Under den senaste veckan har a-kassorna, Norrköpings kommun, Försvarsmakten, it-bolaget Softronic och flera andra offentliga aktörer utsatts för en våg av it-attacker.
Cybersäkerhetsföretaget Truesec har fått i uppdrag att utreda flera av veckans attacker, enligt grundaren och cybersäkerhetsexperten Marcus Murray. Men han har endast fått tillåtelse av tre av uppdragsgivarna – a-kassorna, Norrköpings kommun och Softronic – att nämna dem offentligt.
– Det är tolv incidenter just nu. Men det ändras hela tiden, när någon blir klar börjar någon annan. Några kan innefatta flera organisationer, så det är lite komplext, säger Murray till TT.
"Rysk språkanvändning"
Marcus Murray vill inte uttala sig specifikt om någon av utredningarna, men konstaterar att det finns indikationer på att ryska aktörer ligger bakom några av attackerna.
– Vi gör incidentutredningar och har tillgång till allt material. Där finns indikationer där man tydligt kan dra de slutsatserna. Det är lite svårt att gå in på mer detaljer än så, men det kan till exempel finnas rysk språkanvändning i sammanhanget, säger Murray.
Det finns även indikationer på att andra stater ligger bakom attacker mot Sverige under den senaste veckan, fortsätter han.
– Den senaste tiden har vi gjort utredningar som vi med viss säkerhet kan attribuera till statsaktörer, och som vi med viss säkerhet kan attribuera till kriminella aktörer. Vi ser att båda har fokus på organisationer i vårt land, men jag säger inte vilket fall som är vilket, säger Murray.
"Ett komplext arbete"
Han förklarar att utredningar av cyberattacker sällan leder till att en enskild person eller grupp kan pekas ut med säkerhet.
– Attribuering är alltid svårt, för det är ungefär som i polisvärlden, bara för att man har en misstänkt är den inte dömd förrän du har en rättegång, och i vår värld är det ännu svårare eftersom det inte blir några rättegångar, säger Murray.
– För att attribuera använder vi oss av tidigare modus, vilka verktyg de använder, och då kan en kedja indikera allt från en mycket hög sannolikhet till en låg sannolikhet, och allt däremellan. Vi säger väldigt sällan att det är den och den, du måste antingen ta dem på bar gärning eller spåra tillbaka till en individnivå.
Utredningarna tar i vanliga fall allt från några dagar till några veckor, beroende på attackernas omfattning.
– Det kan vara tusentals datorer i en organisation. Det är ett komplext arbete och kräver en stor insats, både från oss som utreder men också från personalen i själva organisationen.