Utpressningattackerna eskalerar - ”Människoliv i vågskålen”

Över 170 miljarder kronor. Så mycket uppskattas it-angreppen med krav på lösensummor, så kallade ransomwareattacker, kosta myndigheter och företag runt om i världen under 2021, enligt Cybercrime Magazine. 

En kartläggning från it- och säkerhetsföretaget Barracuda Networks visar att 13 procent av attackerna mellan augusti 2020 och juli 2021 varit riktade mot hälso- och sjukvården medan 16 procent slagit till mot ”municipalities”, det vill säga kommuner. 

Bilden bekräftas av Sveriges nationella Computer Security Incident Response Team (CERT-SE), som ingår i Myndigheten för samhällsskydd och beredskap (MSB). CERT-SE har under det senaste året förmedlat varningar från såväl Norges cybersäkerhetscenter som den amerikanska cybersäkerhetsmyndigheten CISA och FBI om att kommuner respektive hälso- och sjukvårdssektorn är måltavlor för ransomwareattacker.

– En attack mot svensk sjukvård, som är och har varit hårt belastad av covid-19, och journalsystemen skulle under det senaste året ha medfört en risk för medborgares liv, säger Peter Jonegård, verksamhetsutvecklare på MSB och CERT-SE.

I fjol utsattes universitetssjukhuset i Düsseldorf för en ransomwareattack där sjukhuset tappade kontakt med sina ambulanser, vilket ledde till att en kvinna i behov av akut vård avled. Kort därefter gjorde P3 Nyheter en granskning som visade att tio svenska regioner vid något tillfälle utsatts för ransomwareattacker. Ingen av dem har dock gått ut offentligt med informationen och it-direktörernas inofficiella nätverk SLIT (Sveriges landstings it-chefer) vill inte kännas vid att ransomwareattacker mot svensk sjukvård ägt rum.

– Nej, jag har inte hört talas om några sådana attacker och det är inget vi diskuterat i nätverket, säger Lars Öhman, förvaltningsdirektör vid Region Västmanland.

Inte heller Peter Jonegård säger sig ha information om att någon region attackerats, men avslöjar att MSB i vintras genomförde en fem månader lång riktad informationsinsats om just ransomware till regionernas säkerhetspersonal och it-leverantörer.

– Fokus låg i synnerhet på landets akutsjukhus. I stort sett varje vecka anordnade vi digitala möten med information och utbildning om förebyggande åtgärder mot ransomware.

Informationsinsatsen växte snabbt till ett nätverk där regionerna nu kan dela information och data – ett samarbete som redan motverkat en form av cyberattack. 

– En av regionerna delade med sig av ett misstänkt e-postmeddelande, CERT-SE analyserade vad den bifogade skadliga koden gjorde och skickade ut data som kunde användas för att blockera eller upptäcka intrång. En region fick träff och kunde undvika en fullbordad krypteringsattack, berättar Peter Jonegård.

I kommunala verksamheter är ransomwareattacker desto vanligare. I SVT Nyheters kartläggning från 2017 svarade hela 187 kommuner att de utsatts för utpressningsvirus. Samma år drabbades Timrå kommun av det ökända Wannacry-viruset.

– Vi lyckades stoppa attacken i tid och förlorade därför ingen data. Men vi ägnade tre dagar åt att återställa 110 datorer. Lösensumman var ställd i Bitcoin, men jag minns inte beloppet. Vi lade ingen energi på lösensumman eftersom det aldrig var aktuellt att betala, berättar Timrås kommunchef Andreaz Strömgren.  

Angreppet möjliggjordes genom en missad säkerhetsuppdatering av dåvarande it-leverantören Evry. Timrå kommun yrkade ersättning för avtalsbrott och extra kostnader, och kom slutligen överens med Evry om en ersättning på runt 200 000 kronor.

– Det som störde mig mest var att en så stor aktör inte hade en fungerande överlämning när personal slutade, vilket gjorde att de missade en enkel Microsoft-uppdatering. Samtidigt ska jag säga att de var väldigt skickliga på att stoppa attacken och hantera effekten av den, säger Andreaz Strömgren.

– En lärdom är att inte förlita sig på en it-leverantör utan alltid följa upp och säkerställa att det vidtas rätt säkerhetsuppdateringar.

En färskare incident är sommarens attack mot Axiells bibliotekssystem Mikromarc, som används av flera kommunala bibliotek. Attackens avsändare låste personuppgifter till hundratusentals svenska låntagare och krävde en lösen för att låsa upp systemet igen. Axiell lyckades dock med externa experter återställa systemet. 

Även om företaget uppger att de inte betalade någon lösensumma finns det andra verksamheter som väljer den vägen. Brittiska säkerhets- och hårdvaruföretaget Sophos släppte 2020 en studie där en tredjedel av de 100 svenska aktörer som deltog och uppgav att de betalat en lösensumma vid ransomwareattacker. I studien, som omfattade 5 000 it-chefer från 26 länder, var det bara Indien som hade en högre andel betalande än Sverige.

I Sverige finns bara ett känt fall där en offentlig verksamhet betalat lösen vid en ransomwareattack. Det hände 2015 när Myndigheten för press, radio och tv pungade ut med cirka 5 000 kronor för att få tillgång till filer som krypterats. 

LÄS MER: Robotattack lamslog bostadsbolaget: ”Ryckte ut sladdarna”. 

Fredrik Blix, doktor i cybersäkerhet vid Stockholms universitet, vill se ett lagstiftat förbud mot betalningar.

– Det bör vara förbjudet att bidra till sådan här kriminell verksamhet. Och om ett förbud införs kommer förmodligen attackerna mot svenska företag, kommuner och regioner att minska radikalt, säger han.

– Sedan är det inte alltid lätt att upptäcka om någon har betalat. I näringslivet betalas lösensumman oftast via mellanhänder, ett rådgivningsbolag som sköter kontakten med förövarna och därefter fakturerar det utsatta företaget.

Peter Jonegård på MSB påpekar vikten av att inte betala ut pengar till kriminella nätverk. 

– Man kan inte vara säker på att de kriminellas återställning fungerar, och man kommer inte ifrån att it-miljön haft ett intrång och inte är tillförlitlig. Slutar vi inte betala kommer attackerna fortsätta att eskalera i samhället. Samtidigt är jag medveten om att det är lätt för mig att säga nej. I en attack mot vården kan människoliv ligga i vågskålen när alternativa arbetssätt tar mycket tid av personalen.

När det finska psykoterapiföretaget Vastaamo förra året vägrade att betala lösensumma spred förövarna företagets patientuppgifter via Darknet, en krypterad del av webben som kriminella använder. Flera av patienterna utsattes sedan för utpressning.

– Än har det inte skett i Sverige. Men händelsen visar återigen vikten av förberedelser och samarbete för att undvika eller stoppa en attack i tid, säger Peter Jonegård.