Milliardtyvene

I sørlandsbyen Arendal skinner solen ned på en halvtom parkeringsplass foran en høy, rød bygning. Innenfor ligger Telenor Security Operation Center, også kalt «SOCen». Her jobber senior sikkerhetsanalytiker i Telenor, Jan Roger Wilkens. Hans ansikt lyses opp av de mange dataskjermene.

Et typisk løsepengevirus-angrep varer kun noen timer, eller få dager, fra de kriminelle kommer seg inn i nettverket, til krypteringen har blitt gjennomført.

Hvem er de som angriper?

Inne i sikkerhetssenteret er skjermene fulle av grafer og verdier. En hvit, digital klokke har kontroll på tiden. I det stille, mørke rommet kikker en kollega opp og nikker til Wilkens før han konsentrert ser tilbake på skjermen.

– Her overvåker vi datatrafikk døgnet rundt for å se etter uregelmessigheter og for å stoppe eventuelle digitale angrep tidlig, sier Wilkens.

Det finnes lite konkret informasjon om hvem det er som står bak de forskjellige løsepengevirus-angrepene, eller hvor de holder til. De fleste teoriene hevder at det er kriminelle gjenger fra Øst-Europa, men at det også kan dreie seg om nasjonalstater.

– Nasjonalstater som gjør innbrudd i nettverk tar seg ofte god tid og blir i nettverket i månedsvis for å sanke så mye informasjon som mulig. De kriminelle er kun ute etter å spre programvaren sin til flest mulig PC-er, for så å begynne krypteringen før de blir oppdaget, forteller Wilkens.

Tilgang til avansert kompetanse

Løsepengevirus-bandene har blitt mer profesjonaliserte, og kan i noen tilfeller infisere tusenvis av bedrifter ved å angripe én enkelt underleverandør.

– Når angriperne først har fått tilgang, jobber de målrettet for å bryte seg inn i domenekontrolleren, selve «hjertet» i nettverket som har  kontroll over alle maskinene i en bedrift, forklarer Wilkens.

Angriperne er som oftest ute etter to ting. De vil laste ned mest mulig konfidensiell informasjon fra bedriften, for å senere bruke dette til utpressing. Når de har fått tak i denne informasjonen vil de prøve å kryptere PC-er og servere. Deretter krever de løsepenger for å låse opp PC-ene, og for å ikke offentliggjøre den stjålne informasjonen.

Sats på god datasikkerhet

Jan Roger Wilkens ser rolig opp på de store skjermene i operasjonssenteret. Det er ingen konkrete tall på hvor mange løsepengevirus-angrep som har rammet norske bedrifter, men flere store bedrifter har blitt angrepet de siste årene. Generelt er datasikkerheten på et høyt nivå, sammenlignet med mange andre land.

– Vi er også et rikt land og bedriftene har programvare-lisenser i orden. I mange land er det dessverre utstrakt bruk av piratkopiert programvare, sier Wilkens.

Telenor anbefaler ikke å betale løsepenger om man blir utsatt for et angrep.

– Dersom man betaler sendes et signal om at dette er en ok løsning - både til bedrifter og kriminelle. Man er med på å finansiere kriminelle nettverk, og bandene som står bak får enda mer penger til å finslipe angrepsteknikkene sine, avslutter Wilkens.

Løsepengevirus-aktører tjener milliarder av dollar på sin virksomhet. Det har blitt en handlemåte som utsetter samfunn, borgere og nasjoner for økt risiko, men samfunnet er blitt mer bevisst denne trusselen. Ransomware Task Force er et samarbeid med over 60 ulike representanter fra teknologi- og sikkerhetsbedrifter, regjeringer, politi og internasjonale organisasjoner. Dette internasjonale samarbeide er satt i gang for å redusere effekten av angrepsformen.

• De største løsepengevirus-gruppene, som REvil og DarkSide, har den siste gått under jorden. Dette kan tyde på at de har skjønt at de har laget for mye støy og fått for mye oppmerksomhet.
• I 2020 økte den gjennomsnittlige utbetalingen etter et løsepengevirus-angrep med 171 prosent til 312.493 dollar.
• I mai 2021 betalte det amerikanske forsikringsselskapet CNA Financial 40 millioner dollar i løsepenger etter et løsepengevirus-angrep.