In English
retail ransomware

3 november, 2020

Ransomware-våg mot retailbolag

Den senaste tiden har vi kunnat läsa om flera uppmärksammade säkerhetsincidenter hos svenska retailbolag. Bland de drabbade finns optikerkedjan Synsam och vitvarukedjan Tretti.se.

COVID-19-pandemin som har spridits världen över har förändrat hur vi människor lever och interagerar med varandra. Företag har tvingats till att öka sin digitaliseringstakt, bland annat för att möjliggöra för anställda att sköta sitt dagliga arbete på distans.

Tyvärr har inte cyberkriminella gått i ide, utan har istället intensifierat sina angrepp under den här perioden. WHO och andra institutioner vittnar om en kraftig ökning av cyberattacker sedan pandemins intåg och senast igår varnade MSB för en ökad hotbild mot vissa sektorer.

En av de attacktyperna som sticker ut och som också har drabbat en rad svenska retailbolag på sistone är ransomware; avancerade utpressningsattacker där filer, system eller hela IT-miljöer tagits som gisslan av angriparna. För att ta sig ur knipan behöver det utsatta företaget betala stora summor pengar, ibland miljonbelopp, till angriparna.

Varför är retailsektorn intressant ur angriparens perspektiv?

Seriösa angripare är medvetna om att retailbolagens affär i allt större utsträckning är digital och är beroende av IT för bland annat lagerhantering, inköp, tidsbokning och mycket annat. De hanterar också mer kunddata än någonsin, i många fall känsliga och utförliga uppgifter för att kunna personalisera erbjudanden till sina kunder.

Med andra ord kan en lyckad ransomware-attack åsamka stora störningar i verksamheten som snabbt orsakar kostnader och följdproblem. Attacken mot Synsam ledde exempelvis till att interna IT-system låg nere och att webben var otillgänglig, vilket gjorde det svårt att boka tider för synundersökningar. Prövningar av det här slaget – när allt ställs på sin spets – gör naturligtvis att betalningsviljan snabbt ökar hos de organisationer som inte har en väl fungerande strategi för att avvärja hotet och återställa verksamheten till normalläge.

Cyberattacken mot Synsam

Det var i mitten av september som en rad olika system hos Synsam slutade att fungera. Bland de påverkade systemen fanns betalsystem, mjukvara för synundersökningar och företagets webbplats. Efter en vecka var fortfarande webben otillgänglig för befintliga och potentiella kunder.

I en rapport till Datainspektionen framgår det att haveriet inte berodde på ett tekniskt fel utan att företaget blivit hackade. Synsam återger bland annat att:
“Vad vi vid denna tidpunkt känner till så verkar det röra sig om ett utpressningsförsök.”

På en webbplats på darknet uppger hackergruppen bakom attacken att Synsams system har blivit “låsta”, inklusive deras säkerhetskopior. På webbplatsen går det att ta del av mer information om företaget och vad som stulits, dessutom fanns möjligheten att lägga ett bud för att köpa företagets känsliga information.

Cyberattacken mot Tretti.se

Ett annat företag som drabbats på sistone är vitvarukedjan Tretti, vars moderbolag Whiteaway Group, utsattes för en utpressningsattack. Angripare hade lyckats få ett fotfäste i organisationens IT-miljö och därigenom kunnat stjäla känslig information, som de sedan begärde pengar för att inte publicera på internet.

Whiteaway Group ska inte ha betalat lösensumman och har anmält attacken till polisen. Bolagets vd Esben Aabenhus vill i en intervju med Computer Sweden inte uttala sig om hur läckans omfattning, men säger i samma intervju att ”ett begränsat antal användarkonton har läckt, varav ett litet antal i Sverige. Användaruppgifterna gäller e-postkonton och de kontaktuppgifter vi enligt lag måste hålla i våra system”.

Bolaget uppger att de har tagit tillbaka kontrollen över sina system och uppmanar sina kunder att vara uppmärksamma gällande mail från okända avsändare.

Attackerna blir allt mer sofistikerade

Utpressningsattacker är något att ta på största allvar. Vi ser en utveckling där angreppen blir allt mer riktade mot specifika företag, och där man tack vare ett fotfäste i organisationens IT-miljö kan förflytta sig tills man kommer över de absolut känsligaste systemen eller informationen. På så sätt sätter man företaget i en sits där det mer eller mindre måste betala lösensumman för att inte bli av med sin information eller få åtkomst till system, som i många fall är affärskritiska.

– De incidenter som uppdagas nu har i många fall inletts flera månader, kanske till och med år, sedan. När angriparna väl har lyckats ta sig in på företagets insida, kanske genom ett enkelt phishing-mail eller en sårbarhet i någon publik tjänst, lägger de mer tid på att se till att skadan de åsamkar blir så kostsam som möjligt för företaget för att därigenom göra dem mer benägna att betala en högre lösensumma, säger Kalle Zetterlund, CTO på Sentor.

Vad kan jag som retailer göra för att skydda mig?

Så hur kan man gå tillväga för att ta reda på hur sårbar man som organisation är för en attack av den här karaktären? Börja med att ställa dessa frågor till din IT-säkerhetsansvarige;

  • Om vi skulle drabbas av ett intrång av den här sorten, skulle det då kunna upptäckas innan filer började krypteras?
  • Om vi skulle få in ransomware på vårt nätverk, har vi då backuper som förvaras så säkert att de inte också skulle drabbas?
  • Om en hackare har tagit kontroll över en anställds dator och använder den för att börja hacka andra datorer på det interna nätverket, hur skulle det upptäckas? Skulle detta kunna vara något som redan pågår?

För dig som vill veta mer om vad du som organisation kan göra för att förhindra ransomware, så rekommenderar vi vårt whitepaper på ämnet. Ladda ned det här!

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.