GDPR Illustration

Ta del av våra användarvillkor

Med dataskyddsförordningen GDPR (General Data Protection Regulation) har vi uppdaterat våra användarvillkor så att det framgår vilka uppgifter vi samlar in från dig – och vad vi använder dem till. När du besöker våra webbplatser och appar samlar vi in uppgifter från dig för att förbättra din användarupplevelse. Det inkluderar även vilka annonser vi visar för dig.

Coops hackare försvunna från nätet

De hackare som stängde Coop har försvunnit.
Ekonomi • Publicerad 31 juli 2021
Attacken stängde nästan alla Coops 800 butiker under it-attacken. Arkivbild.
Attacken stängde nästan alla Coops 800 butiker under it-attacken. Arkivbild.
Foto: Ali Lorestani/TT

På kvällen den 2 juli stängde hackergruppen Revil ner Coops kassasystem i flera dagar. Hackarna hade lyckats ta sig in hos Kaseya, ett it-företag i Florida i USA med hundratals kunder över hela världen, som Coop köpt kassasystem av.

Coops system var krypterade och låsta och bara hackergruppen Revil kunde låsa upp dem – mot betalning.

– Kaseya kände till att deras system var sårbart och höll faktiskt på att fixa det. Men hackarna hann före, säger Robert Lagerström, som är forskare och lärare inom cybersäkerhet.

Han, hans kollegor och deras studenter hackar företag på uppdrag från företagen själva för att hitta sårbarheter innan oetiska hackare hinner dit.

Krävde miljoner

Revil, även känt som Sodinokibi, krävde motsvarande cirka 600 miljoner kronor i bitcoin för att låsa upp företagens it-system. Många vd:ar fick brottas med frågan om de skulle betala eller inte.

Svenska Coop säger sig inte ha betalat någon lösesumma. Myndigheten för samhällsskydd och beredskap (MSB) avråder från att betala.

"Det finns inga garantier att system återställs eller filer dekrypteras efter betalning", skriver MSB i ett mejl till TT.

Hela 1 500 företag råkade illa ut i attacken. Många vägrade betala. Vissa betalade och fick i gång systemen igen. En tredje grupp på minst tre stora företag råkade mer illa ut, skriver affärssajten Bloomberg: de betalade, men utan resultat. Och sedan den 13 juli är Revil försvunna.

Revil brukade kommunicera med sina offer på haltande engelska via sin sajt med det sarkastiska namnet Happy Blog, men den är borta.

– Deras servrar ligger nere och sajten är nedsläckt, säger Robert Lagerström.

Revil försvann alltså innan gruppen hunnit klämma alla sina offer på pengar.

De företag som betalat via Happy Blog var då av med både sin lösesumma och sina it-system.

Tio dagar senare var dock saken löst när Kaseya meddelade att de fått en krypteringsnyckel, alltså programvara som kunde låsa upp systemen. Kaseya hade fått nyckeln av "en betrodd tredje part" – oklart vem.

Troligen rysk

För Robert Lagerström lämnar attacken en lång rad frågetecken.

– Vi vet inte säkert att Revil är ryskt även om allt tyder på det. Deras metoder och programkoder påminner om hack från tidigare ryska grupper och de angriper inte företag inom den gamla Sovjetunionen, inklusive Ryssland. Vi vet inte heller om Revil i så fall är en fristående grupp eller en del av den ryska staten.

Om Revil är ryskt är det möjligt att ryska staten stoppat attacken, enligt Robert Lagerström. Den 9 juli, bara fyra dagar innan Revil försvann, ringde USA:s president Joe Biden till Rysslands president Vladimir Putin och sade att han räknade med att Ryssland skulle agera. Om inte Ryssland släckte gruppens servrar skulle USA göra det.

– Det är mycket möjligt att det är så det gått till.

Den betrodda tredje parten skulle i så fall vara kunna vara amerikanska polisen FBI.

Hackergrupper har försvunnit förut och återuppstått igen. Revil kan vara borta – eller bara tagit en paus. Robert Lagerströms slutsatser: betala inte, det göder bara organiserad brottslighet. Och räkna med fler attacker.

– Jag förstår att en del företag betalar när de har att välja på att betala eller att deras företag går omkull. Vi måste tyvärr bereda oss på fler attacker mot it-leverantörer som Kaseya med många kunder. Hela branschen måste ta sig en funderare nu, säger han.

Fakta: Revil-attacken

På kvällen den 2 juli slutar kassorna på Coop att fungera.

I Sverige drabbas också Apotek Hjärtat, bensinkedjan St1 och tågbolaget SJ av störningar. Ytterligare cirka 1 500 företag jorden runt attackeras via programvara från it-företaget Kaseya i Florida i USA.

Hackarna kräver motsvarande 400 000–4 000 000 kronor i lösen. Stora företag krävs på större summor. Coop vägrar betala.

Den 9 juli talar president Biden med president Putin på telefon.

Den 13 juli försvinner Revil.

Den 22 juli meddelar Kaseya att företaget har en dekrypteringsnyckel.

TT
Så här jobbar Ystads Allehanda med journalistik Uppgifter som publiceras ska vara korrekta och relevanta. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik.