Tidsfristen ute – här ligger stulen data från cyberattacken

Svenska kyrkan

Data ligger ute på Lockbits sida på darknet. Foto: Skärmdump/Lockbit och Fredrik Sandberg/TT

Data som stals under cyberattacken mot Svenska kyrkan i fjol publicerades under natten på den kriminella organisationen Lockbits sida på darknet.

- Det är sannolikt all den datan, men vi kan inte hundraprocentigt säga att det inte finns mer, säger Per Starke som är avdelningschef för gemensamma funktioner på kyrkokansliet.

Klockan 04.00 på tisdagen publicerades data från den ransomwareattack som Svenska kyrkan utsattes för 23 november i fjol, vilket Kyrkans Tidning var först med att berätta.

– Det är från den attacken, och inte någon ny attack, säger Per Starke.

Enligt honom handlar det om en ”enorm mängd data” som nu ska analyseras – vilket kommer att ta tid. Hur lång tid är i dagsläget oklart.

Logisk följd

Publiceringen skedde efter att cyberbrottslingarna Lockbit ställt ett ultimatum med krav på betalning. Svenska kyrkan har hela tiden meddelat att den inte tänker betala, och publiceringen blir därför en logisk följd av det, säger Per Starke.

Eftersom det handlar om den information som stals i fjol och inte en ny incident, finns det inget behov av att meddela de vars datorer har läckt. Det gjordes efter själva attacken.

Kyrkans Tidning kunde på tisdagsmorgonen bekräfta att en nedladdningslänk hade publicerats. På förmiddagen hade sidan med den publicerade datan fler än 2 000 visningar.

Utpressningsspel

Lockbit är en grupp cyberbrottslingar som erbjuder så kallad ransomware as a service, raas. Det innebär att ”intressenter” med eller utan tekniskt kunnande kan betala Lockbit för att få ta del av mjukvara och annan konsulthjälp för att lägga vantarna på information som sedan kan användas som bricka i ett utpressningsspel. 

Daniel Jaurén är head of threat intelligence på säkerhetsföretaget Truesec, som utfört utredningen efter cyberattacken mot Svenska kyrkan. Han kommenterar inte det ärendet specifikt, men konstaterar att de här brottsliga aktörerna är svåra att stoppa. 

Det är ett väldigt robust cyberkriminellt system, det är svårt att stävja den full ut och den är svår att komma åt, säger han.

En stor del av den kriminella verksamheten bedrivs med Ryssland som bas. Även om det är brottsligt där med straff på upp till sju års fängelse så tillämpas det inte i praktiken, menar Daniel Jaurén. 

Det är att betrakta som en tolererad verksamhet av den ryska staten. 

Attacken mot Svenska kyrkan genomfördes däremot av en annan sådan grupp: ALPHV även känd som Blackcat. I november i fjol stängde FBI gruppens sida på darknet. Den amerikanska polismyndigheten släppte också en krypteringsnyckel som skulle hjälpa de som drabbats av gruppens kapningar.

Rekryterade från Blackcat

Hur informationen kom att landa hos Lockbit är oklart. Men efter tillslaget gick Lockbit ut på darknet med en rekryteringskampanj riktad mot de som tidigare jobbat för Blackcat, skriver Global initiative, en organisation med bas i Schweiz som jobbar för att stoppa transnationell organiserad brottslighet. 

Lockbit bildades 2019 och har under de senaste åren stått för mer än en fjärdedel av alla ransomwareattacker i världen – mer än någon annan aktör 2022 och 2023. 

Att angreppen ökar totalt sett står klart. Truesecs data visar att under 2022 ökade angreppen med 64 procent jämfört med föregående år. 2023 var den siffran omkring 35 procent, berättar Daniel Jaurén. 

Betalar semesterersättning

Brottslingarna har drivit verksamheten som om den vore ett vanligt techbolag. Bland annat har de genomfört spektakulära pr-kampanjer där de har erbjudit 1 000 dollar till alla som tatuerar sig med Lockbit-loggan, och har ett så kallat bug bounty-program som belönar dem som avslöjar säkerhetsluckor genom inskickade buggrapporter. 

Belöningen uppgår som mest till en miljon dollar – alltså drygt tio miljoner svenska kronor.

Vissa delar av det cyberkriminella systemet har egna HR-avdelningar, egna förhandlare, de betalar ut semesterersättning till de som är verksamma. En del ringer till och med upp drabbade efter avslutat angrepp och frågar om de var nöjda med förhandlingsprocessen och den övergripande upplevelsen, säger Daniel Jaurén.

Man måste förstå att detta är ett välorganiserat och specialiserat ekosystem. Utförarna ser sig själva som en sorts säkerhetsgranskare, likt som de vi har i väst, men som tar betalt i efterhand. 

Europeiska polismyndigheter stängde i vintras Lockbits sida efter ett tillslag. Sedan dess har en ny sida öppnats. Illustration: NCA

Framgångsrik "affärsmodell"

Lockbit har dessutom en egen affärsmodell. Vanligen är det raas-aktören som tar emot utpressningspengarna direkt. Därefter betalas de ut till uppdragsgivaren, minus en procentsats i avgift.

I Lockbits fall låter de klienterna ta emot utpressningspengarna för att sedan kräva sin andel av bytet – en modell som har gjort organisationen till ”världens mest skadliga cyberbrottslingar”, som brittiska National Crime Association, NCA, beskriver dem i ett pressmeddelande.

Men Lockbit har också drabbats av en rad bakslag: bland annat läckte källkoden till deras mjukvara, och för två veckor sedan pekade amerikanska, brittiska och australiska polismyndigheter ut den person som de menar ligger bakom Lockbit och som är känd under pseudonymen LockBitSupp: den 31-åriga ryske medborgaren Dimitrij Chorosjev.

Svensk polis i tillslag

I februari i år slog också en rad polismyndigheter under ledning av Europol till mot Lockbit. Operation Cronos ­­– i vilken svenska polisen ingick – ska ha utdelat ett hårt slag mot organisationerna, enligt myndigheterna bakom operationen.

– Det är en stor framgång att se personer identifieras och gripas för denna typ av brottslighet och dessutom lyckas kartlägga och ta ner infrastruktur, sa Björn Eriksson, chef för komplexa cyberbrott vid polisens nationella operativa avdelning, Noa, i ett pressmeddelande.

Men trots tillslaget dök det kort därefter upp en ny sida med stulna data. Lockbit-talespersoner tonade också ner allvaret i ett långt uttalande (som nu är nedplockat) att de blivit ”mycket lata” efter att ha ”badat i pengar” i fem års tid, skriver Global initiative.

Oklar framtid

Trots självsäkerheten menar många experter att tillslagen mot både Blackcat och Lockbit påverkat raas som företeelse. Samtidigt finns det andra aktörer i kulisserna med samma eller andra arbetsmetoder som står beredda att kliva in i tomrummet efter den senaste tidens polisiära operationer.

På frågan om hur Truesec arbetar med den data som påstås vara läckt information från Svenska kyrkan, avböjer Daniel Jaurén en kommentar eftersom det är Truesec som utfört utredningen.

Polisens förundersökning pågår fortfarande. Svenska kyrkan har också sedan tidigare anmält intrånget och personuppgiftsincidenten till Integritetsskyddsmyndigheten, IMY. Eftersom detta inte är en ny incident behöver ingen ny anmälan göras, uppger Per Starke.

Fakta: Stulna uppgifter

Svenska kyrkan har uppgivit att cyberangriparen kan ha fått tillgång till uppgifter om:

  • personer som haft kontakt med kyrkan i olika ärenden eller som deltar i kyrkans verksamhet. 
    För dessa handlar det om uppgifter som namn, personnummer, kontaktuppgifter, medlemskap i Svenska kyrkan och i vissa fall civilstånd. 
  • om ideella, kyrkovalskandidater och tidigare anställda.  För kandidaterna till kyrkoval finns också uppgifter om nomineringsgruppstillhörighet och för ideella medarbetar kan det finnas porträttbilder. 
  • för den som fått utbetalningar från Svenska kyrkan kan kontouppgifter ha stulits.
     

Prenumerera på Nyhetsbrev

0 Kommentarer

LÄGG TILL NY KOMMENTAR

Du måste vara inloggad för att kommentera. Klicka här för att logga in.