– Utvecklingen är väldigt oroande, säger Marcus Murray, grundare av cybersäkerhetsföretaget Truesec.
Ett stort antal svenska företag polisanmälde att de drabbats av den stora hackerattacken som slog ut Coop i somras. Det här är en typ av cyberbrottslighet som ökat enormt de senaste åren.
Polisen uppmanar utsatta att anmäla. Men frågan är vad polisen kan göra? I fallet med Coop kan polisen nu, några månader efter attacken, konstatera att man inte kommer längre i sin utredning.
– Vi har ett drygt 50-tal svenska förundersökningar som vi har utrett samtliga. Alla spår leder till gärningspersoner som sannolikt finns i utlandet. Så i nuläget gör vi bedömningen att något åtal sannolikt inte kommer att kunna väckas i Sverige, säger Björn Eriksson, gruppchef på nationellt it-brottscentrum.
40-tal aktiva grupper
Bakom angreppet låg hackergruppen Revil, som kopplats till Ryssland, som krävde en stor summa i lösen för att låsa upp krypteringen.
– Det är naturligtvis tråkigt att polisen inte har kapacitet och förmåga att driva polisutredningar som kan lagföra utländska hotaktörer som begår brott i Sverige, säger Marcus Murray.
– Men för att ta polisen lite i försvar: Varför har de inte den kapaciteten och förmågan? En anledning är att väldigt många organisationer som drabbas av den här brottsligheten inte polisanmäler. Då kommer brotten inte in i statistiken och då kommer politiska beslut inte tas för att tillsätta mer resurser.
Så kallade utpressnings- eller ransomware-attacker har på kort tid blivit ett stort problem. Runt om i världen finns i dag ett 40-tal aktiva kriminella hackergrupper, enligt Jonas Lejon, it-säkerhetsexpert som jobbat med bland annat kryptering i många år.
– Många av de här grupperingarna samarbetar med varandra och återanvänder varandras material. De flesta är baserade i länder som Ryssland och Ukraina. En anledning är att myndigheterna ser mellan fingrarna på de här attackerna och att man inte lagför cyberbrottslighet lika hårt, säger han.
En slags "fristäder" för cyberbrottslingar alltså.
"Otänkbart för några år sen"
Oroväckande är enligt Marcus Murray också att hackergrupperna utvecklat nya metoder för slå bredare och skada fler.
– Förr angrep man företag ett i taget – nu kan man angripa väldigt många. I Coop-fallet hittade man ett sätt att angripa uppemot 1 500 företag samtidigt. Det är siffror som var helt otänkbara för några år sedan, säger han.
Polisen ser samtidigt hur attackerna blir alltmer aggressiva.
– Den senaste tiden har angriparna kanske inte fått ut lika mycket av att bara kryptera enheter och filer, utan då stjäl man också informationen och hotar att lägga ut den. Det har vi sett den senaste tiden att det blir en dubbel utpressning, säger Björn Eriksson.
Ett problem är att svenska företag ofta går med på att betala, säger han. Enligt uppgifter från it-säkerhetsföretagen betalar runt 80 procent av företagen hela eller delar av lösesumman.
– Tyvärr pekar det mot att Sverige är ett land som ofta betalar. Och företag som valt att betala tidigare löper högre risk att bli attackerade igen, säger Björn Eriksson.
Revil slogs ut
Även om den svenska utredningen kring Coop-attacken inte kommer längre fortsätter jakten på hackarna, understryker han.
– Parallellt med den svenska förundersökningen har svensk polis delat viss information om bland annat tillvägagångssätt med polissamarbetspartners utomlands. Internationellt fortsätter arbetet att komma åt den kriminella grupp som låg bakom attacken.
För bara någon vecka sedan uppgav amerikanska myndigheter att man gjort en "hack back", och slagit ut Revils servrar.
Det är något som blivit vanligare under de senaste åren, enligt it-säkerhetsexpert Jonas Lejon.
– Man tar till alla medel för att komma åt dem. Att hacka sig in på deras servrar, utreda vem som ligger bakom och även strypa deras tillgångar ekonomiskt – där har myndigheterna varit väldigt framgångsrika.
– Det har ju blivit ett stort ramaskri från de här grupperna som tycker att det är omoraliskt att de blir hackade av myndigheterna.
Upp på toppnivå
Men enligt Marcus Murray riskerar detta bara att bli en katt-och-råtta-lek.
– Långsiktigt handlar det om att sätta press på dem som inte vill samarbeta, och det gör man politiskt genom sanktioner och liknande. Efter Coop-incidenten talade (USA:s president) Biden direkt med (Rysslands president) Putin, så spelet har redan börjat. Det börjar bli så pass stor samhällsskada av it-attackerna att man förstått att man måste ta upp det här på högsta nivå, säger Murray.
Bakgrund: Attacken mot Coop
På kvällen den 2 juli slutade kassorna på Coop att fungera. Fler än 700 matbutiker tvingades hålla stängt i en knapp vecka.
I Sverige drabbades också Apotek Hjärtat, bensinkedjan St1 och tågbolaget SJ av störningar. Ytterligare cirka 1 500 företag jorden runt attackerades via programvara från it-företaget Kaseya i Florida i USA.
Hackarna krävde motsvarande 400 000–4 000 000 kronor i lösen. Stora företag krävdes på större summor. Coop vägrade betala.
Den kriminella hackergruppen Revil (förkortning av Ransomware Evil) tog på sig attacken. Gruppen bedöms vara kopplad till Ryssland.
Nyligen försvann Revil från nätet. FBI uppges ha "hackat hackarna".
Revil ligger bakom fler cyberattacker, bland annat mot Colonial Pipeline (som sköter driften av USA:s största oljeledning), världens största köttproducent JBS, samt Quanta, en taiwanesisk underleverantör till Apple.