Berygtede superhackere er muligvis selv blevet hacket: »USA fører i øjeblikket på det digitale område«

Tidens mest prominente organisation af cyberkriminelle med tråde til Rusland er forsvundet fra internettet. Det er sket blot få dage, efter at USAs præsident har slået fast, at han forventer handling fra russisk side. Hackergruppen har gennem de seneste par måneder udført målrettede hackerangreb på både internationale og danske virksomheder.

Fredag ringede USAs præsident, Joe Biden, til Ruslands præsident, Vladimir Putin, for at slå fast, at det ville få konsekvenser for Rusland, hvis ikke der snart blev handlet på de omfattende hackerangreb, der har ramt store internationale virksomheder. Fold sammen
Læs mere
Foto: Alexey Nikolsky og Jim Watson/AFP/Ritzau Scanpix
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Den ambitiøse og særdeles aktive organisation af cyberkriminelle REvil er forsvundet fra internettet.

På den mørke del af internettet er en række af gruppens hjemmesider tirsdag nemlig ikke længere aktive.

Ifølge flere internationale medier kan der være tale om, at hackergruppen selv er blevet slået ud af kurs af et hackerangreb fra de amerikanske eller russiske myndigheder. Der er dog fortsat ingen efterretningstjenester, der har bekræftet, at de står bag.

REvil er en topprofessionel organisation af hackere, som gennem de seneste måneder har udført en stribe af omfattende og målrettede cyberangreb på virksomheder – særligt i USA, men også i Danmark.

Senest i begyndelsen af juli slog gruppens ondsindede software ned hos den amerikanske it-leverandør Kaseya. Nedbruddet spredte sig som en steppebrand til op mod 1.500 andre virksomheder verden over. Blandt andet lammede det kassesystemerne hos 800 af svenske COOPs dagligvarebutikker, der måtte holde lukket i flere døgn.

Også danske virksomheder som byggemarkedskæden Bauhaus og it-leverandøren AK Techotels, der leverer bookingsystemer til hotelbranchen, blev lagt ned af REvil-gruppen i juni. Sidstnævnte betalte en ukendt løsesum til hackerne.

REvil har brugt en af deres nu inaktive hjemmesider »Happy Blog« til at offentliggøre sine virksomhedsofre og bortauktionere deres forretningshemmeligheder. Blandt andet har en bunke fortrolige dokumenter om en række verdensstjerner som Madonna, Lady Gaga, Elton John og Robert De Niro været til salg på hjemmesiden, siden REvil infiltrerede stjernernes amerikanske advokatfirma i maj 2020.

Den russisktalende hackergruppe REvil offentliggjorde i maj 2020 et screenshot af mapper, som den havde stjålet fra det amerikanske advokatfirma Grubman Shire Meiselas & Sacks. Hvis ikke advokatfirmaet ville betale en løsesum på 42 millioner dollar, ville de fortrolige dokumenter om verdensstjerner som Madonna, Lady Gaga og Bruce Springsteen blive sat til salg på auktion. Advokatfirmaet betalte ikke, og materialet har floreret på internettet siden. Fold sammen
Læs mere
Foto: Screenshot.

Umuligt samarbejde med Rusland

I Berlingske har en række eksperter udtrykt stor bekymring over de hyppige angreb, digitale gidseltagninger og store løsesummer, der er blevet udbetalt til den voksende cyberkriminelle undergrund.

»Det her handler i bund og grund om hele livsnerven i vores samfund, for den er båret over internettet i dag. De digitale systemer er vitale, og når de fejler, har vi set, at det gør meget, meget ondt – ikke kun på virksomhederne, men på hele samfundet,« har Peter Kruse, der er medstifter af it-sikkerhedsfirmaet CSIS, udtalt til Berlingske.

Samtidig har eksperter peget på i Berlingske, at cyberkriminaliteten er fuldstændig risikofri for bagmændene.

Det skyldes blandt andet, at en hackergruppe som REvil formentlig har base i Rusland og derfor kan gemme sig i et land, der ikke ønsker at samarbejde med andre landes myndigheder.

USAs præsident, Joe Biden, havde cybersikkerhed med på sin politiske dagsorden, da han mødtes med Ruslands præsident, Vladimir Putin, ved topmødet i Genève i juni. De tre vigtigste punkter var: klima, atomvåben og cybersikkerhed. Fold sammen
Læs mere
Foto: Denis Balibouse/Reuters/Ritzau Scanpix.

»Den øgede geopolitiske mistillid især mellem USA, Kina, Rusland og Europa umuliggør et fornuftigt samarbejde mod cyberkriminelle netværk, som dermed kan vokse og berige sig selv uden reel risiko,« siger Troels Ørting Jørgensen, der er formand for Center for Cybersikkerhed under World Economic Forum og tidligere direktør i politienheden Europol.

»Det er et område, som beklageligvis er i stærk vækst, fordi der ingen konsekvenser er for dem, der udfører det,« siger han.

De kan vende stærkere tilbage

USAs præsident, Joe Biden, har ligeledes udtrykt stor bekymring over cyberangrebene. I maj lammede en anden hackergruppe med tråde til Rusland det amerikanske olieraffinaderi Colonial Pipeline. Angrebet skabte et nedbrud i virksomhedens it-systemer og forhindrede olien i at flyde gennem en 9.000 kilometer lang rørledning, der forsyner store dele af den amerikanske østkyst.

Det fik Joe Biden til at rykke emnet cybersikkerhed langt op på den internationale politiske dagsorden ved topmødet i Genève i juni. Han har siden understreget kraftigt over for Ruslands præsident, Vladimir Putin, at det vil få konsekvenser for Rusland, hvis angrebene fortsætter.

»USA er på cyberområdet langt den stærkeste nation. Så det er det rette skridt, at USA advarer Rusland om, at hvis det her bliver ved, så lægger vi jer øde,« siger Troels Ørting Jørgensen.

Ifølge BBC kan der derfor være tale om, at det er de amerikanske myndigheder, som står bag modangrebet på den russisktalende hackergruppe REvil.

Dog maner amerikanske eksperter også til besindighed. Ekspert i cybersikkerhed Kevin Beaumont skriver på Twitter, at det ikke er unormalt for professionelle cyberkriminelle at forsvinde for en kort stund for derefter at komme endnu stærkere tilbage.

»Forskellige grupper har historisk haft stabilitetsproblemer, hvilket ikke er overraskende, hvis man ser på, hvordan de opererer,« skrev sikkerhedseksperten:

»Ransomware-grupper 'forsvinder' ofte eller 'stopper', men dukker derefter op igen under en ny identitet. Det er for tidligt at sige noget sikkert om.«