HUNDREDVIS AF UOPKLAREDE RANSOMWARESAGER RUSKER OP I POLITIET: »VI VIL GøRE LIVET SURT FOR DE IT-KRIMINELLE«

Der er travlt på politiets kontorer i Ejby Industrikvarter, hvor National Enhed for Særlig Kriminalitet (NSK) har til huse.

Specialenheden har siden 2022 hjulpet landets politikredse med at efterforske de mest alvorlige ransomwareangreb, der i stigende grad rammer danske virksomheder. Men kigger man på antallet af anholdelser, har kampen tilsyneladende været uden det store held.

Politiet ender nemlig ofte med at løbe panden mod en mur i de komplekse sager. Det er således ikke lykkedes at fange gerningspersonerne i nogen af de 272 ransomwaresager, som politiet har efterforsket de seneste tre år.

Af den grund har man også hos politiet været nødt til at erkende, at risikoen ved at begå denne form for kompleks it-kriminalitet er lav. Det fortæller Lars Mortensen, der er politiinspektør i Nationalt Cyber Crime Center, som vi møder til et interview i specialenhedens kontorer i industrikvarteret.

»Når politiet har henlagt 272 sager, så siger det også noget om, at risikoen ved at begå den her type af meget kompleks it-kriminalitet er lav. Den skulle meget gerne blive højere, og vi har jo allerede set nogle gode eksempler på internationale aktioner, hvor kriminelle også bliver anholdt og stillet til ansvar for deres forbrydelser,« siger Lars Mortensen.

»Det er derfor vigtigt for os, at vi deltager i de internationale politiaktioner, da det har den største effekt. Men det betyder også, at vi ikke altid kommer til at kunne stå med lige så mange anholdte i Danmark, som vi gør med andre typer af kriminalitet.« 

Politiinspektøren peger på, at den digitale udvikling har tvunget politiet til at tænke over, hvordan man på andre måder end anholdelser og domfældelser kan gøre livet surt for alverdens ransomwaregrupper og andre it-kriminelle.

Det kan bl.a. ske ved at ødelægge de kriminelles it-infrastruktur, konfiskere deres værdier eller på anden måde skabe usikkerhed i det kriminelle økosystem. Men det kræver, at politiet arbejder på en ny måde, som modsvarer metoderne hos de digitale forbrydere.

»Så det er ikke, fordi vi laver ingenting eller bare henlægger sager og sidder på vores bagdel. Det gør vi ikke. Vi prøver rent faktisk at håndtere de her sager og gøre livet svært for de it-kriminelle,« siger Lars Mortensen.

Benspænd på benspænd

Antallet af virksomheder, der bliver ramt af kompleks it-kriminalitet såsom ransomware, er ifølge politiets egne tal steget med omkring 10-15 procent om året de seneste år. Og der er flere forskellige årsager til, at politiet ofte må droppe at retsforfølge bagmændene.

I nogle af sagerne mangler politiet de tekniske spor og beviser, der er nødvendige for at sætte efter de kriminelle. I andre sager kan der opstå juridiske benspænd, fordi bagmændene ofte befinder sig i lande, som dansk politi ikke kan få dem udleveret fra, forklarer Lars Mortensen:

»Rusland kunne være et godt bud på et land, hvor det ikke er den nemmeste opgave at samarbejde i øjeblikket.« 

Men, tilføjer han, en af de mest centrale udfordringer handler om den måde, de it-kriminelles netværk er organiseret på. De er nemlig opdelt på en helt anden måde, end hvad politiet plejer at støde på i andre kriminalitetsområder:

»Vi er jo normalt vant til, at der er en relation mellem de forskellige kriminelle aktører, sådan som man ser det på rocker- og bandeområdet. Men når vi derimod taler om ransomware, er de kriminelle økosystemer mere fragmenterede.«

Nytter det at gå efter kunden?

Det fragmenterede landskab har især vist sig for politiet i takt med udbredelsen af ransomware as a service, hvor kriminelle bagmænd stiller en platform til rådighed på det mørke net, som andre forbrydere kan bruge til at udføre cyberangreb med.

Ransomwareangreb er sat sammen af mange forskellige elementer, og der kan sagtens være en hel stribe af kriminelle aktører involveret med hver deres bidrag.

»Nogle af aktørerne arbejder målrettet på at skabe adgang til de virksomheder, man vil ramme, og sælge fortrolige adgangsoplysninger videre. Andre har specialiseret sig i at eskalere rettigheder inde i virksomheden, så angriberne kommer op på administratorniveau og kan få overtaget virksomhedens it-infrastruktur. Derudover er der hele processen med at kryptere og eksfiltrere ofrets data, og så er der cashout-delen, hvor man afkræver løsesum og hvidvasker pengene,« fortæller Lars Mortensen.

Og endelig er der selvfølgelig dem, der ifølge politiinspektøren kan betegnes som kunderne i det kriminelle økosystem. Det er dem, der køber de kriminelle ydelser, der skal til for at udføre angrebene.

Det komplekse landskab af aktører har tvunget politiet til at overveje, hvilke dele af den kriminelle fødekæde man bør gå efter i efterforskningen af it-forbrydelserne.

Det er nemlig ikke altid den bedste løsning, hvis politiet bruger mange ressourcer på at gå efter de umiddelbare gerningspersoner i sager om ransomware, forklarer Lars Mortensen:

»Hvis vi kun fokuserer på at komme til bunds i den enkelte sag, så er det ofte de små fisk, der har købt ydelserne, som vi vil ende med at få fat i. Og de er nemme at erstatte.«

I stedet for at se de enkelte sager isoleret vil politiet i stedet arbejde for at analysere tendenser og mønstre i de mange angreb. De kan nemlig bruges til at sætte ind over for infrastrukturen hos de kriminelle grupper og bagmændene, som sælger de mest anvendte it-våben.

»Og det er noget, der kan give en stor effekt. Det kan for eksempel være svært for et kriminelt netværk at erstatte et helt botnet, hvis det bliver taget ud af ligningen,« siger Lars Mortensen og tilføjer:

»Men det betyder også, at vi i de enkelte sager ikke kommer til at stå med to anholdte, dagen efter at forbrydelsen har fundet sted. I stedet vil vi gerne samle så mange informationer og spor som muligt ud fra enkeltsagerne, og så tager vi dem med ind i efterforskningen af det store billede.«

 

Linjen til Europol og FBI

Det store billede af ransomwarekriminalitet kan dansk politi ikke efterforske alene. Derfor har NSK også skruet op for samarbejdet med andre myndigheder såsom Center for Cybersikkerhed, private virksomheder og politimyndigheder i andre lande, forklarer Henriette Erbs, der er afdelingsleder ved Nationalt Cyber Crime Center hos politiet.

»Det er ofte de samme tendenser, der går igen verden over, hvor de samme sårbarheder bliver misbrugt til at ramme mange forskellige virksomheder. Hvis der kommer et angreb mod en dansk virksomhed, tager vi derfor ret hurtigt kontakt til vores samarbejdspartnere for at høre, om der er flere ofre på tværs af Europa, og om vores data og viden fra de danske sager kan bruges i en international efterforskning,« siger Henriette Erbs.

Et eksempel på det internationale politisamarbejde viste sig i december sidste år, hvor det amerikanske FBI i samarbejde med Danmark og en række andre landes politimyndigheder overtog og lukkede for dele af hackergruppen ALPHV’s infrastruktur, som blev brugt til at eksekvere angreb fra.

Myndighederne fik ved samme lejlighed fat i dekrypteringsnøgler, som gjorde, at 500 ofre for gruppens angreb kunne få deres data tilbage.

»Vi har været med i den efterforskning, der førte frem til aktionen mod hackergruppen. Selve nedtagningen er foretaget af FBI, men vi har været en del af det internationale politisamarbejde, der har efterforsket mod ALPHV,« siger Henriette Erbs.

De store efterforskninger kræver som regel både lang tid og mange ressourcer. Derfor må dansk politi prioritere hårdt mellem, hvilke sager de vælger at deltage i på internationalt plan, fortæller afdelingslederen.

»Det er ikke altid, vi træder ind i en igangværende efterforskning på fuld tid. Der er også sager, hvor vi bidrager med de beviser, vi har, uden at det ender med en fast deltagelse hele vejen igennem,« siger Henriette Erbs.

Nye forventninger

Overgangen til politiets nye måde at behandle it-kriminalitet på sker ikke fra den ene dag til den anden. Det har krævet ændringer internt i organisationen, og samtidig kræver det også en forventningsafstemning med befolkningen om politiets arbejde og en skærpet forståelse for at it-kriminalitet er noget, som kan ramme alle, fortæller Lars Mortensen.

»Eksempelvis kan ofrene for ransomware jo undre sig over, hvorfor de overhovedet skal anmelde sagerne, når nu politiet ikke står med de anholdte kort tid efter. Men det er vigtigt, at man anmelder og involverer myndighederne, for ellers kan vi ikke trække den vigtige information ud af sagerne, som gør, at vi kan komme efter gerningspersonerne gennem internationale efterforskninger,« siger han.

Desuden har politiet mulighed for at genåbne henlagte sager, hvis der kommer et gennembrud i en international efterforskning.

Mister ikke modet

Foreløbig er der ikke noget, der tyder på, at truslen om ransomwareangreb kommer til at stilne af.

Tværtimod forventer politiinspektøren, at mængden af sager på området kommer til at stige fremover, ikke mindst på grund af den hastige digitale udvikling, kunstig intelligens og udbredelsen af ransomware as a service.

Mister I ikke modet, når det er så svært og mængden af sager stiger så meget?

»Vi mister ikke modet. Det er en vigtig opgave, som vi tager meget alvorligt. Samtidig føler vi også, at vi har mulighed for at gøre en forskel her,« siger Lars Mortensen og tilføjer:

»Som organisation er vi lidt bagud på point, når det kommer til den komplekse it-kriminalitet. Det kan vi lige så godt være ærlige og sige. Vi har jo ikke håndteret det her på en særlig god måde de seneste ti år, hvor kriminaliteten bare har buldret derudad, og der er ikke nogen tvivl om, at vi har et stort potentiale i forhold til at gøre det bedre. Det ved vi godt, og det arbejder vi benhårdt for hver eneste dag.«

2024-04-17T03:11:49Z dg43tfdfdgfd