Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se och e-DN.

Med ett gratiskonto kan du följa skribenter och ämnen samt spara artiklar.

Sverige

Utpressarna låser din dator – tjänar miljoner

• Utpressningsvirus växer explosionsartat i Sverige. Angripare håller datorer gisslan och kräver tusentals kronor för att lämna tillbaka filerna.

• Bakom attackerna mot svenskar står en grupp som utfört liknande angrepp i en lång rad länder. Genom att spåra pengaflödena kan DN visa att ligan tjänar många miljoner kronor på angreppen.

• Spåren leder till en stad i östra Ukraina, avslöjar en unik kartläggning av de hackade servrar som sprider viruset.

I september 2015 fick en 52-årig man i Ångermanland ett mejl som såg ut att komma från Postnord. Där stod att han hade ett paket att hämta. Så långt inget konstigt. Han klickade sig vidare, laddade hem en paket-avi och öppnade den.

Några sekunder senare var hela hans hårddisk i händerna på en kriminell liga. En text på skärmen gjorde det klart vad som hade hänt: Mejlet var en bluff som smög in ett virusliknande program på datorn. När han klickade så krypterades alla hans filer och blev oläsliga. Enda sättet att få tillbaka dem, informerade texten, var att betala 4 100 kronor i lösensumma.

Det bar emot. Inte bara för att det var dyrt, också för att pengarna skulle gå till kriminella. Men datorn var full med fakturor, bokföring och andra filer han inte kunde vara utan, så han kröp till korset. Snart hade han skickat beloppet i den digitala valutan bitcoin till utpressarna.

– Jag är fortfarande arg. Både på mig själv för att jag gick på det, men också arg på bedragarna som tjänar pengar på att lura oskyldiga människor, säger mannen till DN.

52-åringen är långt ifrån ensam. Den senaste tiden har attacker med utpressningsvirus, även känt som ransomware, ökat dramatiskt. It-säkerhetsmyndigheten Cert-se beskriver det som ett av de största hoten på nätet i dag. Flera attacker, skräddarsydda för att lura svenskar, har byggt på mejl med Postnord, Domstolsverket och nu senast Telia som falska avsändare. De har blivit allt mer skickligt utformade, skrivna på korrekt svenska och med grafik som lurar ögat att tro att de är äkta.

– Problemen har ökat kraftigt den senaste tiden. Hotet är väldigt allvarligt och slår mycket hårt, säger Ann-Marie Alverås Lovén, chef för Cert-se.

DN kan i dag avslöja nya uppgifter om gruppen bakom angreppen. Flöden av pengar, loggfiler från hackade servrar och analys av ligans verktyg visar på ett vidsträckt nätverk med globala förgreningar som arbetar systematiskt i månader för att skinna människor på pengar.

Som ett experiment har DN avsiktligt låtit en dator bli infekterad av utpressningsviruset vid upprepade tillfällen. Både mejl maskerade som Postnord- och Telia-utskick användes. Vid varje ny infektion har vi krävts på pengar, men i stället för att skicka tusentals kronor till utpressarna har vi betalat en mycket liten summa, motsvarande omkring 25 kronor, i bitcoin. På grund av hur bitcoinnätverket är uppbyggt har betalningen sedan kunnat spåras genom nätverket, från en ”adress” till en annan – bitcoinvärldens motsvarighet till kontonummer.

En sådan betalning genomfördes vid lunchtid den 19 maj. Den låg orörd i sex dagar, kanske medan bedragarna inväntade ytterligare betalningar. Klockan sju minuter över åtta på morgonen den 25 maj slussade någon pengarna vidare. I samma sekund tömdes ytterligare ett 60-tal konton.

Allt skickas till ett konto som tycks vara ligans samlingsplats för lösensummor. Mellan den 19 maj och den 7 juni strömmade minst 2,3 miljoner kronor till det. Det mesta kan härledas till insättningar på motsvarande några tusen kronor, just de nivåer som utpressarna brukar kräva sina offer på. Pengar från mer än 586 konton har förts över.

DN:s första betalning gjordes efter ett bluffmejl med Postnord som falsk avsändare. När vi några dagar senare låter oss infekteras via ett mejl med Telias stulna logotyp upprepas scenariot, men det går snabbare. Vi betalar den symboliska summan och mindre än ett dygn senare flyttas pengarna.

Foto: Magnus HallgrenFoto: Magnus Hallgren

De landar sedan på samma uppsamlingskonto, ett närmast hundraprocentigt bevis på att samma gruppering står bakom så väl Telia- som Postnord-utskicken.

Ändå är detta sannolikt bara en mindre del av ligans intäkter. En likadan spårning av 52-åringens betalning i höstas leder till ett annat uppsamlingskonto. Innan det övergavs i oktober hann över tre miljoner kronor slussas genom det.

– De flesta virus har ungefär samma lösensumma, så man kan dra slutsatsen att det är utpressningspengar som har betalats in. Man kan se alla inbetalningar från de som har drabbats, men också vart pengarna tar vägen, säger Jonathan Jogenfors, som forskar om bitcoinspårning vid Linköpings universitet och har hjälpt till med kartläggningen.

Trots att pengaströmmarna kan iakttas i realtid går det inte att koppla dem till verkliga personer. Dessutom använder gruppen en tjänst som gör det praktiskt taget omöjligt att spåra pengarna vidare, en slags pengatvätt för bitcoin. Hundratusentals kronor åt gången har skickats till sådana tjänster.

– Att de använder pengatvättstjänster visar att det är en planerad operation och att de vet hur man suddar ut spåren. De har tänkt igenom det här, säger Jonathan Jogenfors.

DN:s genomgång av de falska mejlen blottlägger ytterligare detaljer om bedragarnas metod. Bland annat att många – minst hundratals, troligtvis tusentals – hackade webbplatser utnyttjas i attacken. Det är till dem länkarna i bluffmejlet leder. Därifrån skickas offren automatiskt vidare till webbsajten där själva infektionen genomförs.

Minst tre av dem är svenska. Där finns ett skoföretag i Blekinge, ett lokalt parti i Västsverige och en båtklubb nära Stockholm. DN har, med sajtägarnas tillåtelse, tagit del av loggar och ligans filer från dem. En rad slutsatser kan dras av dem:

• Svenska hackade sajter används för attacker mot en rad länder. På skoföretagets sajt fanns kod som bistår attacker mot Australien, Nya Zeeland, Österrike och Italien. Metoden är identisk, oavsett land. Det tyder på att samma grupp ligger bakom dem alla.

• Sajterna som infektionen sker från är anonymt registrerade via diskreta företag i Panama, en slags nätadressernas motsvarighet till brevlådeföretag.

Framförallt avslöjar loggarna varifrån attackerna har styrts. En lång rad ip-adresser har registrerats, men några sticker ut: På samtliga hackade system finns spår från intrångsförsök från tre återkommande ip-adresser. Dessa pekar mot Mariupol, en kuststad i östra Ukraina inte långt från fronten mot områdena som kontrolleras av pro-ryska separatister. Adresserna kontrolleras av en lokal bredbandsinternetoperatör.

Liknande kopplingar har upptäckts på andra håll. DN fått tillgång till utredningsmaterial från det Malta-baserade säkerhetsföretaget Reaqta, som har gjort granskningar av andra hackade servrar. Två av de tre ukrainska ip-adresserna återkommer även där.

Det är alltid svårt att med säkerhet säga var en it-attack härstammar från. Adresser som dyker upp kan vara hackade datorer som utnyttjas av någon som egentligen sitter i en annan del av världen. Men de ukrainska adresserna är unika.

– De hör till en uppkoppling i Mariupol, Ukraina, vilket sannolikt är var angriparen befinner sig, säger Alberto Pelliccione, vd på Reaqta.

Det finns ytterligare spår som leder österut. Den polska it-säkerhetsmyndigheten Cert.pl har hittat ryska ord, en slags kom ihåg-lappar som programmerare brukar lämna efter sig, i kod som har använts i samma våg av utpressningsvirus.

Tusentals personer har lurats att klicka sig till de falska sajterna, visar loggfilerna. Där framgår också deras e-postadresser. Personer på storföretag som Peab, försvarskoncernen Saab, Australiens försvarsdepartement och flera svenska kommuner finns bland de lurade. Det framgår dock inte om de sedan laddade hem filen och fick datorn kidnappad.

Krypteringsmetoderna som angriparna använder är avancerade. Utan tillgång till ligans nycklar är det i praktiken omöjligt att få tillbaka sina filer. Den som har säkerhetskopierat sin dator kan dock återskapa filerna utan att betala något, men bara om inte även säkerhetskopian blir krypterad.

Det fick 52-åringen i Ångermanland erfara.

– Jag gör regelbundet backup på mina filer, men just då råkade jag ha usb-minnet med säkerhetskopiorna inkopplat i datorn. Så både filerna och backup: en förstördes. Jag var tvungen att betala, säger han.

Foto: DN

Fakta. Spåren leder till Ukraina
  • Flera av de svenska, hackade sajterna som har använts av utpressarna visar spår av intrång från ukrainska ip-adresser. Sajterna har ingått i ett stort nätverk som har råkat ut för intrång och använts för att skicka offer vidare till den webbplats där själva infektionen sker.
  • Gemensamt för sajterna är att de använder en äldre version av ett webbsystem med välkända säkerhetshål.
  • Genom att gå igenom hundratals bluffmejl har vi sammanställt en lista över utnyttjade servrar. Tre av dem är svenska.
  • Efter godkännande av sajternas ägare har DN tagit del av loggfiler och annan data. Två av de tre hade utförliga loggar från flera månader tillbaka.
  • Där återfinns en mängd intressanta ip-adresser. Flera kommer från uppenbara intrångsförsök eller annan aktivitet som härrör från angriparna. De flesta kan spåras till anonymiseringstjänster eller tillfälligt hyrda servrar, vanliga knep som kriminella använder för att dölja var i världen de befinner sig.
  • Men de ukrainska ip-adresserna är annorlunda. De är av allt att döma vanliga bredbandsuppkopplingar från en operatör i staden Mariupil. Dessutom återfinns de på minst tre servrar som har tagits över, dels de två som DN har loggfiler från och dels den server säkerhetsföretaget Reaqta har granskat.
  • De första attackerna dyker upp i februari 2016. De återkommer sedan månad efter månad, ända fram till sent i maj.
  • Loggfilerna visar också hur ihärdig ligan har varit. När en server med utpressningsvirus har stängts har ligan registrerat en ny. För att styra offer dit har de då kunnat uppdatera redan hackade sajter med den nya webbadressen. Det gör det betydligt svårare att stoppa attackerna.

Foto:

Fakta. Så skyddar du dig
  • Säkerhetskopiera alltid
    Om du har en aktuell säkerhetskopia av dina filer kan du strunta i att betala, även om du skulle råka gå på bluffen. Utpressarna kan inte hindra dig från att ersätta krypterade filer med din säkerhetskopia.
  • Var misstänksam mot mejl
    Kolla vart länkar leder innan du klickar. Tänk efter – är det rimligt att just du får detta mejl? Om du ändå skulle ha klickat, ladda inte hem filer som du inte är säker på är äkta.
  • Använd antivirus
    Skyddet är inte hundraprocentigt, men det kan åtminstone ge en varning om att du håller på att bli lurad.
Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.