Det är svårt att avgöra vem som är den verkliga förövaren bakom cyberbrott, med tillräcklig säkerhet för att någon ska kunna åtalas för brott. Bara att peka ut vilket land en cyberbrottsling kommer ifrån kan vara svårt att avgöra med hundra procents säkerhet. Samtidigt så finns det mycket som som pekar mot att en stor del av alla cyberbrott härstammar från Ryssland och det forna Sovjetunionen.
Det finns mängder av indicier som talar för att de flesta stora ransomware-ligorna består av individer bosatta i Ryssland. Dessa indicier innefattar rekrytering av nya medlemmar på ryska nätforum, krav på ryskspråkighet hos presumtiva rekryter, det faktum att medlemmar i ligan förbjuds angripa företag och myndigheter i Ryssland eller OSS. Många typer av ransomware har till och med hårdkodade spärrar som stoppar koden från att exekvera om det angripna systemet har rysk språkinställning, eller en rysk IP-adress.
Nu arbetar många ransomware-ligor enligt ”Ransomware-as-a-Service”-modellen, där en grupp cyberbrottslingar lejer frilansande hackare att göra nätverksintrång åt dem. I dessa fall kan operatörer från hela världen knytas till gruppen, men det finns alltid en kärna, av oftast ryska brottslingar, som organiserar hela operationen.
Stora ransomwareangrepp, som påverkar stora nätverk och ger upphov till krav på mångmiljonbelopp i lösensummor (även känt som ”Big-Game-Hunting”), kräver organiserade team av cyberbrottslingar som arbetar tillsammans. Det mest framgångsrika ransomware-gänget 2020 var Ryuk-gruppen. Enligt en studie från säkerhetsföretaget Chainalysis så lyckades Ryuk-gruppen ensamma få in nästan en tredjedel av de lösensummor som utbetalades förra året.
Faktum är att the 10 mest framgångsrika ransomware-gängen i Chainalysis rapport är troligen alla från Ryssland. Vi på Truesec har analyserat dem och de uppvisar alla mer än två eller flera indikationer på att de härstammar från Ryssland.
Som nämndes ovan så kan vissa ransomwaregrupper kontraktera frilansande hackare från hela världen, men en organisation kommer oftast från ett team av cyberbrottslingar från Ryssland. Enligt en studie av Dr Michael McGuire så har olika ransomwaregrupper tillsammans tjänat upp till 9 miljarder kronor under 2020, varav det mesta hamnar i Ryssland.
Den totala kostnaden för cyberbrottslighet är dock betydligt högre och innefattar även driftstörningar, återställning av förlorade data, förlust av känslig företagsinformation och andra skador. Truesecs rapport Threat Intelligence Report 2021, visar att den totala kostnaden för cyberbrottsligheten bara i Sverige uppgår till nästan 30 miljarder kronor.
Varför kommer då alla stora ransomware-gäng från Ryssland? Det finns sannolikt många förklaringar. Ryssland har ett relativt väl utvecklat utbildningssystem inom teknik och vetenskap, men förhållandevis låga löner för dataspecialister. Med dessutom ett företagsklimat fyllt av korruption och insiders så blir chanserna att lyckas som en tech-innovatör ganska små. En intervju med en ransomware-operatör, publicerad av Talos, ger goda insikter i hur en rysk cyberbrottsling ser på sin verksamhet.
Med tanke på den tekniska skicklighet och den organisatoriska förmåga som krävs för att driva en framgångsrik cyberbrottsgrupp, är det möjligt att dessa individer hade kunnat vara ledare för en modern tech-startup om de istället hade vuxit upp i väst.
Som tidigare nämnts så undviker dessa ransomware-gäng som regel att angripa mål i Ryssland. Det är osannolikt att det skulle vara på grund av någon slags patriotism. Snarare är det nog så att de försöker undvika att dra till sig uppmärksamhet från den ryska säkerhetstjänsten. Detta i sin tur tyder på att ryska brottsbekämpande myndigheter lämnar dessa grupper i fred, så länge de inte går mot mål i Ryssland eller dess allierade.
Flera källor hävdar att ryska cyberbrottslingar aktivt samarbetar med den ryska säkerhetstjänsten FSB, antingen frivilligt mot betalning, eller under tvång. Det finns till och med ett anmärkningsvärt fall där ryska myndigheter gjort allt för att skydda en känd rysk cyberbrottsling från att utlämnas till USA från Israel.
Oavsett om det är för att man aktivt samarbetar med den ryska regeringen, eller för att de helt enkelt lämnas i fred, så kvarstår faktum att ryska cyberbrottslingar har ett relativt mått av frihet att verka i Ryssland, så länge de håller sig till spelreglerna. Det ger dem utrymme att utveckla sin kriminella verksamhet till stora organiserade nätverk.
De framgångar som kriminella aktörer som Ryuk-gruppen haft tyder på att det finns utrymme för kriminella nätverk att organiseras i större nätverk i Ryssland. Det är en av orsakerna till den dramatiska ökningen av ransomware. Det betyder i sin tur att problemet med cyberkriminella ligor och ransomware inte enbart kan lösas med tekniska medel eller genom rättsväsendet. Det finns också en politisk dimension. Kan regeringarna i väst förmå Ryssland att sluta se mellan fingrarna, och till och med profitera, på denna kriminella verksamhet?
Kan regeringarna i väst förmå Ryssland att sluta se mellan fingrarna, och till och med profitera, på denna kriminella verksamhet?”
Vi på Truesec är redo att göra vår del och förklara för beslutsfattare hur den ryska cyberbrottsligheten fungerar och vad som krävs för att begränsa skadorna av denna verksamhet. Vi erbjuder alla som vill veta mer att kontakta oss för ytterligare information.
Mattias Wåhlén,
Threat Intelligence Lead på Truesec.
Truesec är en stark aktör inom cybersecurity med ett tydligt syfte: Att förhindra dataintrång och skydda data. Gruppen består av cirka 140 medarbetare med bred expertis inom cybersäkerhet och har sedan starten 2005 levererat omfattande lösningar till kunder inom privat och offentlig sektor, både i Sverige och internationellt. För mer information: truesec.com