It-angreppet mot det amerikanska mjukvaruföretaget Kaseya har drabbat en lång rad företag, bland annat omkring 800 svenska Coopbutiker.
Kunderna till leverantören ombads att uppdatera sina system, men uppdateringen kom inte från Kaseya. Bakom stod i stället en eller flera ännu okända bedragare.
– Jag vet inte vilka som är skyldiga i det här fallet. Men det är inte ovanligt att den här sortens attacker kommer från Ryssland, säger Robert Ståhlbrand, it-säkerhetsexpert på företaget NTT Security Sverige.
Låser systemet
Oftast genomförs dessa attacker av organiserade ligor, säger han.
De letar efter sårbarheter som leverantören själv inte har upptäckt. Vissa säljer sedan den värdefulla informationen på darknet. Andra går direkt till angrepp.
– De lurar sig in och installerar en så kallad ransomware-mjukvara som tar kontroll över operativsystemet.
Mjukvaran placeras ofta på fysiska datorer, men kan också förekomma i molntjänster. Så fort den installerats blir systemet otillgängligt för användaren.
– Vad man än gör så möts man av en ruta med information om vart man ska vända sig för att låsa upp systemet igen. Oftast krävs en lösesumma, inte sällan i form av någon cryptovaluta.
Alternativa utvägar
Att betala är dock fel väg att gå, enligt Ståhlbrand.
– De testar betalningsvilligheten hos företag. Det finns andra sätt att ta sig ur situationen. Men det är ingenting som ett vanligt företag med enkelhet kan göra.
Det krävs en it-forensisk utredning, klargör han.
– Hårddisken måste köras genom ett system som plockar bort mjukvaran. Men kompetensen är väldigt sällsynt. Dessutom är det en dyr historia.
Ransomware-mjukvaran kommer i olika mutationer, vilket ytterligare försvårar processen.
Därtill finns det flera nivåer av mjukvaran, enligt honom.
– Många betalar för att snabbt bli av med det, men så visar det sig att angriparna har installerat tidsinställda låsningar för att kräva mer pengar i framtiden, säger Ståhlbrand.