Ramsomware-attacker utförs även för politiska syften

Författare:

|

Datum:

|

Författare: Kave Noori

I förra veckans artikel rapporterade Forum för Dataskydd att ransomware-attackerna mot hälso- och sjukvården samt utbildningsinstitutioner ökat massivt. Många drabbade organisationer frågar sig om de ska betala lösensummor för att få tillbaka sin data. I dagens uppföljande artikel tittar vi närmare på konsekvenserna av att betala lösensummor.

Vad är ransomware?
Ransomware är en typ av skadlig kod som hindrar eller begränsar användarna från att komma åt sitt system, antingen genom att låsa systemets skärm eller genom att kryptera systemets filer. En lösensumma krävs sedan för att användaren ska få tillgång till sitt system igen. Den vanligaste betalningsmetoden som angripare kräver är kryptovaluta, men andra metoder kan också användas, till exempel presentkort eller banköverföringar.

Därför ska du inte betala lösensummor
Det finns flera skäl till varför du inte bör betala för ransomware. För det första gör du det mer lönsamt för angriparna att fortsätta sina attacker. För det andra finns det inte några garantier för att du får tillbaka din data. Genom att betala lösensumman riskerar du för det tredje att göra det lättare för kriminella att fortlöpa med sin verksamhet.

Det finns också ett bättre sätt att få tillbaka sin data: No More Ransom är ett offentlig-privat initiativ som tillhandahåller gratis dekrypteringsverktyg och information om hur man undviker att bli infekterad av ransomware. Initiativet hade denna vecka enligt Europols pressmeddelande (26 juli 2022) sitt sexårsjubileum och har sedan starten hjälpt över 1.5 miljoner människor att framgångsrikt dekryptera sina enheter utan att betala brottslingar. Portalen finns tillgänglig på 37 språk.

Chainalysis rapport om brottsliga kryptotransaktioner
Chainalysis är ett företag som jobbar med digital forensisk analys av blockkedjetransaktioner. Företaget har utvecklat ett antal verktyg och tjänster för att hjälpa brottsbekämpande myndigheter, finansinstitut och företag att utreda och förebygga brott som involverar kryptovalutor.

Chainalysis har släppt sin rapport om kryptobrottslighet för 2022, som beskriver trenderna inom kryptorelaterad brottslighet. Enligt rapporten föredrar cyberbrottslingar att använda kryptovalutor för sina ransomware-attacker.

Brottslighet baserad på kryptovalutor nådde enligt rapporten en ny rekordnivå under 2021, med 14 miljarder dollar i olagliga transaktioner. Men den totala användningen av kryptovalutor ökade mycket snabbare än den kriminella verksamheten, mellan 2020 och 2021 ökade den totala transaktionsvolymen med 567 %. Detta innebär enligt rapporten att olaglig verksamhet nu utgör en mindre andel av den totala användningen av kryptovalutor än någonsin tidigare.

Trots att det ekonomiska värdet av olagliga transaktioner nådde sin högsta nivå någonsin, utgjorde transaktioner med plånboksadresser som förknippats med olaglig verksamhet endast 0,15 % av den totala transaktionsvolymen för kryptovalutorna år 2021. Samtidigt framhåller rapporten att de årliga trenderna tyder på att brottsligheten blir en allt mindre del av ekosystemet för kryptovalutor, med undantag för 2019. De brottsbekämpande myndigheternas förmåga att slåss mot kryptovalutabaserad brottslighet är också under ständig utveckling.

Ransomware-attacker med politiska motiv
De flesta attacker med ransomware är enligt rapporten finansiellt motiverade. Vissa attacker verkar dock enligt rapporten vara motiverade av geopolitiska mål och utförs av aktörer med nära koppling till främmande makt. Ransomware-attacker med geopolitiska motiv är mer inriktade på bedrägeri, spionage, sabotage, ryktesspridning och att störa en motståndares verksamhet.

Chainalysis-rapporten innehåller ett stapeldiagram över antalet varianter av ransomware med misstänkta kopplingar till specifika länder. Iran (21), Ryssland (16) och Kina (4) är de tre länder som har flest varianter, medan Nordkorea (2) har minst antal sådana. Många av de attacker med ransomware som tillskrivs Iran är enligt rapporten i själva verket motiverade av geopolitiska skäl. Dessa attacker används ofta för att störa verksamheter eller dölja spionage.

I Chainalysis-rapporten konstateras vidare att ransomware kan vara ett användbart verktyg för fientliga stater eftersom de är relativt billiga att utföra och ger angriparen möjligheten att på ett trovärdigt sätt förneka sin inblandning. Även attacker med ransomware som utförs helt utan ekonomiska motiv lämnar dock ett spår i blockkedjan, vilket enligt rapporten kan användas för att identifiera de personer som är inblandade i attackerna, vilka verktyg de använder och hur de tvättar eventuella intäkter.

Nordkoreas cyberarmé stjäl för att finansiera militär och kärnvapen
I förra veckans artikel stod det att sjukhus i USA har varit måltavlor för en aggressiv ransomware-kampanj från Nordkorea sedan 2021. Nordkorea storsatsar på att utbilda cybersolater som utför attacker för att öka inkomsterna till staten. På detta sätt har Nordkorea som litet land jämnat ut oddsen mot länder med större ekonomiska och militära muskler.

Det enda som krävs för att bli en cybermilitär stormakt är att man har tillgång till individer som är mycket duktiga på att hantera datorer. Hackerattacker har blivit ett sätt för Nordkorea att generera inkomster till statskassan. Landet använder cyberattacker för att kringgå internationella sanktioner och använder sedan intäkterna för att finansiera sin militär.

Enligt en grävande artikel i The New Yorker är Nordkoreas verksamhet för cyberbrott omfattande. Taktikerna sträcker sig från att stjäla från banker till användning av ransomware och stöld av kryptovalutor från digitala marknadsplatser.

Enligt artikeln har Nordkorea historiskt sett tjänat pengar på statssponsrad kriminell verksamhet genom smuggling, förfalskning, handel med utrotningshotade arter och tillverkning av olagliga droger. På senare år har landet flyttat sitt fokus till internet.

Staten investerar i högpresterande unga som kan bli duktiga programmerare
I de flesta länder utvecklar hackare sina färdigheter genom att experimentera med datorer hemma i tonåren. Så funkar det dock inte i ett land som Nordkorea med stark internetcensur där få familjer har en dator hemma. Hackare i Nordkorea tränas enligt artikeln på ett sätt som liknar hur olympiska idrottare tränades i det forna Sovjetblocket. De mest lovande eleverna uppmuntras att använda datorer i skolan, och de som utmärker sig i matematik skickas till specialiserade gymnasieskolor. Detta verkar vara en del av statens strategi för att utveckla sin kapacitet inom cyberbrottslighet.

Två lärosäten i Pyongyang, Kim Chaek University of Technology och Kim Il Sung University, fångar upp de mest begåvade tonåringarna från specialiserade gymnasieskolor för matematik och datorer. Dessa institutioner lär ut avancerade programmeringsfärdigheter och deras studenter överträffar ofta studenter från amerikanska och kinesiska högskolor i International Collegiate Programming Contest.

Nordkoreas ledare har enligt artikeln länge varit medvetna om potentialen hos cyberattacker. År 2005 sade Kim Jong Il att ”om Internet är som en pistol, är cyberattacker som atombomber”. Hans son Kim Jong Un kom till makten 2012 och såg hur tekniken kan utnyttjas för ekonomisk vinning och konstaterade att hans cyberarmé skulle kunna ”tränga igenom alla sanktioner”. Kim Jong Un har också uttalat att landets cyberförmåga, är ett ”allsidigt svärd som garanterar det nordkoreanska folkets väpnade styrkor hänsynslös slagkraft, tillsammans med kärnvapen och missiler”. Det var först när Nordkoreas cyberstyrkor genomförde tre omfattande cyberattacker mellan år 2014 – 2017 som västvärlden började ta cyberhotet från Nordkorea på allvar.

Det är enligt artikeln svårt att bedöma hur framgångsrika de nordkoreanska hackarna varit. Nordkoreas regering förnekar sin inblandning i cyberattacker som experter tillskriver nordkoreanska hackare och ingen annan tar heller åt sig äran. FN:s expertpanel för sanktioner mot Nordkorea uppskattade dock år 2019 att landet hade kommit över 2 miljarder dollar genom sin cyberbrottslighet. En stor del av intäkterna från den nordkoreanska statens cyberbrottslighet används för att finansiera landets militära program, inklusive utvecklingen av kärnvapenmissiler. Det finns enligt artikeln gott om bevis för att de nordkoreanska hackarna både blivit mer uppfinningsrika och höjt tempot. 

Slutsats
Ransomware-attacker blir allt vanligare och mer destruktiva, och ibland finns det alternativ till att betala lösensumman. Att betala lösensumman kan också orsaka skada. Ransomware-attacker kan även bero på vissa nationers politiska mål. USA har precis höjt belöningen för den som lämnar tips om medlemmar i nordkoreanskt sponsrade grupper av hackergrupper till 10 miljoner dollar.

Läs mer:

Hemsida, “No More Ransom”

Europols pressmeddelande 26 juli 2022

Chainalysis 2022 Crypto Crime Report 

Grävande journalistisk artikel i The New Yorker ”The Incredible Rise of North Korea’s Hacking Army” publicerad den 19 april 2021

Artikel i Bleeping computer 26 juli 2022 om att USA dubblar belöningssumman för den som lämnar tips som om statssponsrade nordkoreanska hackergrupper

Tips för vidare fördjupning

Artikel i det amerikanska mediet Cyberscoop publicerad 18 jan 2022 om att ransomeware inte alltid används av kriminella gäng som vill tjäna pengar. Ibland används det av främmande makt för att skapa kaos.

ZDNet publicerade en artikel den 5 juli 2022 om varför ransomware fortfarande är ett stort problem

Artikel om hur Nordkoreas cybersoldater drar intäkter till kärnvapen. Artikeln är skriven av Min-hyung Kim, professor i statsvetenskap vid Kyung Hee University, Seoul, Sydkorea. Artikeln har publicerats i ”The National Interest” som är ett medium för diskussion om amerikansk säkerhetspolitik utifrån amerikanska intressen:

Artikel i Bank Info Security 16 maj 2022 som tar upp att nordkoreanska hackare fortsätter att experimentera med nya ransomware varianter

Artikel i ARN (Australiensiskt medium) den 22 juni 2022 om att säkerhetsforskare som granskar cyberkriminella och främmade makt blir hotade