top of page
Mobilisera Sverige MoSE
  • Thomas Brannelid

Idag är det val i Turkiet,

Detta kan vara startskottet på en massiv period av cyberattacker från Ryssland. För nu är det ingen tvekan längre. Det är Ryssland som ligger bakom grupper som Anonym Sudan och andra kamouflerade aktörer / konton. Oroväckande med tanke på den brutalitet och hänsynslöshet som den Ryska staten visat i sina tidigare attacker.


Dom slår brett och enligt MSB rör det sig om flera angrepp mot Svensk infrastruktur och samhällskritiska verksamheter. I en artikel från Dagens Industri tidigare i år kunde man läsa att.

"Flera sajter har problem eller ligger nere, däribland Vattenfall, Kivra, E-legitimation och Klarna"

Högt som lågt, storföretag, sjukhus, äldrevård, vatten, transport och energi. Privat och offentlig sektor. Alla är måltavla för dessa ryska attacker.

När Riksrevisionen sågade Sveriges cybersäkerhet tidigare i år och FRA fick ta över ansvaret, så bekräftades det även från Regerings nivå att Sverige halkar efter när det gäller cybersäkerhet. Droppen kanske var när regeringen själva var utsatta av en rysk attack. Att webbsidor ligger nere p.g.a överbelastnings attacker kanske inte verkar så allvarligt. Men med tanke på att fler system kopplas upp mot nätet och dessutom samarbetar med varandra, ökar även sårbarheterna i de system som är i gränslandet mellan IT och OT. Framför allt i samhällskritiska system.


Med kriget i Ukraina som spiller över mer på Europa ökar risken för allvarliga cyberattacker. Sverige har också på kort tid hamnat i omvärldens blickfång i och med det uppseglande medlemskapet i Nato och en rad händelser, däribland en uppmärksammad koranbränning och avbildning av Turkiets ledare. Men det är inte det som är orsaken till attackerna, det är bara ett tillfälle för ryska hackare att gömma sig bakom organisationer för att dölja sina attacker. Sverige befinner sig i en allt skörare säkerhetspolitisk situation som nu går in en mycket kritisk period.


FIN7 gänget


Den 7 maj föll ABB offer för en ransomware-attack utförd av Black Basta, en cyberbrottsgrupp som dök upp i april 2022. Nu finns tecken på att även dom har kopplingar till Ryska intressen.


ABB berätta att Ransomware-attacken har påverkat flera anställda, företagets Windows Active Directory, som påverkar hundratals enheter.

Som svar på attacken avslutade ABB VPN-anslutningar med sina kunder för att förhindra spridningen av ransomware till andra nätverk.


Black Basta ransomware-gänget lanserade sin Ransomware-as-a-Service (RaaS) operation [i april 2022](https://www.bleepingcomputer.com/news/security/new-black-basta-ransomware-springs-into- action-with-a-dussin-breaches/) och började snabbt samla företagsoffer i dubbel utpressningsattacker. På twitterkonton kunde man läsa att det från början var en ren RaaS grupp som bara var ute efter pengar, men nu finns spår som leder till Ryska staten.


Gruppen har länkats till hackningsgruppen FIN7 och har skapat en Linux-kryptering för att rikta in sig på virtuella VMware ESXi-maskiner som körs på Linux-servrar.

Ransomware-attacker, som den som utförs av Black Basta, kan orsaka betydande störningar för företag och organisationer. Attacken på ABB:s Windows Active Directory orsakade förseningar i projekt och påverkade fabriker.


FIN7, även associerad med GOLD NIAGARA, ITG14, Carbon Spider, ALPHV och Blackcat, är en rysk kriminell, avancerad grupp av långvariga hot som främst har riktat sig mot den amerikanska detaljhandeln, restaurangen och hotellbranschen sedan mitten av 2015. En del av FIN7 drivs av frontföretaget Combi Security. Combi Security har huvudmän med direktlina in till Vladimir Putin.


Som svar på Black Basta ransomware-attacken avslutade ABB VPN-anslutningar med sina kunder för att förhindra spridningen av ransomware till andra nätverk. Attacken ska ha stört företagets verksamhet, försenat projekt och påverkat fabrikerna.


Det är viktigt för företag att vidta åtgärder för att skydda sig mot ransomware-attacker, som att regelbundet säkerhetskopiera viktig data och implementera starka säkerhetsåtgärder.

Att regelbundet säkerhetskopiera data, implementera starka säkerhetsåtgärder och utbilda anställda om bästa praxis för cyberhygien är några av de steg som företag förväntas vidta för att minska riskerna för ransomware-attacker. Men på kort sikt behövs mer direkta åtgärder. Cybersäkerhet är komplext och det finns inga garantier att skydda sig till 100%.


Därför är tiden så viktig. Det handlar om att snabbt stoppa en attack. Men alla har inte möjlighet att som ABB rycka ut sladden (avsluta alla VPN anslutningar med sina kunder), Därför är det extra viktigt att förstå vikten av ett EDR skydd som reagerar snabbt och effektivt.


Sudan gänget.


Anonymus Sudan är en grupp Ryska hackare, med kopplingar direkt till Putin. De har gjort sig kända för att vara hänsynslösa med sina attacker.

Bland annat genom att inrikta sig på samhällskritiska enheter.


Det finns flera exempel och ett uppmärksammat fall var när man attackerade Danska sjukhus. Webbplatserna för nio sjukhus i Danmark gick offline.

Anonym Sudan hävdade på Telegram att attackerna berodde på koranbränning, en hänvisning till en incident i Stockholm där den heliga boken tändes framför den turkiska ambassaden av Rasmus Paludan.


Men detta är inte sant.

Gruppen är inte en autentisk del av den anonyma rörelsen utan "mest troligt skapad som en del av en rysk informationsoperation för att skada och komplicera Sveriges NATO-ansökan", enligt en rapport som publicerades senast. vecka av svenska cybersäkerhetsföretaget Truesec. I sin hotintelligensrapport noterade Truesec att kontot "Anonym Sudan" på Telegram har sin användarplats listad som Ryssland.

Gruppen skrev senare att den hade börjat använda botnät och skulle börja rekommendera dem till sina följare. I ett svar på meddelanden på arabiska som kritiserade inriktningen på sjukhus skrev gruppens Telegram-konto: "Om du tror att patienter inte har något att göra med att bränna Koranen, då är du idiot." Ett direkt hot mot Marcus Murray, men indirekt mot den Svenska staten. Även om den grammatiskt felaktiga användningen av frasen "du är idiot" kan antyda att författaren inte är engelska som modersmål, använder varken arabiska eller ryska den obestämda artikeln "an", så felet bidrar inte till bedömningen att gruppen är baserad i Ryssland. Anonymous Sudan har tidigare påstått sig ligga bakom en attack mot Scandinavian Airlines tidigare det här året, samt en attack mot den nationella offentliga TV-sändaren SVT. Sandra Barouta Elvin, nationell säkerhetsansvarig på Microsoft i Sverige, berättade för den svenska dagstidningen Aftonbladet att svaren på koranens bränning – både när det gäller mediabevakningen av händelsen av ryska medier, och den potentiellt betalda ” aktivist” svar – anges att förberedelser hade gjorts för en vedergällning mot Koranens bränning innan den ägde rum.


En annan händelse riktade sig direkt mot den Svenska Regeringen.

Sveriges riksdag drabbades av en (DDoS) attack.

Statsministern Ulf Kristersson och andra nordiska ledare skulle träffa Ukrainas president Volodymyr Zelenskyy i Finlands huvudstad. Sverige ansökte om medlemskap i Nato i spåren av Rysslands invasion av Ukraina och myndigheter har varnat för ökade cyberattacker mot svenska intressen.


Nu är det dax igen.


Bloomberg skrev imorse den 14 Maj att:

Hackare som utger sig som islamister, är i själva verket ryska hackare som tar sikte på Sverige.

En serie samordnade cyberattacker avsedda att äventyra det nordiska landets möjligheter att gå med i Nato har stört dess största institutioner. https://www.bloomberg.com/news/features/2023-05-14/posing-as-islamists-russian-hackers-take-aim-at-sweden#xj4y7vzkg


I artikeln avslöjar Bloomberg-reportrarna Jordan Robertson och Niclas Rolander berättelsen om och verksamheten för den PRO-RYSKA gruppen "Anonymous Sudan". Idag har de blivit mycket mer professionella i att maskera sig än de var tidigare.


Men det är så uppenbart att det händer nu när Turkiet går till val, och med tanke på att Sverige skyndar på sin NATO process. Dessutom handlar det om att öka trycket med hybrida attacker. Inte bara cyber attacker, utan även alla medel som på ett eller annat sätt kan störa de demokratiska processer i väst som är mål för ryska desinformationsoperationer.

-Hotaktörer använder desinformation och lögner som ett verktyg för att stödja deras narrativ. -DDOS och andra cyberattacker används för att stödja geopolitiska berättelser.

Bloomberg skriver vidare.

- Attackerna visar att misstänkta ryska hackare hittar nya sätt att blanda sig i de politiska processerna i landets demokratiska motståndare.

När president Vladimir Putins krig i Ukraina går in på sitt andra år, blir Rysslands hackare allt mer aktiva för att främja landets geopolitiska intressen. Denna strategi att skapa kaos är ett av de viktigaste medel som Ryssland har använt mot Sverige" för att komplicera sin NATO-ansökan. "Alla dessa kampanjer går i samma riktning."










10 views0 comments

Recent Posts

See All
bottom of page