PÄ kvÀllen den 2 juli stÀngde hackergruppen Revil ner Coops kassasystem i flera dagar. Hackarna hade lyckats ta sig in hos Kaseya, ett it-företag i Florida i USA med hundratals kunder över hela vÀrlden, som Coop köpt kassasystem av.
Coops system var krypterade och lĂ„sta och bara hackergruppen Revil kunde lĂ„sa upp dem â mot betalning.
ââKaseya kĂ€nde till att deras system var sĂ„rbart och höll faktiskt pĂ„ att fixa det. Men hackarna hann före, sĂ€ger Robert Lagerström, som Ă€r forskare och lĂ€rare inom cybersĂ€kerhet.
Han, hans kollegor och deras studenter hackar företag pÄ uppdrag frÄn företagen sjÀlva för att hitta sÄrbarheter innan oetiska hackare hinner dit.
KrÀvde miljoner
Revil, Àven kÀnt som Sodinokibi, krÀvde motsvarande cirka 600 miljoner kronor i bitcoin för att lÄsa upp företagens it-system. MÄnga vd:ar fick brottas med frÄgan om de skulle betala eller inte.
Svenska Coop sÀger sig inte ha betalat nÄgon lösesumma. Myndigheten för samhÀllsskydd och beredskap (MSB) avrÄder frÄn att betala.
"Det finns inga garantier att system ÄterstÀlls eller filer dekrypteras efter betalning", skriver MSB i ett mejl till TT.
Hela 1 500 företag rÄkade illa ut i attacken. MÄnga vÀgrade betala. Vissa betalade och fick i gÄng systemen igen. En tredje grupp pÄ minst tre stora företag rÄkade mer illa ut, skriver affÀrssajten Bloomberg: de betalade, men utan resultat. Och sedan den 13 juli Àr Revil försvunna.
Revil brukade kommunicera med sina offer pÄ haltande engelska via sin sajt med det sarkastiska namnet Happy Blog, men den Àr borta.
ââDeras servrar ligger nere och sajten Ă€r nedslĂ€ckt, sĂ€ger Robert Lagerström.
Revil försvann alltsÄ innan gruppen hunnit klÀmma alla sina offer pÄ pengar.
De företag som betalat via Happy Blog var dÄ av med bÄde sin lösesumma och sina it-system.
Tio dagar senare var dock saken löst nĂ€r Kaseya meddelade att de fĂ„tt en krypteringsnyckel, alltsĂ„ programvara som kunde lĂ„sa upp systemen. Kaseya hade fĂ„tt nyckeln av "en betrodd tredje part" â oklart vem.
Troligen rysk
För Robert Lagerström lÀmnar attacken en lÄng rad frÄgetecken.
ââVi vet inte sĂ€kert att Revil Ă€r ryskt Ă€ven om allt tyder pĂ„ det. Deras metoder och programkoder pĂ„minner om hack frĂ„n tidigare ryska grupper och de angriper inte företag inom den gamla Sovjetunionen, inklusive Ryssland. Vi vet inte heller om Revil i sĂ„ fall Ă€r en fristĂ„ende grupp eller en del av den ryska staten.
Om Revil Àr ryskt Àr det möjligt att ryska staten stoppat attacken, enligt Robert Lagerström. Den 9 juli, bara fyra dagar innan Revil försvann, ringde USA:s president Joe Biden till Rysslands president Vladimir Putin och sade att han rÀknade med att Ryssland skulle agera. Om inte Ryssland slÀckte gruppens servrar skulle USA göra det.
ââDet Ă€r mycket möjligt att det Ă€r sĂ„ det gĂ„tt till.
Den betrodda tredje parten skulle i sÄ fall vara kunna vara amerikanska polisen FBI.
Hackergrupper har försvunnit förut och Ă„teruppstĂ„tt igen. Revil kan vara borta â eller bara tagit en paus. Robert Lagerströms slutsatser: betala inte, det göder bara organiserad brottslighet. Och rĂ€kna med fler attacker.
ââJag förstĂ„r att en del företag betalar nĂ€r de har att vĂ€lja pĂ„ att betala eller att deras företag gĂ„r omkull. Vi mĂ„ste tyvĂ€rr bereda oss pĂ„ fler attacker mot it-leverantörer som Kaseya med mĂ„nga kunder. Hela branschen mĂ„ste ta sig en funderare nu, sĂ€ger han.