nrk.no

Politi og politikere slår tilbake mot løsepengevirus

Kategori: Samfunn

En fotomontasje av to politimenn foran en data, USAs president foran sitt podie, en dataskjerm som følger datasignaler på et stort verdenskart og en plakat som varsler at en Coop-butikk er stengt pga et dataangrep.
Fotomontasje: Kripos/Susan Walsh(AP)/Yun Dong-jin/Yonhap(AP)/Jonas Ekströmer/TT(AP)/NRKbeta

Myndigheter over hele verden samarbeider nå i en klappjakt på kriminelle som driver digital utpressing.

Det siste året har USA blitt rammet av flere dataangrep med store konsekvenser.

Da oljeledningen Colonial Pipeline ble angrepet i mai, førte det til bensinmangel på USAs østkyst. Angrepet på slakterikjeden JBS samme måned, førte til at over 3000 amerikanske ansatte ble sendt hjem.

I sommer ble også det amerikanske nettverks-selskapet Kaseya rammet, noe som fikk ringvirkninger over hele verden og førte til at Coop måtte stenge hundrevis av butikker i Sverige.

USA er derfor et av flere land som har sett seg grundig lei på organiserte kriminelle som angriper virksomheter med løsepengevirus.

Med et løsepengevirus tar en angriper kontroll over alle filene på en datamaskin, og krever penger av ofrene for å åpne dem igjen.

Det har vært lukrativt for de kriminelle: Colonial Pipeline er et av selskapene som ga etter, og betalte nærmere 40 millioner kroner i løsepenger.

Slår tilbake

Som en konsekvens av disse og flere andre dataangrep har USA deltatt i flere aksjoner denne høsten.

Reuters meldte i slutten av oktober at USA var et av landene som brøt seg inn i og overtok deler av datasystemene til den profilerte hackergruppen REvil.

FBI tok også kontroll over flere millioner dollar i kryptovaluta, som skal stamme fra utpressing ved hjelp av løsepengevirus.

I tillegg har det amerikanske utenriksdepartementet nylig utlyst en dusør på nærmere 85 millioner kroner for informasjon som identifiserer medlemmer av hackergruppen DarkSide, som ifølge FBI skal ha tilhold i Russland.

Den britiske kringkasteren BBC omtalte i midten av november hvordan flere russiske statsborgere som er ettersøkt av FBI for datakriminalitet som løsepengevirus, tilsynelatende lever frie og luksuriøse liv i Russland.

USA har også samlet 30 land, inkludert Sverige, til felles front mot løsepengevirus. Det skjer gjennom samarbeidet «Counter-Ransomware Initiative», som Russland og Kina ikke er del av. Heller ikke Norge, enn så lenge.

– Vi har med interesse notert det pågående samarbeidet om denne tematikken og vil se nærmere på om dette er et samarbeid det kan være aktuelt for oss å tiltre, sier statssekretær Erik Sandsmark Idsøe i Justis- og beredskapsdepartementet til NRK.

USAs president Joe Biden står foran et podie og flere amerikanske flagg.
President Joe Biden kunngjorde i oktober et internasjonalt samarbeid mot løsepengevirus. Arkivfoto fra en annen anledning: Adam Schultz/Det hvite hus

Norsk politi sentrale etter Hydro-angrep

Denne høsten har også europeisk politi slått til mot mistenkte datakriminelle over hele kontinentet.

I slutten av oktober gikk de til aksjon mot 12 mennesker i Ukraina og Sveits, med støtte fra norsk politi og flere andre land. De anslår at denne gruppens kriminalitet har over 1800 ofre i 71 land.

I november aksjonerte de mot flere antatte medlemmer av hackergruppen REvil, den samme som USA har utlyst dusør på.

– Vår deltagelse i aksjonene springer ut fra Hydro-angrepet, som vi har etterforsket siden mars 2019, sier Håvard Aalmo til NRK. Aalmo leder seksjon for datakriminalitet ved Kripos.

En mann med politiuniform ser mot kamera.
Håvard Aalmo leder seksjon for datakriminalitet i Kripos. Foto: Politiet

Hydro-angrepet er det mest kjente løsepengevirus-angrepet i Norge, og førte til at selskapet i 2019 fikk store problemer og tapte flere hundre millioner kroner.

– Vår etterforskning og aksjoner bidrar til å avdekke informasjon som både kan og har avverget andre angrep, forteller Aalmo.

Etterforskningen av angrepet på Hydro har ført til at Norge har fått en viktig rolle i det europeiske politisamarbeidet mot denne typen kriminalitet.

Et skilt i Hydros resepsjon hvor det står "Hydro er under cyberangrep. Ikke koble PC til nettverk før ny beskjed."
Et skilt advarer ansatte om å koble til Hydros nettverk. Arkivfoto: Gwladys Fouche/Reuters

Politiet opplyser at opprettelsen av Nasjonalt cyberkrimsenter i 2019 og tettere internasjonalt samarbeid er blant årsakene til at de bekjemper organisert datakriminaliteten mer effektivt nå enn de gjorde tidligere.

Vanskelig å kartlegge, mener ekspert

– Det er mange aktører og vanskelig å kartlegge dem. Selv om politiet slår tilbake mot noen, er det fortsatt mange av dem, sier Erik Alexander Løkken.

Løkken er leder for sikkerhetstjenester i det norske sikkerhetsselskapet Mnemonic.

En mann sitter foran en stor skjerm som viser et digitalt nettverk.
Erik Alexander Løkken, leder for sikkerhetstjenester i det norske sikkerhetsselskapet Mnemonic. Foto: Øyvind Bye Skille / NRK

– Jeg tror dette vil ha en positiv effekt, men spørsmålet er om det er tilstrekkelig, sier Løkken.

Han forteller at det har blitt flere angrep de siste årene, og at de kriminelle begynner å bli mer profesjonelle.

– At myndighetene fokuserer på slike trusler kan gi bedre lovgivning og mer ressurser til å bekjempe angrep.

Advarer mot nye angrep

I en fersk rapport skriver Nasjonal sikkerhetsmyndighet (NSM) at det er svært høy risiko for at norske virksomheter vil utsettes for løsepengevirus med omfattende konsekvenser i løpet av 2022.

NSM opplyser at de registrerte tre ganger så mange alvorlige hendelser i 2020 som i 2019.

Også Europol lanserte i slutten av november en ny trusselvurdering av organisert kriminalitet, hvor det framgår at løsepengevirus fortsatt er et omfattende problem.

Fotomontasje med to rapporter. En fra NSM, en annen fra Europol.
Ferske rapporter fra inn- og utland omtaler løsepengevirus. Illustrasjon: NSM/Europol/NRKbeta

Alvorlige angrep rammer også Europa

Det nevnte angrepet på det amerikanske nettverksselskapet Kaseya førte altså til at Coop måtte stenge hundrevis av dagligvarebutikker i Sverige i sommer, fordi betalingsløsningen fra det amerikanske selskapet var utilgjengelig.

I slutten av oktober måtte den tyske bildel-produsenten Eberspächer stenge flere fabrikker etter å ha blitt rammet av et løsepenge-virus.

Flere ansatte fikk vite at fabrikken var stengt gjennom WhatsApp-meldinger fra kolleger fordi bedriftens datasystemer var nede og etter få dager fikk over 1000 ansatte utbetalt lønnskompensasjon av tyske myndigheter.

– Betaling av løsepenger, tapt omsetning for virksomheter som rammes og kostnader for gjenoppretting av data utgjør til sammen enorme beløp. Dette er en viktig kriminalitetstype vi fokuserer på, sier Aalmo ved Kripos

Ifølge statssekretær Erik Sandsmark Idsøe har regjeringen som mål å styrke dette arbeidet.

– Kriminalitet i det digitale rom er et prioritert område i Hurdalsplattformen, og det er et viktig mål for regjeringen å styrke kapasiteten til å bekjempe cyberkriminalitet.

8 kommentarer

  1. At løsepengevirus kan lykkes noen ganger … Javel. Men så mange ganger, og hos så (presumptivt) «seriøse» organisasjoner, det er vanskelig å forstå.

    Det vil si: Når jeg ser hvor store problemer selv de som arbeider i databransjen ser ut til å ha med å akseptere at normen alltid må være at du har total offline og offsite backup, og at du tar inkrementell backup, helst kontinuerlig (som i en database-logg) men minst daglig, og at denne tas offline / offsite daglig … Masse datafolk hyler og skriker ved tanken på at backupen ikke er tilgjengelig online. Eller over at en ansatt har som en av sine daglige oppgaver å flytte et lagringsmedium med dagens inkrement til et lager et annet sted i byen.

    Selvsagt: Med daglig (/nattlig) inkrementell backup kan fortsatt inntil en dags oppdateringer gå tapt. Ved kontinuerlig inkrementell oppdatering dreier det seg gjerne om enkeltfiler.

    Alle som har rekonstruert en database fra siste total-snapshot og etterfølgende databaselogger vet at det kan ta tid, men likevel: Du har ikke tapt noen data! Tar du total-snapshot med kortere intervaller, blir etterfølgende logger tilsvarende raskere å prosessere.

    Dessuten burde seriøse institusjoner være bevisst hva som er ‘endelige’ utgaver som overhodet ikke skal endres, men lagres på en slik måte at det ikke er teknisk mulig å overskrive dem. I gamle dager kunne slike data brennes på DVD-ROM. Med dagens datavolumer er det helt uaktuelt, men det er en triviell sak å sette opp en filtjener som kun akseptere lese-forespørsler og oppretting av nye filer, men ikke åpning av eksisterende filer for skriving. Read-Only-filer behøver ikke total-snapshottes mer enn én gang, og det er uansett umulig for et løsepengevirus å kryptere dem.

    De historiene vi hører handler ikke om maskiner som kjører på 110% kapasitet for å gjenopprette databaser og filer, men at informasjon har gått tapt – blitt utilgjengelig. Det forteller meg at backup stadig er et like forsømt kapittel som det har vært de siste femti år.

    Jeg blir iblant litt kynisk, og tenker: You asked for it, You got it.

    (Det gjelder forøvrig ikke bare løsepengevirus, men også folk som mister data på grunn av brann, oversvømmelse, innbrudd/tyveri, maskinhavari og vilkårlig annen skade på datautstyret.)

    Svar på denne kommentaren

    • Jon Rasmussen (svar til keal)

      Det du skriver er i bund og grund ganske indlysende og det forekommer mig besynderligt at dataansvarlige i det ganske land ikke har erkendt det for længe siden.

    • Steinar Mathiesen (svar til keal)

      Dessverre er nok forklaringen at beredskap koster og gjør en jobben skikkelig, skjer det ikke noe galt.
      Når ulykken er ute, er det armer og bein og mulighet til å vise handlekraft. Alle har hørt den om at det finnes ikke problemer bare muligheter.
      Omtrent som da pandemien slo til og sykehusene døren med «just in time»logistikk.

  2. Øystein Halling

    IT-revolusjonen har ført til eksplosivt voksende infrastruktur og kompleksitet, som gjør alt stadig mer sårbart. Det blir stadig vanskeligere å sikre seg mot angrep (og feil i systemene). Nå er f.eks Bank-ID nede igjen. Banktjenester, telefoni, styring av strøm og vannforsyning og alt annet er totalt avhengig av IT – og angrep og svikt i IT-systemene skjer stadig oftere. Hvor lenge kan dette holde på før vi må angre bittert på at vi ikke har folk som kan gjøre dette manuelt? Finnes det i det hele tatt manuelle backup-systemer i tilfelle styring av strøm, vann, helsetjenester blir hacket? Hvis ikke er det på tide å få det. Noe for sikkerhetsmyndighetene?

    Svar på denne kommentaren

    • I «gamle dager» hadde vi ikke infrastruktur som kunne svikte 🙂 Jeg har venner i Finnmark som forteller at når uværet trekker opp, får de parafinlyktene klar, om strømmen skulle forsvinne, og fyller opp et par bøtter med vann, om vannet skulle forsvinne. De har tørrmat, om strømbruddet varer så lenge at fryser og kjøleskap ikke kan bevare maten.

      Dessuten, kan jeg tilføye: De treffer venner og kjente på gata, eller ved å besøke hverandre. De er ikke avhenige av «sosiale» medier for å opprettholde vennskaper.

      DSB maser for å få oss til å være i det minste litt forberedet på svikt i infrastrurer: Ha noe holdbar mat i boden, ha noen flasker rent vann på plass, fyrstikker og stearinlys, … Selv om du begrenser deg til DSBs lister, risikerer du å møte overbærende smil fra venner og kollegaer, med henvisning til sprø «preppere». Enn så lenge kan du kjøpe det meste med kontanter – men det holder vel ikke i så mange år til. Fasttelefonen er snart borte; vi er helt avhengige av mobilnettet. Det store flertallet av oss har ikke bakt et brød på mange år, og vi famle den dagen Rema og Rimi ikke får brød-leveranser fra de gigantiske bakeriene.

      Ja, det er et problem, og myndighetene er definitivt oppmerksomme på det. Et eksempel: Klarer en gravemaskin å knuse en vannledning, er en vannvogn på plass i løpet av et par timer, ihvertfall i bystrøk. Men de kan ikke sørge for «alt», kan ikke sitte inne med gigant-lagre av nød-rasjoner av alle slag som det høyst sannsynligvis aldri blir behov for.

      Det store problemet ligger hos «mannen i gata»: Vi har ikke lyst til å agere preppere, vil ikke bekymre oss om mat- og vann-lager, alternative varmekilder og kommunikasjons-mekanismer. Når vi får 5G, er det ikke på tide å skrote alt annet – inkludert nødnettet? Burde vi ikke ruste opp bilveiene, som den eneste måten å komme seg (eller frakte gods) fra A til B, og glemme gammelt skrot som jernbane og slikt? Kan vi ikke glemme kontanter nå som vi har NFC i mobilene og Vipps og masse andre mobil-baserte måter å betale på? Takk og pris at vi fikk kastet ut de gamle ved/koks-ovnene og satset alt på elektrisk oppvarming …

      Å overlate alt til «myndighetene» gir oss to alternativer: Enten må de ha makt til å diktere, tvinge fram noe som vi ikke vil gjøre frivillig. Eller så får vi det ikke. Vi vil oppleve gang på gang at når en krise inntreffer, står ikke myndighetene der med noen ferdig løsning – men det er fordi vi ikke har gitt mydighetene myndighet til å forberede noen løsning. De skal ikke bruke «våre» midler (også referert til som «skattebetalernes penger») på noe som helst på forhånd; det skal vi komme med som etterpåklokskap når krisen har inntruffet! Ingen var spesielt ivrige på å betale høyere nettleie for å bygge ut overførings-kapasiteten for strøm til Østlandet – ikke før «krisa» var et faktum, og strømpisen på Østandet røyk opp til det mangedobbelte av Midt- og Nord-Norge. Da oppdager vi at det kanskje ikke er så galt å finansiere en sterkere infrastruktur for strøm. Da er det for sent til å løse noen problemer denne vinterenn.

      I dag er Norge så anti-myndigheter og sentrale direktiver at vi avviser diktat-alternativet. Da må vi ta hånd om det selv. Og enten holde hemmelig at vi har forberedt oss ganske godt, eller være forberedt på å høre folk humre «Prepper!» bak ryggen vår.

      Nå skal jeg stikke på butikken med lommeboka full av kontanter. Strømprisen har falt så lavt den siste timen at nå kan jeg gå over fra gassfyring til elektrisk. Når jeg kommer tilbake, skal jeg lage meg et måltid der halvdelen av råvarene er tørket/hermetisert (les: langtids-lagringsdyktig), og noe av det jeg skal kjøpe er oppfylling i andre enden av matlageret (det må roteres så det brukes før «best før»-datoen!). Så skal jeg sette meg ned med en Blu-Ray-film som fungerer selv om internett bryter totalt sammen.

      Som gammel data-mann stoler jeg slett ikke på at IT-systemene vil holde seg på beina. Sorry, kollegaer: Vi IT-folk har ikke klart å lage robuste systemer. Ikke på noen måte. De kan ikke stoles på. Vi må være forberedt på svikt. Vi har sviktet i å lage robuste, pålitelige systemer.

  3. Kan det være så enkelt som at myndighetene både på nasjonalt- og aller helst internasjonalt nivå innfører en lov som forbyr selskaper og privatpersoner å betale løsepenger. Vi har jo også en hvitvaskingslov. Da rammes alle pengeoverføringer via bank- og kryptonettet som også innbefatter kidnapping av handelsfartøyer og annet.

    Svar på denne kommentaren

    • Et problem er at det kan ende opp som «Lov om tvungen konkurs eller innstilling av drift dersom du står uten skikkelig backup når du rammes av en løsepengevirus».

      Det ville være langt bedre (og dessuten kunne det håndheves / verifiseres på forhånd) med en lov som pålegger enhver organisasjon registrert i Brønnøysund å ha en sikringsplan for all digital informasjon som inkluderer off-site, offline backup, og inkrementell backup med maksimalt 24 timers intervall.

      Det ville dessuten beskytte mot en rekke andre mulige trusler, som brann, oversvømmelse, skred, innbrudd og tyveri.

      Å forby en bedrifts-eier/ledelse å redde bedriften ved å betale løsepenger vil først og fremst føre til at det store flertall av utpressinger blir holdt skjult. For den saks skyld: Vi skal ikke se bort fra at det også kan være tilfelle i dag, men hvis det blir straffbart å redde bedriften på den måten det ihvertfall bli forsøkt holdt hemmelig.

  4. Men kva er problemet her? Det ser ut som det er symptoma som skal angripast og ikkje årsaka. Heile artikkelen legg opp til at det er dei kriminelle som er problemet.

    Årsaka, og hovudproblemet, er dårleg sikkerheit rundt om – og det er her innsatsen må skje.

    Svar på denne kommentaren

Vil du kommentere? Svar på en quiz fra saken!

Vi er opptatt av kvaliteten på kommentarfeltet vårt. Derfor ønsker vi å sikre oss at alle som kommenterer, faktisk har lest saken. Svar på spørsmålene nedenfor for å låse opp kommentarfeltet.

Hvem samarbeidet norsk politi med i de nylige aksjonene?

Hvor mange ganger flere alvorlige hendelser har NSM registrert i 2020, sammenlignet med 2019?

Hvilken type digitalt angrep omtales i saken?

Legg igjen en kommentar til Øystein Halling Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.