Bara i Sverige har viruset skickats ut till 1,6 miljoner e-postadresser och mejlen har sett ut att komma från Telia eller Postnord. De interna meddelandena i databasen SVT kommit över är skrivna på ryska. Foto: Eva Eliasson, SVT Design

SVT avslöjar: Unik läcka – nätutpressare kopplas till Ryssland

Uppdaterad
Publicerad

Anonyma hackare har de senaste åren skickat miljontals bluffmejl som sett ut att komma från Telia och Postnord. Den som klickat har fått sin dator låst och tvingats betala en lösensumma för att få filerna tillbaka. Genom en unik läcka har SVT tillgång till utpressarnas egna databas. Spåren pekar mot Ryssland.

Utpressningsvirus växer explosionsartat och orsakar skador för tiotals miljarder kronor varje år. Myndigheter, företag och miljontals privatpersoner världen över har fått sina datorer förstörda av kriminella hackers som ingen lyckas stoppa.

Men genom en världsunik läcka kan SVT i dag avslöja de innersta hemligheterna i det nätverk som attackerat Sverige med hjälp av bluffmejl som sett ut att komma från Telia och Postnord.

Digital utpressning

– Det är otroligt ovanligt att få insyn i hur den nya cyberbrottsligheten fungerar. Här kan ni följa deras system inifrån, säger Kim Zetter, amerikansk författare och föreläsare som bevakat den digitala utpressningen under lång tid.

Kan följa från insidan

I den hemliga databasen som SVT Nyheter kommit över tillsammans med Uppdrag granskning, finns miljontals uppgifter från angriparnas kommandocentral som gör att vi kan följa attackerna från insidan. Vi kan se källkod, hemliga meddelanden mellan utpressarna och vilka offer som har betalat.

Sammanlagt har nätverket attackerat datorer i 31 länder. Tillsammans med Sverige är Australien, Polen, Spanien, Italien, Turkiet och Indien de länder som drabbats hårdast och i databasen kan vi läsa offrens desperata rop på hjälp där de ber utpressarna att låsa upp deras datorer.

– För de drabbade kan det vara katastrof eftersom man har sina liv i datorerna idag, säger Anders Ahlqvist, IT-brottsexpert på polisen.

Maskerade mejl

Europol beskriver utpressningsvirus, även känt som ransomware, som det största hotet på nätet i dag.

– Så länge kriminella nätverk kan tjäna stora pengar på detta och inte åker fast så kommer det bara att öka, säger Fernando Ruiz, chef för Europeiska it-brottscentrumet.

Bara i Sverige har viruset skickats till 1,6 miljoner e-postadresser. Mejlen som spridits ser ut att komma från Postnord eller Telia. Mottagarna uppmanas att klicka på en länk för att ladda ner en faktura eller paket-avi. Några sekunder senare är datorn låst. Viktiga dokument, dagböcker och familjebilder blir omöjliga att öppna om användaren inte betalar en lösensumma på mellan 4000 och 6000 kronor i den digitala valutan bitcoin.

– Det är väl därför så många betalar så snabbt, för att summan inte är större. Man får panik och det är billigare att betala än att köpa en ny dator, säger en drabbad man från Stockholm som vi hittar i databasen.

Pekar mot organiserad brottslighet

Sammanlagt upptäcker vi över 20 000 krypterade svenska datorer. Men i läckan finns också spår från de anonyma utpressarna. I en lista över infekterade datorer har de skrivit kommenterar till varandra om bankkonton, tömda datorer och hur mycket pengar som går att tjäna. Kommentarerna är skrivna på ryska. Och det finns fler spår som pekar österut.

När en användare öppnar den nedladdade filen krypteras hårddisken och via loggfiler kan vi se hur krypteringsprogrammet till slut skickar den specifika nyckeln till en server i Ryssland. Enligt kommandocentralens IP-adress så har attackerna också styrts från en uppkoppling i centrala Sankt Petersburg.

Företaget som äger uppkopplingen har inte svarat på vilka som ligger bakom datorerna, men enligt flera experter SVT talat med så pekar spåren mot den organiserade ryska brottsligheten.

– Ryssland har blivit ett centrum för cybercrime i världen. Det var där utpressningsvirus uppfanns och den traditionella ryska maffian är i dag ihopkopplad med hackers som tjänar stora pengar på utpressningsvirus, säger Kim Zetter till SVT.

Läckan i korthet

Genom en världsunik läcka kan SVT nu avslöja de innersta hemligheterna i ett stort nätverk som attackerat världen med utpressningsvirus i flera år.

  • Tillsammans med Sverige har Australien, Polen, Spanien, Italien, Turkiet och England drabbats hårdast. Sammanlagt har nätverket attackerat offer i över 30 länder.  
  • 1,6 miljoner svenskar har fått utskicken från Telia- och Postnord-kampanjen. Minst 20.000 svenskar har laddat ned viruset.
  • Nätverket tar emot lösensummor i den digitala valutan bitcoin som ger stora möjligheter till penningtvätt och anonymitet. Offren uppmanas betala motsvarande 400 till 6000 kronor i bitcoin.
  • Spåren leder till Ryssland och en internetleverantör i Sankt Petersburg. Därifrån har attackernas styrts. När en användare öppnar den nedladdade filen krypteras hårddisken och via olika platser i världen skickar krypteringsprogrammet till slut iväg den specifika nyckeln till Ryssland.
  • Nätverkets senaste kampanj avslutades våren 2017. Den server som SVT:s fått tillgång till är inte längre aktiv men verkade mellan hösten 2015 och våren 2017.

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.

Digital utpressning

Mer i ämnet