Utfører dataangrep og krever løsepenger: – Sykehus er populære mål
Skoler, helsevesen og virksomheter knyttet til bekjempelse av covid-19 regnes som enkle mål for dataangrep.
– Sykehus betaler i 80 til 90 prosent av tilfellene, fordi de ikke har noe valg.
Mannen som sier dette, er i 30-årene og har universitetsutdannelse. Men det ble aldri noe av drømmen om en karriere og en godt betalt jobb i IT-bransjen.
Milliarder i løsepenger
Nå forsørger han familien gjennom utpressing mot offentlige virksomheter og bedrifter. Våpenet han bruker, utgjør en av de vanligste truslene mot små og mellomstore bedrifter i Norge.
Hackeren «Aleks» utfører dataangrep og krever løsepenger.
Samtidig mener han at han får gitt en «lærepenge» til bedrifter som ikke beskytter dataene sine, ifølge en nylig rapport fra IT-giganten Cisco.
Ifølge FBI fikk ukjente trusselaktører utbetalt over 1,2 milliarder kroner fra 2013 til 2019. «Aleks», som er bosatt i Sibir i Russland, mener at EUs personopplysningslov (GDPR) har gjort det mer fordelaktig å slå til mot europeiske mål.
Ofre for løsepengevirus betaler heller enn å risikere de juridiske konsekvensene hvis kompromitteringen blir offentlig kjent.
Analytikere i Cisco Talos, som utvikler trusseletterretning og bekjemper cyberkriminalitet over hele verden, fikk kontakt med «Aleks» høsten 2020.
Etter å ha gjennomført flere intervjuer med ham, laget de en rapport som med historien om «Aleks» gir innsikt i hvordan uavhengige datakriminelle jobber.
Enkle verktøy
– Det finnes veldig mange mennesker som har god IT-kompetanse, men som ikke får seg jobb. De er enkle å «ansette» for å gjøre denne typen oppgaver, sier Leif Sundsbø, leder for cybersikkerhet i Cisco Norge, til TV 2.
Et løsepengevirus er en skadevare som kan brukes til låse eller kryptere innholdet på en datamaskin.
«Aleks» bruker enkelt tilgjengelige verktøy, når han jakter på sårbarheter i datasystemer.
– «Aleks» er en person som plutselig kan banke på døra di?
– Ja, det kan han.
– Legger man merke til det, og hvordan?
– Veldig ofte så gjør en jo ikke det. Det finnes to typer virksomheter. De som har blitt hacket, og de som ikke vet at de har blitt hacket, sier Sundsbø.
I rapporten fra Cisco Talos omtales skoler, helsevesen og virksomheter knyttet til bekjempelse av covid-19 som enkle mål, fordi sikkerhetsavdelingene har lite ressurser og virksomheten ikke tåler nedetid.
Mer sårbart under pandemien
Ifølge Nasjonal sikkerhetsmyndighet (NSM), PST og Etterretningstjenesten har covid-19 forsterket de digitale sårbarhetene i samfunnet.
Mens fremmede etterretningsorganisasjoner har fått flere steder å hente informasjon, utnytter kriminelle krisen til å prøve å installere løsepengevirus og skadevare.
Allerede tidlig under pandemien så Nasjonalt cybersikkerhetssenter en økning i rapportering av løsepengevirus mot norske virksomheter.
Det er PST som har ansvar for å etterforske statlige aktører som står bak dataangrep, mens Kripos tar hånd om etterforskningen av kriminelle aktører, som da et løsepengevirus rammet selskapet Hydro natt til 19. mars 2019.
Rev ut ledninger
Ledningene til 22.000 datamaskiner i fem verdensdeler måtte rives ut. Det omfattende dataangrepet kostet Hydro mellom 300 og 350 millioner kroner.
Hackerne hadde planlagt angrep mot flere andre norske og utenlandske selskaper, men Hydro-bevisene som norske sikkerhetsmyndigheter fikk, gjorde at disse forberedelsene ble sporet opp.
Om noen hadde vært inne i systemene før alarmen gikk, og i så fall hvor lenge, har Hydro ikke sagt noe om. Industrispionasje skjer oftere enn vi tror, sier Sundsbø.
– En har tilgang inn i systemet for å hente ut informasjon uten at det blir oppdaget. Det er det som er det skumle. En kan hente ut konfidensiell informasjon, pasientdata eller personsensitiv informasjon og bruke det på et eller annet tidspunkt, sier Ciscos cybersikkerhetssjef til TV 2.
For å kamuflere en slik aktivitet, kan en aktør kryptere alle filer og be om et beløp i bitcoin for å låse dem opp igjen, sier han.
Liv kan gå tapt
Flere norske bedrifter og sykehus er utsatt for større dataangrep det siste året. Sundsbø fraråder på det sterkeste å betale løsepenger.
– En betaler jo til kriminelle, og da vil de se at dette virker. En har ingen garanti for at man får filene sine tilbake, sier han.
I januar advarte Kripos norske virksomheter etter alvorlige dataangrep mot Østre Toten kommune, Hurtigruten og Akva Group.
– Løsepengeviruset mot Østre Toten kommune er bare ett av mange vi vil se i 2021, sier Bente Hoff i Nasjonalt cybersikkerhetssenter om trusselbildet.
I Østre Toten mistet 1300 ansatte tilgang til datasystemene, sikkerhetskopier ble slettet og alle dataene ble kryptert. Personnummer og helsedata kan være på avveie.
Hele Hurtigrutens globale infrastruktur ble rammet av et løsepengevirus, og angriperne kan ha skaffet seg tilgang til personlige ansattopplysninger.
Hos oppdrettsleverandøren Akva Group ble datasystemene låst, og en av verdens største produsenter av utstyr til havbruksnæringen ble krevd for løsepenger.
– For en bedrift som lever av å produsere eller selge noe, kan det være kroken på døren. En risikerer å sette store verdier i fare, sier Sundsbø.
– Hva er «worst case» i helsevesenet?
– Absolutt «worst case» er at liv går tapt. Det har jo skjedd at en har tatt ned sykehus, sier cybereksperten.
Mørketall
Datakriminalitet har de siste årene økt i omfang, samtidig som det har vært en stor underrapportering.
- I 2015 anmeldte bare 9 prosent av norske bedrifter som ble utsatt for datakriminalitet, forholdet til politiet. Forklaringen på de kolossale mørketallene var at mange var redde for å tape ansikt.
- I 2017 sa NSM at de ukentlig ble kontaktet av bedrifter og privatpersoner som hadde betalt løsepenger.
- I 2019 viste en undersøkelse at 40 prosent av norske bedrifter heller ville betale løsepenger enn i investere i datasikkerhet.
- I 2020 var løsepengevirus en av de vanligste truslene mot små og mellomstore bedrifter i Norge, og en av dem som økte mest. Mer enn hver tiende norske virksomhet hadde vært utsatt for forsøk på datainnbrudd eller hacking, ifølge NorSIS.
- Ifølge «Mørketallsundersøkelsen 2020» fra Næringslivets sikkerhetsråd tok det en dag eller mer før tre av ti sikkerhetsbruddtilfeller ble oppdaget.
Etterlyser bedre vaner
Nordmenn har godt innarbeidede sikkerhetsvaner når de bruker nettbank, men i jobbsammenheng er vi ikke like flinke, sier Sundsbø.
Han mener at sikkerhetskulturen i arbeidslivet er nødt til å bli bedre.
Før jul viste en undersøkelse utført av Fremtind at under halvparten av norske bedrifter bruker totrinns-pålogging.
De færreste ville logget seg inn i nettbanken uten å ha enten Bank-ID på mobil eller en brikke for det, påpeker han.
– En enkel tofaktor-autentisering på telefon ville hjulpet veldig mye. Det er kanskje en av de aller enkleste midlene for å beskytte seg mot denne type hendelser, sier cybersikkerhetssjef Sundsbø.
Gjenbrukte passord kan kompromitteres på en eller annen måte. Derfor må man ta i verk totrinns-pålogging, for å gjøre det langt vanskeligere for en datainntrenger, forklarer han.
– Hvis jeg har ditt brukernavn og passord, kommer jeg meg inn. Men hvis du har en tofaktor-autentisering, må jeg også ha telefonen din, sier Leif Sundsbø til TV 2.
