Attacken utfördes av en hackergrupp som kallar sig REvil och utnyttjade en legitim programvara från IT-företaget Kaseya för att sprida sig till Kaseyas kunder. Kaseyas programvara används för att låta administratörer av kommersiella IT-system övervaka och sköta sina servrar på distans – något som har ökat i popularitet under coronakrisen när många IT-avdelningar har jobbat hemifrån.
REvil tog först kontroll över Kaseyas servrar och använde dem sedan, på fredagen svensk tid, för att skicka ut en mjukvaruuppdatering till Kaseyas kunder. Bland kunderna fanns det svenska företaget Extenda Retail AB, som sköter driften av ett centraliserat IT-system som måste fungera för att Coops kassaterminaler i sin tur ska fungera.
Att på detta sätt centralisera serverdrift "i molnet", det vill säga på internet, har blivit 2010-talets stora trend bland IT-chefer världen över. Trenden har lett till att många företag har kunnat stänga sina egna serverrum och spara stora kostnader, men nackdelen är uppenbar: När varje butik inte längre har egna kassasystem som fungerar självständigt måste hela matvarukedjan slå igen om det centrala "molnbaserade" systemet slås ut.
En utpressingsprogramvara kan vara uppbyggd på olika sätt. Vissa programvaror letar efter klassisk utpressningsinformation och hotar med att släppa den offentligt, men det vanligaste är att programvaran krypterar offrets hårddisk och därefter vägrar att låsa upp krypteringen om inte en lösensumma betalas inom en viss tid. I Coops fall drabbades leverantören av det senare.
I vissa fall kan en utpressingsprogramvara upptäckas i tid för att offret ska lyckas stänga av sin dator innan krypteringen har genomförts. Att kryptera en hel hårddisk kräver nämligen processorkraft och om användaren stänger av datorn när han upptäcker att ett okänt program slukar datorns resurser så kan han klara sig.
Men den här attacken var förhållandevis svår att upptäckta. Den utnyttjade först uppdateringsprogrammet för Kaseya, som framstår som legitimt och ska köras på datorn vanligtvis, för att ladda ned skadlig kod i form av en fil som heter mpsvc.dll. Men innan den skadliga koden kördes injicerades mpsvc.dll i filen MsMpEng.exe, som är processen för Microsofts antivirus- och brandväggsprogram Microsoft Defender.
En IT-administratör kunde därför bara se att Microsoft Defender slukar datorkraft, vilket det programmet ofta gör av legitima skäl då det skannar av hårddisken efter virus etc. Men den här gången användes alltså programmet för att kryptera hårddiskarna, i detta fall för att kräva en lösensumma från Extenda Retail AB.
Enligt IT-specialisten Mark Loman, som är expert på skadlig kod, stängde programmet även av vissa säkerhetsfunktioner i datorn. Bland annat stängdes skyddet mot ytterligare skadlig kod av, skriver han på Twitter.
När hårddiskens filer väl är krypterade och originalfilerna har raderats och skrivits över får användaren ett utpressningsmeddelande, i detta fall utformat så som på bilden uppe till höger. Troligen fick Extenda Retail meddelandet redan på fredagen, då attacken först sjösattes, men nyheten om problem hos Coop kom först på lördagen. Det är möjligt att systemen slutade att fungera direkt när disken krypterades eller i samband med att IT-administratörer började starta om datorsystem eller liknande.
Lösensumman är satt till 44.999 dollar och höjs till 89.998 dollar om betalning inte sker i kryptovalutan Monero (XMR) inom sex dagar. Summan uppges vara lika stor oavsett vilket företag som drabbats, men det är också möjligt att Coop, som drabbades hårt av attacken, utsattes för en högre lösensumma när hackarna såg vilka konsekvenser de ställt till med. Ingen sådan information har dock offentliggjorts av Coop.
Inte heller Extenda Retail vill säga något om det inträffade. I ett tidigare mejlsvar till media har företaget sagt att de kommer att göra ett uttalande till berörda kunder, men att de inte kommer ge information till media eller andra externa parter om attacken.
Flera experter inom IT-området har dock kommenterat saken och lyft fram centraliseringen av IT-systemen som ett problem. Men även decentraliserade system kan ha svagheter och så länge de är anslutna till internet kan svagheterna utnyttjas ungefär samtidigt, vilket skapade omfattande problem med så kallade maskar i början av 2000-talet. I Aftonbladets fält för läsarkommentarer hittar vi däremot en lösning, signerad "Fd Kassörska", som fortfarande fungerar:
"Det där med att ta bort kontanthantering är väldigt dumt och att inte behålla internkassorna. Hoppas på en återgång till de gamla systemen där vi kunde hålla kassorna igång även om vi hade strömavbrott med hjälp av räknemaskin, penna och papper".
