Amerikanske myndigheter har hele det siste året tilbudt opptil femten millioner dollar i dusør til personer med opplysninger om de fryktede aktørene bak løsepengevirusene, som er blant de alvorligste digitale truslene som finnes i dag.

Hundrevis av millioner dollar

Torsdag annonserte det amerikanske justisdepartementet at FBI i samarbeid med Europol har klart å infiltrere ett av de viktigste cyberkriminelle nettverkene, kjent som Hive.

– Justisdepartementet tok i går kveld ned et internasjonalt løsepengevirusnettverk som var ansvarlig for å presse ut og forsøke å presse hundrevis av millioner av dollar fra ofre i USA og rundt om i verden, sa statsadvokat Merrick B. Garland på en pressekonferanse.

Ikke bare er selve nettverket satt ut av spill, men myndighetene har også klart å ta tilbake 1300 ulike nøkler som ble brukt for å kryptere ofrenes informasjon. Dermed slipper ofrene å betale minst 1,3 milliarder kroner i løsepenger for å få tilbake dataene sine.

– Også norske virksomheter har vært utsatt for denne typen aktivitet med løsepengevirus fra Hive, sier Erik T. Hansen, politiadvokat ved avsnitt for finansiell cyberkriminalitet i Oslo politidistrikt.

– Det er saker som blir anmeldt til oss og som vi i Oslo politidistrikt har etterforsket. Det er ressurskrevende, store saker å ta tak i, med store mengder digitale spor som må sikres og analyseres. Etter hvert som vi analyserer data, ser vi at vi har mye informasjon, men det er samtidig mye informasjon vi ikke har. Så vi tar kontakt med andre lands politimyndigheter, koordinert gjennom Europol, og prøver å forene krefter, sier Hansen.

Takker Norge

Det var i juli i fjor at amerikansk politi skaffet seg tilgang til Hive-nettverkets kontrollpanel. Gjennom en tjenesteleverandør i California, som ble brukt for å spionere på Hive i et halvt åt. Samtidig samarbeidet de med politimyndigheter over hele verden, som USA nå takker for innsatsen.

Både Kripos og Oslo politidistrikt bekrefter at Norge har bidratt til etterforskningen, blant annet ved å dele informasjon om sakskomplekset med FBI og Europol. Flere av de norske sakene som skal være berørt av Hive skal alle fortsatt være under etterforskning.

– Oslo politidistrikt har det siste året, i samarbeid med Kripos, etterforsket løsepengeangrep rettet mot ulike virksomheter i Norge. Infrastruktur tilknyttet Hive er antatt å ha vært benyttet ved flere av disse angrepene, sier Hansen.

Løsepenger som tjeneste

Hive brukte ransomware-as-a-service (RaaS)-modellen, en abonnementsbasert modell der utviklerne eller administratorene utvikler en løsepengevirusstamme og lager et brukervennlig grensesnitt for deretter å rekruttere tilknyttede selskaper for å spre løsepengeviruset til ofrene.

– Hive opererte ut fra en modell med dobbel utpressing. Først infiltrerte de offerets system og stjal sensitive data. Så utløste de skadevare som krypterte offerets system og gjorde det ubrukelig. Og til slutt ba de om løsepenger for nøklene og en løfte om ikke å publisere de stjålne dataene, uttalte den amerikanske statsadvokaten torsdag kveld.

– Vi har bidratt i aksjonen ved at vi har mottatt og delt informasjon som har vært av betydning i den samlede etterforskningen av grupperingen som omtales som Hive. Vi mottar anmeldelser på denne typen forhold og underveis har vi funnet at det er flere norske virksomheter som har vært rammet av denne grupperingen, eller undergrupper, sier Hansen.

Han vil ikke oppgi navnet på selskapene.

– Er det store selskaper i Norge?

– Det er store selskaper i Norge som er rammet. Det er noe av siktemålet til denne grupperingen, som er en solid, profesjonell aktør på det kriminelle området, sier han.

1500 ofre globalt

Hives programvare er kjent for å brukes av en rekke forskjellige cyberkriminelle syndikater. Angriperne har siden 2021 hadde klart å presse ut mer enn 100 millioner dollar fra sine ofre rundt om i verden. Både sykehus, skoler, finansselskaper og kritisk infrastruktur har vært blant de minst 1500 ofrene til Hive i 80 land.

Hive, som ofte spres gjennom phishing-epost, er blitt brukt i målrettede angrep mot virksomheter over hele verden. Når den skadelige programvaren infiserer en datamaskin, låser den alle offerets filer og gjør dem helt utilgjengelige. Når skaden er et faktum, får ofrene et eget løsepengenotat med instrukser om hvordan de må gå frem for å betale millionsummer i løsepenger i kryptovaluta for å få tilgang til nøkkelen.

Sikkerhetsselskapet Mandiant har anslått at Hive sto for over 15 prosent av alle løsepengevirusangrep selskapet håndterte i 2022.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.