Rysk hackergrupp förvarade server i Sverige – tiotusentals drabbade
Publicerad 2022-06-28
Ryska hackergruppen TA505 har attackerat tiotusentals människor och storföretag runtom i 70 länder.
Med hjälp av en server i södra Stockholm.
Nu ska den förstöras.
– Servrarna utgör en del av en större it-infrastruktur som nyttjas av kriminella grupperingar, säger kammaråklagare Johanna Kolga som leder förundersökningen.
I slutet av april 2021 fick polisen ett anonymt tips om att den ryska kriminella hackergruppen TA505 använde sig av en server placerad i Sverige.
Enligt tipset användes servern för att genomföra hackerattacker och dataintrång.
När polisen tittade vidare på tipset visade det sig att servern förvarades i Hägersten i Stockholm. Vid en husrannsakan togs den i beslag och polisen slog fast att en del av materialet på hårddisken mycket riktigt användes av hackergruppen.
Åklagare vid Södertörns tingsrätt har nu beslutat om att servern, som är värd åt ett hundratal virtuella servrar, ska förverkas.
Gjort dataintrång mot stort antal personer
När servern analyserades visade det sig att TA505 har gjort intrång mot ett stort antal personer, företag och myndigheter, som fått personlig och känslig information stulen. De drabbade har också fått en skadlig kod installerad i sina datorer.
Enligt polisen attackerar gruppen brett över alla branscher över hela världen. Där stjäl de bland annat information, tar kontroll över och fjärrstyr personers datorer och planterar ransomware – ett så kallat utpressningsprogram – för att begära lösensummor i miljonbelopp.
Vilka alla aktörer är som använt servern är i nuläget oklart. Polisen misstänker att 25 000-30 000 målsägare i 70 olika länder har råkat ut för dataintrång.
–Servrarna utgör en del av en större it-infrastruktur som nyttjas av kriminella grupperingar, säger kammaråklagare Johanna Kolga som leder förundersökningen.
– Ytterligare fem virtuella servrar används sannolikt för utskick av så kallade phising-mejl, vilket är första steget i ett dataintrång i många hackerattacker, fortsätter hon.
Flera olika typer av brott
Bland annat har dokumenterade sexuella övergrepp mot barn hittats på en av de virtuella servrarna.
Fem av de andra servrarna misstänks användas för att sälja olagliga substanser eller andra funktioner som är kopplade till it-brottslighet.
Polisen har också hittat flera filer som används som konfigureringsfiler för riktade cyberattacker mot olika webbtjänster och företag, som exempelvis Burger King, Discord, Gamestop, Laredoute, Spotify och Wish, enligt polisen.
På andra servrar finns material som kopplas till bedrägerier och försäljning av sexuella tjänster.
– Servern, som togs i beslag i maj 2021, har använts som hjälpmedel för att begå brott. Värdet på servern är cirka 124 000 kronor. Jag yrkade hos tingsrätten att den skulle förverkas eftersom det är nödvändigt för att förebygga brott, säger Johanna Kolga.
Att lämna tillbaks servern skulle kunna innebära att allt material på servern åter gjordes tillgängligt för gärningsmännen som därmed skulle kunna fortsätta begå brott.
Hackergruppen TA505
Etablerade it-säkerhetsföretag världen över bedömer TA505 som ett stort och mycket allvarligt cybersäkerhetshot, enligt polisen.
Deras aktivitet kan spåras tillbaka till åtminstone 2014 och de anses vara mycket skickliga och mångsidiga.
De använder både skadlig kod som utvecklas av andra, men utvecklar också egna för att genomföra hackerattacker.
TA505 är kända för sina massiva e-postkampanjer i syfte att sprida skadlig kod.
Under pandemin har gruppen fokuserat ransomware-attacker mot sjukvårdsinrättningar, enligt polisen.