Svenska bolag utpressas av hackers

– De senaste 18 till 24 månaderna har vi sett en oerhörd förändring som innebär att hackers i allt högre grad riktar in sig på företag. Nu är de ute efter information, antingen information som ger pengar direkt – som till exempel kontokortsnummer – eller information som kan användas för utpressning. Det har också blivit vanligare att hackers inte själva utnyttjar den kontroll han eller hon tar över datorerna, utan säljer den till spammare, säger Joakim von Braun, och tillägger:

– Nu verkar det dessutom som om alla hackers har kommit tillbaka från semestern.

Enbart sedan den 14 augusti i år har fyra maskar spridits: Spybot, Zotob, Esbot och Reatle, och de finns i totalt 18 olika varianter. De flesta utnyttjar ett nytt säkerhetshål i Microsofts operativsystem Windows (MS05-039). Säkerhetshålet finns i datorns Plug and Play-funktion, en funktion som gör att det är lätt att ansluta skrivare, scanners och andra tillbehör till datorn utan installation av nya dataprogram.

Enligt tidskriften Red Herring ska en rad större företag ha drabbats av dessa maskar, däribland kontokortsföretaget Visa, amerikanska konglomeratet General Electric, expressföretaget UPS, tv-kanalerna CNN och ABC samt tidningsföretagen New York Times och Financial Times.

Även svenska bolag har drabbats, däribland ABB och Electrolux. Den offentliga arbetsgivaren Stockholms Stad har också angripits. Men det är långt ifrån alla företag som vill erkänna att de utsatts för hackerattacker.

I torsdags dök Zotob.L upp. Det nya med Zotob.L är att den utnyttjar hela fyra olika säkerhetshål i sina försök att sprida sig. Det handlar om säkerhetshål i MS05-039, MS05-017, MS04-007 och MS03-049.

– Alla de här varianterna är en ny typ av datavirus och en blandning mellan mask och trojansk häst. Förutom att de kan sprida sig automatiskt till datorer utan att någon användare sitter vid datorn – masken loggar alltså själv in på datorer i företagsnätverket – öppnar de en bakdörr till datorn som innebär att hackern kan ta full kontroll.

Med hjälp av bakdörren kan hackern ”injicera” olika typer av program i företagens datorer.

– Datorn ansluts till en hackerserver ute på Internet. Små filer eller program laddas ned och startas. Beroende på vilka program som injiceras kan hackern till exempel logga allt som skrivs på tangentbordet och registrera all intern trafik över nätverket som oftast går i klartext.

Så kallade denial of service-attacker, eller blockeringsattacker, har enligt IT-säkerhetsexperter också ökat dramatiskt.

– Flera tusen smittade privata datorer kan skicka så många anrop till samma sida att kunderna nekas åtkomst. För online-företag vars hela försäljning sker på nätet är det här oerhört allvarligt. Försäljningen uteblir under attacken och i värsta fall handlar kunderna istället av en konkurrent.

Används även blockeringsattacker i syfte att utöva utpressning?

– Du kan ju bara tänka dig ett onlineföretag vars verksamhet legat nere i ett par timmar eller dagar. Om hackern då lovar att sätta stopp för attacken i utbyte mot en summa pengar…

Finns det bolag som betalat?

– Det finns företag som betalat lösensummor, både i Sverige och USA.

Hur mycket pengar handlar det om?

– Tiotusentals dollar.

Vilka företag handlar det om?

– Det kan jag inte säga. Men det handlar om bettingverksamhet, försäljning av till exempel flygbiljetter och böcker.

I maj kom ”kidnapparviruset” PGP-Coder – en trojansk häst som använde sig av en sårbarhet i Windows för att kryptera dokument, bland annat html-filer, jpg-bilder, doc.filer, excelark och zipfiler. Vid de krypterade filerna låg ett meddelande inlagt där utpressaren erbjöd den digitala nyckeln till dokumenten till en kostnad av 200 dollar.

Säkerhetsexperter lyckades visserligen ta fram den digitala nyckeln som kunde dekryptera dokumenten, och enligt uppgift ska inget företag ha betalat lösensumma. Men experterna varnade samtidigt för att uppdaterade versioner kommer att bli betydligt svårare att hantera. Offren kommer att tvingas betala för nyckeln om hackern inte åker fast.

Har PGP-Coder någon likhet med de senaste maskarna?

– Inte på annat sätt än att även PGP-coder användes för ekonomisk brottslighet.

Kan ett företag känna sig säkert om maskar som Spybot, Zotob, Esbot och Reatle har eliminerats från datorerna?

– Man kan inte veta vad som installerats på de olika datorerna, de kan innehålla olika typer av bots, alltså filer eller program som innebär att hackern fortfarande kontrollerar dem. För att vara säker måste man radera hårddiskarna och ominstallera allt.