Hackare gripna efter attacken mot Coop

Två personer har gripits för kopplingar till det ryska hackernätverket Revil. Personerna misstänks för inblandning i sommarens ransomware-attacker som slog ut livsmedelskedjan Coop.

Hundratals Coopbutiker tvingades hålla stängt under knappt en vecka i juli. Arkivbild.

Hundratals Coopbutiker tvingades hålla stängt under knappt en vecka i juli. Arkivbild.

Foto: Ali Lorestani/TT

Brott2021-11-08 16:42
Erik Paulsson Rönnbäck/TT

De misstänkta hackarna greps av rumänska myndigheter den 4 november genom en insats inom det europeiska polissamarbetet Europol. Björn Eriksson, gruppchef på avdelningen för komplexa cyberbrott på polisens nationella operativa avdelning (Noa), säger att de gripna misstänks ha kopplingar till Revil och för att ha deltagit i ransomware-attacker mot företag.

– De har gripits för att de är delaktiga i ransomware-nätverket Revil som attackerar företag och privatpersoner, krypterar deras enheter, stjäl information och sedan utpressar för att få in pengar, säger Eriksson.

TT: Misstänker ni att de var direkt inblandade i sommarens ransomware-attack?

– Det återstår att se, men det finns misstankar om att de var det.

Svensk underrättelseinformation

Sverige har bidragit till Europols insats genom att bistå med underrättelseinformation. Eriksson kan inte uttala sig om informationen från svensk polis har varit avgörande för att gripa personerna, men konstaterar att det "absolut finns ett värde i den information" som har delats vidare.

– Vi har utrett ärenden med anknytning till Revil under en tid tillbaka, och de utredningarna har vi delat med oss av till det internationella samarbetet, säger Eriksson.

Utredningarna nedlagda

Polisen har lagt ned utredningarna av sommarens attacker som drabbade svenska företag. Eriksson kan inte svara på om gripandet av de två personerna kan leda till att utredningarna öppnas på nytt.

– Jag vet inte om vi kommer att öppna de svenska utredningarna. Vi har delat med oss av den information som vi har fått fram, och sedan får utredningarna fortsätta i andra länder där gripandena har skett. Vi kommer att fortsätta bistå i den mån vi kan, säger Eriksson.

Noa uppmanar svenska företag som drabbas av ransomeware-attacker att anmäla dem.

– Vi ser historiskt att det är ungefär 3 procent som anmäler när de har utsatts. Gripandena visar att det finns ett värde i att anmäla eftersom informationen är viktig för oss, säger Eriksson.

Under året har sammanlagt sju personer med koppling till Revil gripits runtom i världen, däribland av kuwaitiska, polska och sydkoreanska myndigheter, enligt Noa.

Bakgrund: Attacken mot Coop

På kvällen den 2 juli slutade kassorna på Coop att fungera. Fler än 700 matbutiker tvingades hålla stängt i en knapp vecka.

I Sverige drabbades också Apotek Hjärtat, bensinkedjan St1 och tågbolaget SJ av störningar. Ytterligare cirka 1 500 företag jorden runt attackerades via programvara från it-företaget Kaseya i USA.

Hackarna krävde motsvarande 400 000–4 000 000 kronor i lösen. Stora företag krävdes på större summor. Coop vägrade betala.

Den kriminella hackergruppen Revil (förkortning av Ransomware Evil) tog på sig attacken. Gruppen bedöms vara kopplad till Ryssland.

Nyligen försvann Revil från nätet. FBI uppges ha "hackat hackarna".

Revil ligger bakom fler cyberattacker, bland annat mot Colonial Pipeline (som sköter driften av USA:s största oljeledning), världens största köttproducent JBS, samt Quanta, en taiwanesisk underleverantör till Apple.

Så jobbar vi med nyheter  Läs mer här!
Läs mer om
Brott & Straff
Sverige
SJ
Apple
TT