Nordkoreanska vaccinhackare

Slutet av 2020. Pandemin har lamslagit stora delar av världen och längtan efter ett vaccin är stark. Blickarna riktas mot medicinjättar som Astra Zeneca och Johnson & Johnson. Så även hackarnas.

I början av december kommer nyheten i Wall Street Journal: brittisk-svenska Astra Zeneca, amerikanska Johnson & Johnson och Novavax, samt sydkoreanska Genexine, Shin Poong Pharmaceutical och Celltrion har alla utsatts för cyberattacker. Vid tidpunkten för angreppen sysslade alla bolagen med att ta fram vaccin mot covid-19.

Huruvida angriparna faktiskt kom över någon känslig information eller slog ut några system vet vi inte. Det verkar däremot tydligt vilka som låg bakom attacken: den nordkoreanska grupperingen Kimsuky, rapporterar WSJ. Nordkoreansk statsmedia slog tillbaka mot uppgifterna och kallade dem ”befängda lögner”.

I Sverige uppgav FRA att medicinteknikbolag och organisationer som arbetar med epidemiologi utsatts för angrepp av ”statliga aktörer”.

Utpressning mot USA:s kärnvapensystem

Det amerikanska företaget Sol Oriens har ett femtiotal anställda i New Mexico, och är inget bolag som de flesta har ögonen på. Men i maj blev det en världsnyhet när företagets system angripits och stulna dokument publicerats på darknet.

Anledningen är att Sol Oriens är en underleverantör till NNSA, The National Nuclear Security Administration, den myndighet som ansvarar för säkerheten kring de amerikanska kärnvapnen.

Bolaget kommenterade själva attacken i mitten av juni: ”Vi har nyligen kommit fram till att en individ fått tag på vissa dokument från våra system. Dokumenten granskas just nu och vi arbetar med ett kriminalteknikföretag för att avgöra omfattningen av den data som påverkats”, hette det i ett uttalande.

Utpressningsvirus slog ut nätmäklare

Nätmäklaren Aktieinvests digitala tjänster låg i slutet på september nere i flera dagar, och kunderna fick sköta sina affärer via telefon. Anledningen var att bolaget angripits av ett utpressningsvirus från den kriminella nätverket Lockbit.

SvD kunde erfara att angreppet skett via en sårbarhet i en extern programvara. Viruset slog ut stora delar av Aktieinvests it-system. Men i stället för att betala för att avkryptera systemen valde bolaget att byta ut datorer och servrar, och återställa allting.

Lockbit har tidigare gjort sig kända för att ta sig in i system genom att muta anställda att placera skadlig kod där. På så sätt kan de betala sig förbi mycket av det skydd som företag satt upp runt sina system.

”Du ger oss data för åtkomst till företag, till exempel inloggningsuppgifter till RDP, VPN, företagsmejl, osv. Öppna vårt mejl och starta det medföljande viruset på vilken dator som helst i företaget”, skriver Lockbit på sin hemsida.

Ikea utsattes för avancerat mejlangrepp

I slutet av november gick Ikea ut och varnade sina anställda för en avancerad form av nätfiske. Tekniken kallas för en reply-chain attack, och innebär att en angripare som fått tillgång till ett mejlsystem använder det för att kapa en pågående mejltråd och svara med en fullt legitim mejladress.

Det kan alltså bli riktigt svårt att avgöra om ett mejl i själva verket kommer från den avsändare som det ser ut att göra. ”Attacken kan komma från någon som du arbetar med, från en extern organisation, och som ett svar på en pågående konversation”, skrev Ikea i ett meddelande till sina anställda.

När en person klickat på de länkar som fanns i hackarnas mejl laddas ett excel-dokument ner till datorn. När dokumentet öppnas ser det låst ut, men uppmanar användaren att tillåta redigering och innehåll. När det görs laddas ett antal filer ner och sparas på datorn, vilka i sin tur laddar ner ett virusprogram.