Personuppgiftspolicy

Vi använder cookies för att förbättra funktionaliteten på våra sajter, för att kunna rikta relevant innehåll och annonser till dig och för att vi ska kunna säkerställa att tjänsterna fungerar som de ska.

Läs mer i vår cookiepolicy.

Läs mer

Gruppen hackade Coop – nu spårlöst försvunna

Hackergruppen mystiskt försvunna från nätet.
Det var i början av juli som Coops underleverantör Kesaya utsattes för en hackerattack.
Foto: ALEX LJUNGDAHL
Hackergruppen Revil har försvunnit efter den stora it-attacken.
Foto: Colourbox

Nyheten slog ned som en bomb. 

Det var början av juli och matvarubutiken Coops kassasystem slogs ut. 

Kunder och personal la pannorna i djupa veck när det inte längre gick att betala för varorna.

Ett knappt dygn senare framgick att den förmodat ryska hackergruppen Revil låg bakom it-attacken.

Nu är de spårlöst försvunna.

Revil lyckades i början av juli angripa en underleverantör till Coop, mjukvaruleverantören Kesaya. Över 1 500 företag över hela världen drabbades av angreppet, bland de värst drabbade var dock Sverige.

Hackergruppen Revil hade redan tidigare stått i rampljuset för liknande it-attacker, bland annat mot det amerikanska köttförpackningsföretaget JBS – då krävde de 93 miljoner kronor för att åter ge JBS kontrollen över sina system.

Hackarnas krav: 600 miljoner kronor

Den här gången trissades prissumman upp. Hissnande 600 miljoner kronor i bitcoin krävde Revil för att ge tillbaka styrspakarna till Coops underleverantör. 

Även i Coop-butikerna syntes hotet från Revil.

”It's just business. We absolutely do not care about you or your deals”, stod då att läsa på vissa butikers skärmar, vilket kan översättas till: ”Det är bara affärer. Vi bryr oss verkligen inte om er, eller er handel”.

Affärstidningen Bloomberg konstaterar att de allra flesta företag som utpressades av Revil vägrade att betala. Enligt Coop själv ingick de i den kategorin. Andra valde att betala lösensumman och återfick kontrollen över sin mjukvara, en tredje kategori betalade utan framgång.

Spårlöst försvunna

Men innan Revil pressat ut pengar från samtliga berörda var de spårlöst borta.

– Deras servrar ligger nere och sajten är nedsläckt, säger Robert Lagerström, it-forskare på KTH till SvD.

Tio dagar efter att Revil försvunnit – 23 juli – meddelade mjukvaruleverantören Kesaya att de fått en krypteringsnyckel av ”betrodd tredje part” för att låsa upp sina system. 

– Vi vet inte säkert att Revil är ryskt även om allt tyder på det. Deras metoder och programkoder påminner om hack från tidigare ryska grupper och de angriper inte företag inom den gamla Sovjetunionen. Vi vet inte heller om Revil i så fall är en fristående grupp, säger Lagerström.

Trolig amerikansk påverkan

Han menar att en möjlig teori är att ryska staten stängt ner Revil. Detta efter påtryckningar från USA:s president Joe Biden, som fyra dagar före Revil försvann var i samtal med sitt ryska dito Vladimir Putin och då manade honom att stänga ned hackarna – annars skulle USA göra det själva.

Den betrodda tredjeparten, menar SvD, skulle i så fall kunna vara amerikansk federal polis, FBI.

”Känns stort, folk är lite blyga bland hyllorna”

Ur arkivet: När Coop öppnade efter attacken sa kunderna så här.

Di TV träffar anonyma hackaren: ”Vi letar efter säkerhetsbrister” 

Hör dataspecialisten som hjälper företagen att förbättra säkerheten.

◼︎◼︎ Detta är en nyhetsartikel. Expressen granskar, avslöjar och ger dig de senaste nyheterna på ett objektivt och sakligt sätt. Mer om oss här.