honom vid ett Stockholmsbesök.

Det kan betyda att just denna dator var dåligt uppdaterad. Men det kan också vara ett tecken på att hackarna hade kännedom om ett unikt säkerhetshål som ingen annan känner till, det som i it-säkerhetskretsar brukar kallas en zero day. I så fall skulle det tyda på att angriparna var mycket sofistikerade, med stora resurser.

Klart är att denna första infekterade dator blev en språngbräda. Därifrån hackades dator efter dator och server efter server. Metodiskt och diskret arbetade angriparna vidare över nätverket och etablerade kontroll.

Systematiskt arbetade de sig vidare och för varje ny del av nätverket de tog kontroll över installerade de verktyg för att söka efter sårbara system. Men på varje maskin de kunde installerade de också ett utpressningsvirus, färdigt att kryptera hårddisken på ett givet kommando.

Torstein Gimnes Are, chef för informationssäkerhet på Norsk Hydro.

Foto: Anders Vindegg

I tre månader undgick angriparna att upptäckas. Sedan, vid midnatt den 19 mars 2019, slog de till. Utpressningsvirusets kryptering aktiverades och på ett ögonblick blev 2.700 datorer och 500 servrar obrukbara.

Stora delar av Norsk Hydros verksamhet upphörde. Tidigt på morgonen togs beslutet – alla system som kunde stängas av skulle stängas av. Ett första sms gick ut till personer på viktiga chefsposter: ”Vi har utsatts för ett massivt cyberangrepp”, inleddes det. 

Nu behövde 35.000 anställda i 40 länder kontaktas så ingen hann koppla in ytterligare datorer på nätverket och riskera att smittan spreds vidare. Och det behövde gå snabbt. Synd bara att it-systemen låg nere. När de anställda kom till jobbet några timmar senare möttes de av handskrivna plakat: ”Hydro er under cyber-angrep”, lydde ett sådant vid en norsk anläggning.

160 av Hydros anläggningar över hela världen påverkades. De var av alla sorter: Gruvor i Amazonas där företaget hittar sina råvaror. Vattenkraftverk som förser den energislukande aluminiumproduktionen med elektricitet. Fabrikerna där själva tillverkningen sker.

Tillverkningen kunde i vissa fall fortsätta, men bara tack vare att viss information fanns utskriven på papper. Anställda beskriver det som att jobba i ”blindo”, men det gjorde den ekonomiska skadan något mindre.

”Hydro er under cyber-angrep”

En effekt sätter fingret på hur globaliserat ett företag som Hydro är: Två dagar efter attacken skulle 6.000 gruvarbetare i Brasilien få sina löner. Deras system för lönehantering hade svepts med i attacken och efter det som hade hänt litade bankerna inte på någon kommunikation från Hydro.

Attacken mot Norsk Hydro var sällsynt omfattande. Men samtidigt var den inte unik. Det senaste året har mängder av företag, myndigheter och inte minst sjukhus slagits ut på liknande sätt. Riktade attacker har tagit filer gisslan och företaget har krävts på betalning i den elektroniska valutan bitcoin för att få dem tillbaka, vilket gör det svårt eller omöjligt att spåra vem som till slut tar pengarna.

Staden Atlanta i USA var bland de värst drabbade. Så sent som i våras slogs Baltimore ut. Listan är lång, och innehåller både privata företag och offentliga institutioner. Hur mycket pengar de krävs på varierar. I vissa fall några tiotusentals dollar, i andra fall mer – upp till ett par miljoner dollar, eller tiotals miljoner kronor. 

Det finns inga kända exempel på riktade utpressningsattacker mot svenska företag eller myndigheter, även om många har dragits med i tidigare vågor av utpressningsvirus som sprids till alla de kommer åt. 

It-säkerhetsexperter beskriver det som ett skifte. Från attackerna mot privatpersoners datorer som var så vanliga för några år sedan, till de riktade angreppen mot storföretag. It-säkerhetsföretaget Crowdstrike har myntat ett särskilt begrepp för det: Big game hunting, storviltsjakt. 

FBI har noterat samma utveckling. ”Sedan början av 2018 har breda, urskillningslösa attacker med utpressningsvirus minskat dramatiskt”, skriver polisen i en varning men konstaterar samtidigt att ”förlusterna har ökat signifikant”. I klartext: Färre drabbas, men när det väl händer så blir skadorna större. Helt enkelt för att offren är större.

Hur många som betalar lösensumman går inte att säga. Sannolikt betalar vissa, men håller det hemligt. Trots det finns vissa indikationer, och en slutsats är given: Personerna bakom de stora angreppen har tjänat enorma pengar. 

Redan innan Hydro drabbades hade USA pekat ut två iranska män som, enligt amerikanska justitiedepartementet, ligger bakom Samsam, ett annat utpressningsvirus. En 34-åring och en en 27-åring åtalades, i sin frånvaro eftersom de tros ha utfört attacken från Iran och fortfarande befinna sig där. Men enligt åtalet slog de två till mot kommuner, myndigheter och inte minst sjukhus i USA – sammanlagt över 200 offer. Effekterna blev högst verkliga. 

Ett sjukhus i Kalifornien tvingades be patienter vända i dörren. I Atlanta lamslogs domstolar och myndighetsfunktioner. Förtjänst: sex miljoner dollar. Men enligt åtalet orsakade de skador för fem gånger så mycket: 30 miljoner dollar, nära 300 miljoner kronor. 

Norsk Hydro beräknar att attacken har kostat dem ungefär dubbelt så mycket, 600 miljoner norska kronor. Produktionsbortfall, kostnader för att återskapa säkerhetskopior och röka ut angriparna från nätverket.

”Våra etiska riktlinjer är att inte ha någon dialog med angriparna om någon lösensumma.”

Man måste ställa frågan: Hade det inte varit rationellt att bara betala? Nej, svarar säkerhetschefen Torstein Gimnes Are. Enligt honom vet inte ens Hydro hur mycket koncernen krävdes på. Någon sådan kontakt togs aldrig.

– Det ligger i vår etik och företagskultur. Våra etiska riktlinjer är att inte ha någon dialog med angriparna om någon lösensumma.

Hade ni sparat pengar genom att betala?

– Nja, vi hade ändå behövt bygga upp hela it-infrastrukturen på nytt. Att betala lösensumman hade inte hjälpt oss med det. 

Men om ett annat företag drabbas, ser hur mycket ni förlorade och blir sugna på att betala – vad kan du säga åt dem?

– Jag vill vara tydlig: Man ska ändå inte betala. Dels av etiska skäl, vi ska inte finansiera de kriminella. Men de måste också tänka på att även om de får tillbaka sina data så har de inte fått kontroll på sina system. 

”Att få kontroll” är här ingen liten sak. För även om lösensumman skulle låsa upp krypteringen är inte problemet löst på långa vägar. Om sofistikerade hackare har tagit kontroll över tusentals datorer måste allt gås igenom, städas, säkras och inkräktarna rökas ut. Annars är det enkelt för dem att slå till igen.

Det skulle dröja nästan tre månader innan Hydro var helt färdiga med återställningen. Först i juni kunde man helt andas ut. Det var de sista administrativa systemen som fixades sist. Själva produktionen hade då flutit på en längre tid. Att avbrottet inte blev längre kan tillskrivas två anledningar: Dels att angriparna aldrig lyckades hacka maskinerna som står för själva tillverkningen, ”bara” datorer och servrar. 

Dels en anställd i en annan del av Europa, på fabriken i belgiska Lichtervelde. En person som aldrig riktigt hade litat på den digitala tekniken. En person som bara timmar före attacken omsorgsfullt hade printat vartenda dokument som skulle kunna komma att behövas, och satt in dem i en pärm. 

En person som plötsligt satt på mer information än någon i det fullkomligt hackade företaget. Någon som Torstein Gimnes Are nu hänvisar till som hjälte. 

– Han gillar papper bara.

Läs mer:

Ryska hackare tros ha kapat iranska hackare – attackerade över 35 länder

Misstänkt dataintrång mot statens lönesystem



Source link