Under fredagen kom rapporter att både Irlands sjukvårdssystem och den europeiska verksamheten hos it- och elektronikföretaget Toshiba drabbats av cyberattacker. Båda två ska vara liknande utpressningsvirus, ransomeware, som drabbade Colonial pipeline i USA förra veckan. Nyhetsbyrån Reuters rapporterar att attacken mot Toshiba kommer från hackergruppen Darkside som även pekades ut av FBI i fallet med Colonial pipeline. Vem som kan ha legat bakom attacken mot irländska sjukvårdssystemet är ännu oklart.

USA:s viktigaste oljepipeline är åter i drift efter att ha stängts av i en knapp vecka. Under torsdagen rapporterade Bloomberg att Colonial pipeline ska ha betalat Darkside fem miljoner dollar i lösensumma för att få tillbaka tillgången till sin data. När förtaget drabbades av utpressningsviruset sa man själva att man inte skulle betala den då okända lösensumman.

Colonial pipeline i New Jersey. Foto: Michael M. Santiago/Getty/AFP

Darkside är inte ensamma med att använda sig av utpressningsvirus, så kallat ransomware, för att kryptera en organisations data och sedan kräva en lösensumma för att ge tillbaka tillgången och inte läcka datan till allmänheten. Det är ett populärt knep bland flera hackare och hackargrupper.

– Många grupper sysslar redan med det här. Men de här två stora attackerna verkar vara det som ger Darkside sina femton minuter i rampljuset, säger Leif Nixon, säkerhetsexpert på Sectra commuications.

I oktober förra året drabbades Gunnebo av ett utpressningsvirus som slutade i att angriparna läckte stora mängder känslig data.

Leif Nixon berättar att det skett ett skifte de senaste tre fyra åren där ransomeware blivit ett effektivt verktyg för hackarna. Just Darkside började dyka upp under 2020 och ursäktar sig själva med att ha en viss moralisk kompass som att man till exempel inte attackerar sjukhus och de säger sig skänka en del av pengarna man drar in till välgörenhet.

Efter attacken mot Colonial pipeline gick Darkside ut och återupprepade det budskapet. I ett uttalande uttryckte man att man bara var ute efter att tjäna pengar, inte skapa problem för samhället.

– Det verkar som att de inte riktigt hade koll på hur stort detta skulle bli, säger Leif Nixon.

Några som inte har samma moraliska ursäkter är den största ransomeware-gruppen Ryuk. I höstas utförde de en cyberattack mot en sjukhuskedja i USA som fick stänga ned sina akutmottagningar.

– Det ryktas om att det orsakade att människor dog men det är inget som bekräftats, säger Leif Nixon.

Bland de hackergrupper som är mest kända för allmänheten är Anonymous kanske den som flest känner till. Denna grupp av ”nätaktivister” blev kända för cirka tio år sedan då man utförde en rad hackerattacker på hemsidor och nätkonton tillhörande länder och myndigheter som gruppen upplevde kränkte yttrandefrihet, fri kultur eller som hade kritiserat till exempel Wikileaks och Julian Assange. Dagens ransomeware-hackare spelar dock i en helt annan liga.

– Anonymous var ett varumärke folk tog på sig som aktivister med en anarktistisk och antiauktoritär ideologi. Dagens hackergrupper som använder ransomeware gör det i helt kriminella syften för att tjäna pengar.

Spännvidden på typen av person som använder sig av hackargruppernas plattformar varierar däremot stort enligt Nixon. Det kan handla om sådana som vi klassiskt associerar som grovt kriminella men också tonåringar som lärt sig tjäna snabba pengar.

De verkar inte se det som att de är kriminella själva utan ursäktar sig med att de inte ger sig på de svaga i samhället eller att de bara visar på säkerhetsbrister och får ut pengar av det.

Kopplingarna till Ryssland är tydliga hos många av ransomeware-grupperna men just Darkside är i nuläget lite mer oklart huruvida de kan kopplas dit eller ej.

– Normalt sett är de här grupperna inte statskontrollerade men genom korruption så får de hålla på med sin verksamhet så länge de inte ger sig på ryska organisationer, inräknat grannländer, och förutsatt att de delar med sig av information av underrättelsekaraktär samt en del av pengarna.

Det finns flera exempel på hur hackargruppernas attacker avbryts om deras offer har ryska eller till exempel ukrainska eller kazakstanska som språkinställning i sina datorer.

– Det finns inget enkelt svar på hur vi ska lösa det här problemet. Å ena sidan behöver vi bygga upp bättre cybersäkerhet i vårt samhälle. Samtidigt kan inte de som gör dataintrången fortsätta beskyddas såhär. Även om det inte är Putin som beordrar angreppen så skulle han kunna stoppa många av dem med ett telefonsamtal, säger Leif Nixon.

