Digitala utpressare

UPPDRAG GRANSKNING · Läs manuset till Digitala utpressare, en granskning av den moderna tidens rån.

Researcher: Nu ska vi se...

Reporter: Jag ger er sanningen.

Researcher: Yes, I wrote different pieces of software which could have been used in malicious activity, but that doesn't make me a criminal...

Se hela reportaget här

Den nya tidens utpressare begår brott mot människor över hela världen och räknar med att förbli anonyma. Men vi har fått ett material som gör att vi kanske kan vi avslöja en av dem som ligger bakom attackerna med utpressningsvirus.

Researcher: Can you meet us? Skickar jag.

Titelskylt: Utpressare utan ansikte
Reporter: Oskar Jönsson
Producent: Petter Ljunggren

Vi är på väg till ett av offren för en brottslighet som saknar ansikte.

Reporter: Just det... Var ska vi ställa oss?

Richard Sundien har drabbats av en kraftigt växande typ av kriminalitet som det senaste året orsakat skador för tiotals miljarder kronor.

Skylt: Richard Sundien
Reporter: Tjenare, hej! Tack.
Richard Sundien: Hej!
Reporter: Men vi kan väl gå in?
Richard Sundien: Vi går in här då.
Richard Sundien: Jag har tagit den här. Det är en dammig rackare.
Reporter: Hur länge har den där legat undanstoppad?
Richard Sundien: Alltså. Den låg sedan dagen jag fick det, tror jag. Jag... nu stänger jag ner den här.

För två år sen gick han i en fälla och sen dess har han inte velat plocka fram sin dator igen.

Richard Sundien: Men jag vet inte hur dom har byggt upp sitt virus heller.
Reporter: Är du rädd att den ska smitta den nya datorn?
Richard Sundien: Nja, men alltså, ja...

Det började med att han fick ett mejl och klickade på en länk.

Richard Sundien: Vi får se hur det ser ut!

Mejlet såg ut att komma från Postnord men innehållet var något helt annat.

Richard Sundien: Här kom det ju.
Reporter: Ja titta ja
Richard Sundien: Här är det. Här kan ni ju läsa.
Reporter: ”Vi har krypterat dina filer med cryptolocker virus”

När Richard följde länken smittades hans dator med ett avancerat virus som låste hans filer.

Reporter: Vad kände du då när du fick upp det här?
Richard Sundien: Alltså det kom ju efter det där mejlet. Det var det som var grejen, jag väntar ju på brev konstant. Och jag har även en kompis som jobbar på Postnord. Och så kommer det här mejlet från Postnord. Så tänker jag att så här det är väl något brev som det är strul med eller någonting nu så jag trycker på den och sekunden när jag trycker på den känner jag att, det där, vänta nu, vad gjorde jag nu för någonting? Och då bara, vrupp, rasslade det till. Och sedan så gick det, jag kommer inte ihåg, men det kanske gick 20 sekunder. Måste tänka. Vad gjorde jag då? Jag stängde igen datorn tror jag, jag stängde av datorn och internet tror jag, direkt alltså inom tio sekunder för något var fel kände jag. För den började tugga väldigt mycket… Sedan satt jag på den och då började det så här att den här kom upp, bang, och då inser jag att det var det mejlet som jag tryckte på.

Reporter: Förstod du då vad som hade hänt?
Richard Sundien: Ja, jag förstod direkt vad som hade hänt. Förstod direkt vad som hade hänt, det är så uppenbart och så ser man det här alltså, att de har krypterat det och sedan ska de ha pengarna.

Så här har det gått till. Från olika servrar har mängder av e-postmeddelanden som ser ut att komma från till exempel Postnord eller Telia skickats ut.

Men när mottagaren klickar på länken i mejlet leder den istället till en falsk hemsida där man uppmanas att ladda ner en fraktsedel eller räkning. På några sekunder installerar utpressningsviruset sig själv och låser nästan allt. 

Filerna går inte att använda om man inte betalar utpressarna en lösensumma.

Richard Sundien: Om någon kommer och liksom skadar dig och sedan ska de liksom ha någonting av mig för att komma tillbaka till noll. Alltså det i min värld är det helt oacceptabelt det går inte.

Reporter: Att betala?
Richard Sundien: Ja, man ska inte ge dem någonting. För det är så himla dumt från början, det är så elakt. ”Nu sabbar jag för dig hur mycket som helst och sedan för att få tillbaka det så ska du betala mig.” Men det sved ju det var ju, det var ju liksom, allt försvann ju. Det är mycket bilder som har försvunnit. Och det är så jävla personligt. Nu funkar den filen i alla fall. Då är det typ tio procent som funkar.

När Richard nu öppnar datorn för första gången sen attacken tänds ändå ett litet hopp.

Richard Sundien: Här är en bild.
Reporter: En bild på dina barn som badar som finns kvar.
Richard Sundien: Det var ju faktiskt lite roligt.

Reporter: Och resten är låst.
Richard Sundien: Alltså nu blir jag nästan lite ledsen alltså, det här har jag inte tänkt på. Det här är en jätterolig bild.

Reporter: Är det din son som...? Fin bild.

Det visar sig att några enstaka bilder fortfarande går att öppna. Men det mesta är låst, även viktiga dokument för hans företag.

Richard Sundien: Planeringen, ja just det planeringen. Den var tuff. Den var tuff att försvinna. Hade alla jobb stående och liksom all tidsplan. Det finns ju en kunddatabas som jag hade byggt upp. Det är nog ganska många kunder som hade förväntat sig att jag skulle höra av mig. Som jag inte har gjort, kan jag tänka mig.

Från en hemlig källa har SVT fått tillgång till en unik databas. Den ger oss inblick i hur attacken mot Richard och tusentals andra har gått till.

Databasen avslöjar några av de innersta hemligheterna i ett kriminellt nätverk som attackerat världen med utpressningsvirus i flera år.

Researcher: Italien, Polen, Spanien, Australien, England... Den som utsatte Rickard för sin attack har uppgett de här adresserna och dom adresserna leder vidare till nya konton. Så det är ju som...

Vi kan se deras källkod, interna meddelanden, serveradresser och listor på smittspridare i över 30 länder. Vi kan också se hur utpressarna skickat ut sitt virus till över en och en halv miljon svenska e-postadresser.

Under 2015 blev det i Sverige känt som attacken med falska Postnord-mejl, senare har de också använt falska Telia-mejl och utpressarna var aktiva så sent som i våras. Men de har inte lämnat många spår efter sig.

Researcher: Det man kan göra då är att försöka följa bitcoin-adresser, och se var pengarna som dom här offren har betalat var det har hamnat.

Vi ska försöka ta reda på så mycket som möjligt om vilka som ligger bakom attackerna. Och kanske kan vi identifiera dem som dragit in flera hundra miljoner kronor på utpressning och förstört för människor över hela världen.

CITAT:
“Our entire life's history is gone now!!!!”
“PLEASE”
“You have taken everything!!!”

I databasen ser vi de utpressade offrens desperata vädjan om hjälp. En kvinna i Australien berättar att hon blivit av med bilder på familjemedlemmar som nu är döda. “Visa medlidande och lås upp min dator, SNÄLLA!!”

CITAT: “Visa medlidande och lås upp min dator, SNÄLLA!!”

En kvinna från norra Sverige skriver till utpressarna: “Varför gör ni så här? Vi är en ideell organisation för barn och unga”.

CITAT: “Varför gör ni så här?”

Hon förklarar att de inte har pengar att betala och att hon blir arbetslös om tre veckor. ”Snälla lås upp våra filer gratis”, skriver hon.

CITAT: ”Snälla lås upp våra filer gratis”

Och enligt vår källa finns minst 20 000 andra drabbade i Sverige. Men förövarna förblir anonyma.

Richard Sundien: Men då stänger jag av den här.
Reporter: Men om man tänker sig att vi skulle ta med den här datorn, kan vi göra det till dom experter vi ska träffa och se vad dom säger om det du drabbats för.
Richard Sundien: Ja, absolut.

Richard har sen länge gett upp hoppet om sin dator men vi tar med oss den för att se om något kanske går att rädda.

Reporter: Den går nog ner, kanske… men det vore det lite intressant att höra vad de har för tankar kring just det.
Richard Sundien: Ja, alltså kan de lösa det, det lär ju inte vara omöjligt, dom skriver att det är omöjligt men det lär ju inte vara det. Ingenting är omöjligt.

Reporter: Vi får se, vi tar med oss den så testar vi.
Richard Sundien: Gött.

Kim Zetter: What was the timeframe for this operation, do you know how long it was operating?
Researcher: This network or this...?
Kim Zetter: Yeah, I mean you say there's 2,6 million, what´s the timeframe for that?

Journalisten och författaren Kim Zetter har i 20 år bevakat brottsligheten på internet för flera av världens största tidningar. Nu åker hon runt och föreläser om bland annat utpressningsvirus. 

Skylt: Kim Zetter, journalist och författare

Kim Zetter: Anyone is a potential victim. The amount of money that you can earn from this kind of operations is massive. And I think it encourages more and more people to get into it, right?

Reporter: And how big threat is ransomware today?

Kim Zetter: Well it is a huge threat. If you talk about it in terms of amount of money that this involves that is extorting from people, you know it is I multibillion-dollar operation per year as long as people keep paying. But in terms of the actual threat I don’t think we’ve seen the full extent of what this kind of threat can entail.

Skylt: ur Rapport 12 maj 2017
I våras inträffade en attack med utpressningsvirus som saknar motstycke. Bland offren fanns flera sjukhus i England.

spred sig viruset WannaCry över världen och uppemot 300 000 datorer i 150 olika länder blev infekterade.

Kim Zetter: When you talk about hospitals you talk about life and death situations, that is more likely that the victim is going to pay up and pay up quickly because they are going to be in panic, right, they don’t want to be responsible for any deaths themselves. So it is really a good target for that.

I vår databas över dom som fått viruset skickat till sig hittar vi spår som leder till akademiska sjukhuset i Uppsala.

Skylt: Alexander Englund, chefsfysiker Akademiska sjukhuset

Alexander Englund: Behandlingarna står stilla just nu, eller det sker inga behandlingar. Eh.
Reporter: Kan vi gå dit?
Alexander Englund: Vi kan gå dit absolut.

Hösten 2015 drabbades de av ett virusangrepp och när vi kommer på besök så har de återigen drabbats av något som kan vara ett datavirus.

Reporter: Vad har din morgon bestått i när det gäller just att hantera det här bekymret?
Alexander Englund: Mer skaffa mig information om läget, jag hanterar inte detaljer, utan det har vi ju personal som fixar. Jag har ju inte den detaljkunskapen.

Reporter: En hektisk morgon.
Alexander Englund: Ja. Just nu är det ju som ni såg tomt, det fanns inga patienter.
Reporter: Vad beror det på?

Alexander Englund: Just för att man... Vi vet inte när vi kommer igång. Dumt att låta dom sitta och vänta här. Ska se om jag får igång det här. Kanske.

Här slog viruset ut strålbehandlingsmaskinerna under ett helt dygn 2015. Och även här var det gruppen som vi granskar som låg bakom attacken.

Alexander Englund: Här behandlar vi då patienter som har olika tumörer.
Reporter: Men då 2015 när det tog sig hela vägen in till den här maskinen.
Alexander Englund: Ja
Reporter: Vad var det som brast då?
Alexander Englund: Jag skulle vilja säga att det var två saker. Dels var det någon som öppnade ett mail som inte borde öppnats, det kan man aldrig förhindra till hundra procent. Och sen under dagen så spred det här sig och via en utdelning på servern så blev servern sen krypterad.

Tack vare att informationen fanns sparad på backuper kunde skadorna begränsas, men att återställa systemen tog tid och behandlingarna av bland annat cancersjuka barn försenades.

Skylt: Pia Ternström, onkologisjuksköterska

Reporter: Hur är det att jobba då? När man står med filer som är låsta och barn som ska ha behandlingar.
Pia Ternström: Ja men det är ju frustrerande. För man vill verkligen ge så bra behandling som det bara går med de resurser vi ändå har. Men de blir låsta då när inte datasystemet fungerar.

Reporter: Vad tänker du om de som gör det här?
Pia Ternström: Jag tänker att de inte förstår vad de verkligen orsakar eller så är de bara kallblodiga. Och inte... det är inte så att de direkt dödar någon men kanske indirekt gör så att någon inte får samma möjlighet till liv.

Alexander Englund: Hur är läget, är det på gång?
Kollega (ej i bild): Ja, vi får hjälp av... alldeles strax.
Alexander Englund: Ok, så det rör sig om en halvtimme kanske?
Kollega (ej i bild): Vi hoppas på det.
Alexander Englund: Mm, fint.

Reporter: Vad händer?
Alexander Englund: Ja inom en halvtimme tror de. De håller på att få hjälp och kontakt med IT och leverantören.

När maskinerna idag återigen står stilla vet de inte om det är ett virus eller ett falsklarm och resultatet blir inställda behandlingar.

Reporter: Varför... varför får du vänta i dag, vad säger du, vad är det för bekymmer?

Skylt: Tilda, patient

Tilda: De har datafel då.
Reporter: Hur ofta är du här sa du?
Tilda: Ja det är andra veckan.
Reporter: Hur många gånger ska du vara här?
Tilda: 15.

Reporter: Hur viktigt är det för dig att få den här behandlingen?
Tilda: Ja, det är viktigt...

Reporter: Ska sådant här behöva hända sånt här då?
Alexander Englund: Så länge vi har IT-system och inte fullständigt skydd, och så länge folk attackerar oss så kommer det inträffa igen.

Alexander Englund (informerar patienten Tilda): Så tror jag att klockan tolv är rimligt att vi kan komma igång, men garantier kan vi inte ge såklart.
Tilda: Nänä, tack ska du ha.

Reporter: Det var inget virus i varje fall?
Alexander Englund: Bedömningen nu, det verkar inte vara något virus nej.
Reporter: Så vad händer då?
Alexander Englund: Nu ska det rulla upp som vanligt.

Den här gången var det ett falsklarm men nästa gång kan det vara på riktigt igen.

Reporter: Vilka tror du det är som gör det här?
Alexander Englund: Ja, kanske kriminella ligor som ser nya sätt att tjäna pengar på. Mer anonymt än att råna banker.

Reporter: But what do you know about the people behind these attacks?
Kim Zetter: Well, when we have seen arrests around this kind of people who have coded malware or using ransomware or even operated botnets they are not the kind of criminals that we sort of used to see, right. The kind of people who get arrested for this looks like yuppies, they look like 25 year old guys, 30 year old professionals, they look like normal people who’d be working in let’s say Silicon valley.

Reporter: But are they connected to organized crime?
Kim Zetter: It is hard to know specifically how many of them are a gang of colleagues who are operating independently on their own and how many of them are either connected to or controlled or let’s say indebted to organized crime.

I den unika databasen vi fått kan vi se attackerna från insidan. Med hjälp av experter har vi analyserat utpressarnas egna data. Det visar sig att en av de som varit med och skrivit koden till databasen har gjort ett stort misstag.

Han har lämnat digitala fotspår som gör att vi kan hitta honom på andra ställen på internet. Kanske kan vi identifiera honom via koden han själv har skrivit.

Men vilken koll har då svenska myndigheter på de som ligger bakom utpressningsvirusen?

Skylt: Robert Jonsson, ställföreträdande chef CERT på MSB
Robert Jonsson: Då har vi då den här kartan som visar på infekterade datorer i Sverige.

Myndigheten för samhällsskydd och beredskap jobbar med att förebygga it-attacker mot svenska företag och myndigheter.

Robert Jonsson: Enligt vår karta så är det nu ungefär 17 000 datorer som är infekterade. Det kan vara datorer som skickar ut spam, det kan vara datorer som försöker hacka andra datorer, det kan vara datorer som på annat sätt försöker göra dåliga saker.

Reporter: Vi har en dator med oss.
Robert Jonsson: Ja.
Reporter: Vi kan ta upp den, vi var och träffade en kille som har drabbats. Jag tänkte om du kan kika på den bara för att och se hur det ser ut och vad du säger om hans situation då. Den är ju då infekterad med cryptolocker.
Robert Jonsson: Ja.
Reporter: Vad är din liksom spontana reaktion, han har ju då klickat på ett mejl och fått det här viruset. Vad kan man göra?
Robert Jonsson: I det här fallet så finns det inte så mycket man kan göra. Det är det som är så infernaliskt med utpressningsvirus. Man sätter folk i en väldigt svår situation. Det är väldigt tragiskt.

Reporter: Finns det något hopp?
Robert Jonsson: Om det här är den cryptolocker som det ser ut att vara då finns det små möjligheter att få tillbaka.
Reporter: Vad tänker du kring just det här gänget då som skriver sig ligga bakom det här, cryptolocker, har du någon aning om vilka de kan vara?

Robert Jonsson: Nej, det har jag inte, men jag antar att cryptolocker på samma sätt som många andra att det är cyberbrottslingar som gör det för ekonomisk vinning.
Reporter: Om du ska gissa, var tror du de befinner sig?
Robert Jonsson: Det har jag ingen aning om.

Vi ger honom en lista från utpressarnas databas som innehåller adresser till datorer i Sverige som utpressarna har använt för att sprida sitt virus.

Robert Jonsson: Hade jag haft tillgång till databasen så hade jag kunnat göra det, då hade vi kunnat se om de här finns. Vi hoppas att dom ska kunna se om någon av datorerna fortfarande är aktiv.
Reporter: Och vad är det ni gör med listan nu?
Han tar med sig listan in till deras analysavdelning och under tiden får vi vänta utanför.

Utpressarna behöver serverkapacitet för att sprida sitt virus vidare och därför tar de också över datorer i hemlighet. Totalt har de som vi granskar styrt mer än 3 000 datorer världen över.

Det går till så här: utpressarna smittar en dator och tar i hemlighet kontroll över den. På distans kan de sen få den att utföra olika uppgifter åt dem. Till exempel skicka vidare mejl med länkar till virus. I de här fallen är det vanligt att den som drabbats inte ens märker av det.

Listan vi gav till Myndigheten för samhällsskydd och beredskap visar några av de datorer som utpressarna i smyg tagit över i Sverige och MSB kan undersöka om datorerna fortfarande används.

Reporter: Nu tror jag han kommer. Jajemen, spännande. Vad intressant.
Robert Jonsson: Den här var aktiv den 20 april 2016 och den här kan fortfarande vara en öppen proxy.
Reporter: Och vad innebär det?
Robert Jonsson: Oftast, många datorer som råkar ut för intrång används på många olika sätt, till exempel öppen proxy innebär att man använder den till att studsa till andra datorer.

Det betyder att den datorn fortfarande kan användas som smittspridare. En av datorerna på listan – som i hemlighet har spridit utpressarnas virus – hittar vi på en camping drygt sju mil väster om Umeå.

Skylt: Fahd Al-Saed, campingägare
Fahd Al-Saed: Det jag har märkt är att det är något som är fel. Vi får mycket mail, ibland kan det hända att vi har klickat på någonting, jag vet inte, men.

Mönstret är detsamma. Men till skillnad från de andra drabbade vi träffat är hans dator alltså inte låst. Den har istället tagits över för att jobba åt utpressarna.

Fahd Al-Saed: Vi har aldrig upptäckt att det är något slags virus vi har haft på våran dator. Andra sidan, jag kan ingenting om datorer så det kan hända att viruset fortfarande är kvar i våra datorer. Det vet vi inte. Naturligtvis efter det här som har hänt nu vi kommer göra något åt datorerna. Naturligtvis. Ta hjälp av kompisar eller alternativt support att vi har kanske extra skydd mot våra datorer.

I utpressarnas databas ser vi att de skrivit små kommenterar om de övertagna datorerna. Det är deras bedömningar om vad datorerna kan utnyttjas till. Och kommentarerna är skrivna på ryska.

Ett sätt för oss att komma vidare i jakten på utpressarna är att följa pengarna. En pusselbit hittar vi i småländska Sävsjö.

Skylt: Sven Elming, platschef Svenska hamburgare

Sven Elming: Den datorn som varit drabbad, där ligger ett temp-registrerings program, för hela den här lokalen. Och där är det kritiska punkter, bland annat mottagningskylen, så att man verkligen har koll på den, så att vi har temperaturen.

Reporter: Ska jag sätta mig eller… ja just det.

Sven Elming är chef på den här hamburgerfabriken. För drygt ett år sen klickade han också på en länk i ett mejl som såg ut att komma från Postnord. 

Sven Elming: Det var en skräck det första då när jag såg vad som var på gång att hända då när jag hade öppnat. Så jag böjde mig under skrivbordet och ryckte ut kabeln så allting bara dog. Men det var ju försent. Sedan väntade jag några minuter så kopplade jag upp allting igen men det var ju borta på en gång.

Dokumenten som låstes var oerhört viktiga för verksamheten. Sven ställdes inför valet att betala eller ägna månader åt att återställa det som var förlorat.

Reporter: Recepten var låsta också?
Sven Elming: Allt var låst.

Han valde att betala och förde över knappt fem tusen kronor till utpressarna för att få tillbaka sina filer.

Reporter: Fanns det någon tanke på att du bara skulle slänga datorn? Att jag tänker inte betala?
Sven Elming: Det är den första tanken man har, men sedan när man börjar fundera på vad det är som krävs för att återställa alltihopa då tänker man sig en gång extra för att 5 000 kronor, det var det värt.

Reporter: Hade du kunnat tänka dig betala mer om det är så värdefulla grejer för dig?
Sven Elming: Mmm... det hade jag kunnat vara beredd att gjort faktiskt.
Här är ju då det tempregistrerings (...)

Genom att följa hans betalning så kan vi börja spåra hur mycket pengar utpressarna har tjänat – och det är många som känt sig tvungna att betala.

Reporter: Men samtidigt är det här pengar som går till kriminella när du betalar.
Sven Elming: Ja det är ingen bra tanke, men det är någon som vill sko sig på någonting. Det är ju stöld liksom.

Betalningarna har skett i den digitala valutan bitcoin och de går att spåra. Vi har följt inbetalningar från över 11 000 offer under några månader. Ofta har de tvingats betala omkring 5 000 svenska kronor var. En medvetet överkomlig summa för att få så många som möjligt att betala. Totalt handlar det om flera hundra miljoner kronor.

Vi kan se hur de inbetalda pengarna flyttats runt mellan olika konton. Men sedan sprids pengarna igen mellan ett mycket stort antal konton och betalningarna blir till slut omöjliga för oss att följa.

Robert Jonsson: Vi rekommenderar inte organisationer eller privatpersoner att betala för att få tillbaka sin data. För det gynnar förövarna.

Reporter: Varför vill ni inte att de ska betala?
Robert Jonsson: Ja, om man betalar utpressning, så då faller man till föga för utpressarna och det innebär ju att man ger dem mer incitament att fortsätta med sin verksamhet.
Reporter: Känner ni till något fall där en myndighet har betalat?
Robert Jonsson: Det gör jag inte.

Skylt: Charlotte Ingvar-Nilsson, generaldirektör Myndigheten för press, radio och tv

Charlotte Ingvar-Nilsson: Ja, 2015 var det en utav våra medarbetare som fick ett mejl som han uppfattade komma från Postnord och i den fanns det en länk som skulle klicka på för att få fram fraktsedeln. Och vår medarbetare väntade på en leverans så han klickade på fraktsedeln.

Reporter: Och vad hände då?
Charlotte Ingvar-Nilsson: Och vad som då hände var att datorn låste sig.

Vi är på Myndigheten för press radio och TV. Här lyckades utpressarna låsa både server och säkerhetskopior.

Charlotte Ingvar-Nilsson: Vi hade en backup men den låg på samma server som de andra diskarna, så att den var också krypterad, backupen.

Men det fanns en enkel lösning.

Charlotte Ingvar-Nilsson: Och någonstans på vägen så beslutade myndigheten att betala.

Charlotte Ingvar-Nilsson var själv inte generaldirektör då. Men omkring 5 000 kronor av skattebetalarnas pengar kostade det för myndigheten att ta sig ur knipan.

Reporter: Hur ser du på det så här i efterhand att betala utpressarna?
Charlotte Ingvar-Nilsson: Ja, men alltså det är skattebetalarnas medel, det är klart man inte ska betala utpressare. Kan jag lätt säga i efterhand. Jag har förståelse för att... Det var en tidspressad situation och jag har förståelse för att man agerade som man gjorde. Egentligen var det en situation mellan pest eller kolera. 

Reporter: Om man tittar tillbaka i MSBs riktlinjer, så redan 2012 skriver dom betala aldrig några pengar.
Charlotte Ingvar-Nilsson: Uppenbarligen. Jag hade fått uppgift om att de har papprena togs fram senare. Men egentligen spelar det ingen roll. Det är självklart att myndigheten. Jag har förståelse för hur myndigheten agerade som den gjorde. Jag... Och naturligtvis ska skattebetalarnas medel inte användas på det här sättet. Man ska inte göda utpressning, det uppmuntrar ju till ytterligare utpressning.

Reporter: Vart tror du de här skattepengarna gick?
Charlotte Ingvar-Nilsson: Uppenbarligen dit de inte skulle gå, men jag har ingen aning.

Researcher: Om du går in där så ser du att det finns ju inga pengar på det kontot idag.
Reporter: Nej...
Researcher: De har flyttats vidare igen.

Vi försöker se var betalningarna från de svenska offren tagit vägen. Och vi får upp ett intressant spår. För några månader sedan greps den här mannen, Alexander Vinnik från Ryssland, i Grekland.

Han anklagas för att ha tvättat bitcoin motsvarande drygt 30 miljarder svenska kronor i dagens penningvärde. Kunderna var enligt amerikanska myndigheter grov organiserad brottslighet som tjänat pengar på både droghandel och internetbrottslighet.

Kim Zetter: He is a bit like what I described when you asked me who are the people behind these thing if you look at a picture of Alexander Vinnick he looks lika a 30-something professional young guy, he might be a programmer in Silicon valley or a programmer in Moscow, he looks like a young business guy, right?
Reporter: But why is he interesting?

Kim Zetter: Well he is interesting in that he is not who we are expecting to be behind ransomware if indeed he is. He is not accused of launching the ransomware he is only accused of being a money launderer for funds like this. So, it is interesting when you ultimately see who the cyber criminals, are they don’t necessarily look like who we are expecting them to look like.

Men via källor inom den amerikanska polisen lyckas vi få loss avgörande information. Vi får inte filma något av mötet men de visar oss dokument som bekräftar att Vinnik har tvättat pengar åt utpressarna som vi nu granskar.

Vi ser i dokumenten att utpressarna fått ut motsvarande 300 miljoner svenska kronor från Vinniks växlingskontor, som myndigheterna nu stängt ner. Det är alltså han som har gjort det möjligt för utpressarna att få tillgång till pengar från Sven, Myndigheten för press radio och TV och alla de andra offren.

Det finns alltså en koppling till rysk organiserad brottslighet.

Charlotte Ingvar-Nilsson: Skattemedel ska inte gå till, vare sig det är rysk eller någon annan brottslighet. Det ska inte gå till brottslighet överhuvudtaget.
Reporter: När gjordes polisanmälan?
Charlotte Ingvar-Nilsson: Polisanmälan gjordes för någon månad sedan tror jag.
Reporter: Efter att vi hade börjat ställa frågor om det?
Charlotte Ingvar-Nilsson: Ja.

Reporter: Varför gjorde ni det först då?
Charlotte Ingvar-Nilsson: Därför att jag hade utgått från att vi hade en polisanmälan. Att det var gjort.
Reporter: Vad hoppas du på att en sån polisanmälan som ni nu har gjort, efter att vi börjat ställa frågor om det. Vad hoppas du på att en sån ska kunna leda till?

Charlotte Ingvar-Nilsson: Jag är inte säker på att just den här polisanmälan kommer leda till någonting, men det är information som polisen ska ha.

Precis som med all annan brottslighet är det polisen som ska utreda och sätta stopp för de som ligger bakom attackerna med utpressningsvirus.

Richard Sundien: Det blir spännande att se hur... vad som har hänt med det.
Reporter: Vad tror du då? Hur länge sedan är det du polisanmälde?
Richard Sundien: Det är två och ett halvt år sedan, nej två år sedan är det.
Richard Sundien: Hej! Jag har ett ärende, en polisanmälan som jag gjort för två år sedan på ett virus som jag har fått.

Polis: OK. Då behöver jag legitimation. Dröj lite grand.
Reporter: Bra. Vad tror du de har gjort med det? Tror du...
Richard Sundien: Jag tror ju att ingenting hänt, men att den är registrerad. Det vore kul att veta hur många andra som är registrerade. Kul att läsa om det, vad som hänt.

Polis: Här ska vi se.
Reporter: Kan du se status på den här? Är den nedlagd eller är den pågående?
Polis: ”Förundersökning inleds ej” står det.
Richard Sundien: Mmm. Här står det ju, cryptolocker-virus. Alltså det är nedlagt de har inte kommit längre, ju. Jag vet inte hur mycket resurser de lagt på det men det är det här som finns nu.

Reporter: Vad känner du om det?
Richard Sundien: De har inte frågat någonting om... De har inte tagit min dator, dom har inte gått vidare, de har inte tagit det steget. Alltså det är för stort, det krävs enorma resurser för att gå vidare med det här och jag tror att det inte finns.

Den lokala polisen ska underrätta polisens Nationella operativa avdelning i Stockholm om den här typen av anmälningar.

Vi har begärt ut alla anmälningar och sen 2015 har det kommit in närmare 700 stycken. Det är privatpersoner men också stora företag och myndigheter som har drabbats.

Skylt: Anders Ahlqvist, IT-brottsspecialist polisens Nationella operativa avdelning

Anders Ahlqvist: Allt fler företag har hela sin affär i data i dag, hela affärsidén är data, hela förmögenheten ligger där och får man det krypterat och inte kan få upp det igen så kan det innebära slutet för ett företag. För privatpersoner kan det här vara en katastrof också genom att man har sina liv i datorerna i dag. Bara att förlora alla sina bilder från familjebiblioteket tio år bakåt är katastrof för många.

Reporter: Hur märker ni av det på de anmälningar som kommer in hit?
Anders Ahlqvist: Ja, det märks att det finns en ton av desperation i vissa av de här, det är ju helt klart.
Reporter: Men rent konkret då, vad gör ni när ni får in en anmälan?
Anders Ahlqvist: Vi pratar med målsäganden, vi vill få tillgång till hans system så att vi kan plocka ut skadlig kod och annat, loggar som kan visa varifrån angreppet har kommit och sådana här saker. Det är massor med små pusselbitar som leder fram till att man så småningom kan gripa någon.

Reporter: Men som ett fall som vi har tittat på, Richard, han anmälde ju till er, den anmälan lades ner direkt efter det var ingen som brydde sig om hans kod eller dator.
Anders Ahlqvist: Nej, nu sker det en utveckling på det här naturligtvis och vi har blivit bättre på det. Vi har utfärdat nationella riktlinjer för hur det här ska gå till, man drar det här i nationella operativa ledningsgruppen vid polisen i dag faktiskt. Hur det här ska hanteras. Och det är väl alltid så att det finns en tröghet i vårt system att man inte är på plats och har allt färdigt så fort ett nytt fenomen inträffar.

Reporter: Men hur ska ni få de här pusselbitarna om ni lägger ner anmälningarna direkt?
Anders Ahlqvist: Ja, men det är så klart att det är en pedagogisk fråga men det är precis som jag förklarade för dig nu och det förklarar vi för målsägande också att vi kommer inte gripa någon i Sverige för det här för det finns ingen i Sverige att gripa.

Anmälningarna vittnar om hur svårt polisen har att utreda den här typen av brott. Formuleringen ”okänd plats”, ”okänt land” återkommer ofta.

Reporter: En annan myndighet, 450 000 filer låsta. Tvingades stänga ner internet mellan torsdag och lördag. Jag tycker det är rörande att läsa om hur de försöker kämpa och få bevis som de lämnar till polisen, men ändå så läggs det bara ner direkt i princip. Polisen konstaterar okänd gärningsman, okänd plats.

Anders Ahlqvist: Det är klart att det inte är bra, en polis tycker ju inte att det är bra att det är svårt att få fast bovar. Men som det ser ut idag, det är både en teknisk fråga och sedan en juridisk fråga med nationsgränser, med länder som har svag lagstiftning och sådana saker, som gör att det här är svårt. Och de är otroligt skickliga på att utnyttja det här.
Reporter: Men av de anmälningar som ni har hittat hur många kommer leda till fällande domar i Sverige?
Anders Ahlqvist: Ingen skulle jag säga. Och det beror ju på att det här är en internationell verksamhet. De här gärningsmännen finns inte i Sverige. Det vi kan hoppas och det som strategin är internationellt i dag det är att många drar sitt strå till stacken och vi drar vårt strå så gott vi kan genom att göra analyser av data, samla in dem här och skicka dem till Europol.

Den svenska polisen löser inga fall av utpressningsvirus själva, utan skickar istället vidare uppgifterna till Europol – EUs polisbyrå.

Skylt: Haag, Nederländerna
Skylt: Europols högkvarter
Skylt: Fernando Ruiz, chef för Europeiska cybercrimecentret

Fernando Ruiz: We’re going to the laboratory. In the laboratory where we deal with the material that we receive from the member states and perform forensic analysis. And...

Vi är i Haag och på Europols högkvarter för att komma vidare i vår jakt på utpressarna. Vi får komma in i deras forensiska laboratorium och vi har också med oss Richards dator.

Fernando Ruiz: Let me introduce Jean-Dominique Nollet. Jean-Dominique  is the Head of Forensics and development at European Cybercrime Centre.
Reporter: So this is the infected computer.
Reporter: Have you seen this before?
Fernando Ruiz: This is cryptolocker. Yeah, the cryptolocker is one of the very well known ransomware families.

Europol har lyckats få fram nycklar till ett antal utpressningsvirus och kanske kan dom låsa upp Richards dator.

Reporter: So what will you do with the computer?

Skylt: Jean-Dominique Nollet, chef för kriminalteknik på Europeiska cybercrimecentret

Jean-Dominique Nollet: I will test the no more ransom, I will test the files extension.
Reporter: Interesting, small chance maybe?
Jean-Dominique Nollet: If you never try you never succeed huh?

Europol konstaterar i en färsk rapport att världen det senaste året drabbats hårdare av IT-attacker än någonsin tidigare.

Och enligt Europol överskuggar utpressningsvirusen de flesta andra hoten. Några av attackerna har drabbat känslig verksamhet och till och med varit livsavgörande.

Även Europol har svårt att komma åt förövarna.

Fernando Ruiz: It is complicated. It’s complicated to be successful becauseasI told you they are using, they have all the recourses to hide their traces, to use hidden infrastructure, to use crypto currency.
Reporter: How many cases have you solved?
Fernando Ruiz: Ransomware families? Not many, we have solved some cases of ransomware extortion, but I have to be honest not many. I have to be honest. It is very complicated and we are as police officer we can not be happy about the result, we have not been able to identify and arrest criminals behind these ransomware families yet.

Det enda fall de kan berätta om är från 2013. Den huvudmisstänkte var en rysk medborgare som greps i Dubai.

Jean-Dominique Nollet: So we have possible ransomware that are…
Fernando Ruiz: Wait a minute I will give you this.
Jean-Dominique Nollet: I have uploaded one of the victims files, to ”No more ransome”, ”No more ransome” gave me an answer. We have some chances to recover the files of the victim.

Reporter: So we can do that?
Jean-Dominique Nollet: We will not do this, we have very strict also on how we let people connecting the networks and you don’t fit into the category that has full free access.

Reporter: So we can try it at home?
Jean-Dominique Nollet: Yeah, you have to take a small file. After you try the decryptors, maybe you´re lucky, maybe you´re not lucky.
Reporter: We will try, thank you.

Reporter: We have seen that the group that we are looking at, are connected to Russia, have you seen that?
Fernando Ruiz: Russia could be, Russia is a big country and we see that we have links to Russia and number of investigations we are supporting that’s normal it would be people from Russia and criminals from other countries too.

Att identifiera en person bakom attackerna med utpressningsvirus är svårt.

Men misstaget som kodaren gjorde när han lämnade digitala fotspår efter sig gör att vi hittar ett användarnamn som han har använt sig av på internet.

Bland annat leder det oss till olika konton i sociala medier. Det är fler än polisen som är ute efter att hitta de som ligger bakom attackerna.

Reporter: Det är lite säkerhetsanordningar.

Postnord – vars namn kapades och användes i mejlen som spred viruset, jagar också de som ligger bakom attacken. De känner sig också utnyttjade av utpressarna och har därför gjort sin egen utredning.

Skylt: Janne Haldesten, säkerhetskonsult och Postnords utredare

Janne Haldesten: Det är ju mer en polisiär fråga egentligen men för att få saker och ting på banan så Kände vi att vi var tvungna att agera.
Reporter: Så då gjorde ni en egen utredning?
Janne Haldesten: Yes.

De kom fram till att samma tillvägagångssätt används i minst tio andra länder.

Janne Haldesten: Från början tyckte man det var väldigt olyckligt att Postnords varumärke användes på det sättet. Men ju mer vi grävde i det insåg vi att det inte bara var Postnord. Det var ju Royal Mail och andra aktörer, posttjänster i tio olika länder.

Utpressarna använde alltså flera olika länders postbolag som påhittade avsändare för sin attack. Postnord har med hjälp av myndigheter världen över fått fram några intressanta spår.

Reporter: Och den här gruppen då, vad kan ni säga om den utifrån den utredning som ni gjorde?
Janne Haldesten: Ungefär fem-tio personer, det är de som råddar själva den här tjänsten. Det finns någon som paketerar den, kan vara någon av de här andra också. Sedan har du någon som marknadsför den utåt så du kan köpa den som ransomware-service och då hyr du till exempel den här typen av infrastruktur för då en kampanj.

Reporter: Vet ni någonting om varifrån de kommer?
Janne Haldesten: Det som vi har i alla fall lyckat konstatera det är ju att det är rysktalande länder. Då pratar vi Baltikum, Ryssland, Ukraina, Vitryssland till exempel. Vi har hittat command and controlservrar som styr i både Ryssland och i Ukraina också. Tekniskt sett kan en person sitta någon helt annanstans men ha sina C2 servrar där.

Reporter: Så det finns saker som pekar mot Ryssland i eran utredning?
Janne Haldesten: Ja det gör det.

Skylt: Moskva, Ryssland

Det är mycket som talar för att utpressarna har kopplingar till Ryssland. Här har myndigheter och säkerhetsföretag jagat nätbrottslingar i många år. Och i Moskva finns just nu experter från hela världen samlade.

Reporter: Hi, Oskar, Swedish television... We have some questions för you about ransomware.
Noboru Nakatani: Ok, later on.
Reporter: Can we take it...
Noboru Nakatani: After the...
Reporter: After the press conference.
Noboru Nakatani: Yes.

Noboru Nakatani är chef på den världsomspännande polisen Interpol. Han är här för att skriva ett samarbetsavtal med ett av de ledande säkerhetsföretagen i Ryssland – Group IB.

Skylt: Noboru Nakatani, chef för Interpols utvecklingsavdelning

Reporter: How successful have you been in revealing the people behind these attacks?
Noboru Nakatani: Well, in terms of the Interpol facilitated operations ransomware cases are quite little I think.
Reporter: But you don’t know which people are behind these attacks that I...?
Noboru Nakatani: As of today I don’t have specific information to answer your questions.

Interpol återkommer via mejl efter intervjun och förklarar att de inte har tillräcklig information om specifika fall och inte kan ge oss uppgifter om någon utpressare de lyckats gripa.

Skylt: St Petersburg

Men vi har material som gör att vi kan komma längre. Genom att analysera databasen vi har fått lyckas vi spåra attackernas ursprung. Här – i ett serverhotell i St Petersburg ligger servern som styrt spridningen av utpressningsviruset.

Genom databasen så ser vi servern från insidan och kan se hur de arbetat i den och vilka program de har använt.

Skylt: Moskva
Skylt: Group IBs huvudkontor

Vi besöker Group IBs kontor i Moskva och visar delar av databasen för några av deras experter.

Reporter: How interesting is this kind of material?
Kvinna (analytiker): Very interesting. Really. If you have access to the server, you have a chance to find the criminals behind.
Reporter: You think so?
Kvinna: Yeah. I’m sure.

Eftersom hon jobbar med att jaga nätbrottslingar så vill hon inte gå ut med sitt namn. Men hon ser direkt att gruppen bakom utpressningsviruset också har begått andra grova brott.

Kvinna: Yes, it is comments in Russian. You can see here that this information about bank accounts exactly, because this says ”empty”, which means no money.
Reporter: So this indicates that they have been inside...
Kvinna: Yes, they have checked the victim and comment what they need more. Here it says that there is not enough information to steal the money. Then there is comments that banks have some limits, so they have to create some tool to transfer less than this limit. What else...

Skylt: Nikita Kislitsin, chef för nätverkssäkerhet Group IB

Nikita Kislitsin: Mostly it’s written here ”pofta”, which in Russian means ”empty”, no money. Somewhere you could see ”bank 7,7 million dollars”. So, you see...
Reporter: How do they know that?
Nikita Kislitsin: Well... They just check logs and they see which websites visited from this specific computer, they see what login-passwords were entered to access some kind of systems.

Reporter: Do you think they are Russian?
Nikita Kislitsin: I think they are Russian speaking at least.
Reporter: Not a false flag?
Nikita Kislitsin: In this case, no. Such indicators like comments, they are more difficult to imitate. We analyse a lot of such control servers within our company.

Enligt analytikerna i Ryssland har utpressarna alltså ägnat sig åt fler brott än att bara låsa information och utpressa sina offer. Dom har också kollat upp hur mycket pengar det finns på bankkonton som är kopplade till de attackerade datorerna.

Skylt: Ilja Sasjkov, VD och grundare Group IB
Ilja Sasjkov: It's totally Russian people. Or Russian speaking at all.

Reporter: Why is it so many Russians doing this type of crimes?
Ilja Sasjkov: Because of history. The first generation of russian cyber-crime post Soviet union time. It´s very bad economic situation at that time and parents don't provide necessary information about what's good and bad. We have very good Soviet engineer education, especially in the IT-sector so a lot of talented and smart people don’t feel that cyber crime is bad. They have technical ability to steal money.

Efter att ha undersökt vårt material återkommer Group IB och meddelar att det rör sig om en grupp som 2015 annonserade om att få hyra ett virusprogram på ett nätforum. Det skulle kosta nästan 40 000 kronor i månaden. Men inte heller Group IB vet vilka utpressarna är.

Men vi får ett genombrott när vi följer kodarens spår i sociala medier. Vi lyckas identifiera en man i 30-årsåldern, rysktalande och ursprungligen från Litauen. Det är han som har skrivit delar av den kod som behövs för att sprida utpressningsviruset.

Skylt: London, Storbritannien

Den information vi hittar tyder på att han nu arbetar som frilansprogrammerare i London. Men inga telefonnummer, och ingen adress. Vi vill veta vad han säger om våra uppgifter, som alltså binder honom till virusattackerna. Har han någon förklaring till att den kod han skrivit finns i databasen?

Och hur ser han på den skada han i så fall varit med att orsaka?

Reporter: But he should be working here as a programmer, this guy?
Man: No, I don't think so...

Reporter: We are journalists trying to find a guy that works nearby.
Person: Never seen him.
Reporter: Never seen him?

Person: What has he done?
Reporter: We're just trying to find, he’s a programmer.

Vi söker honom på arbetsplatser vi vet att han har jobbat på och flera ställen i deras närhet. Trots att vi tagit hjälp av engelska researchers och använt oss av andra källor så hittar vi inga uppgifter om honom i några register. Vi gör allt vi kan för att nå honom.

Vår databas visar att han har skrivit kod som använts för att skicka ut viruset. Och spåren av honom finns på flera platser i utpressarnas server. Vi söker honom också på sociala medier och skickar frågor till de adresser vi har.

Reporter: Man undrar ju verkligen vad han har svarat. Antingen så vill han prata eller så... eller så håller han sig undan. Var är han?

Till slut får vi kontakt på Facebook.

Reporter: Har du fått svar?
Researcher: Ja.
Reporter: Jag är chockad skriver han. Men du chattar med honom nu?
Researcher: Mm.
Researcher: We have proof that you have written the source code for the fast flux infrastructure. You have left traces of your own computer and your nickname in the code and on the server. Vi börjar och ser vad han svarar.

Reporter: Han har redan sett det, visat.
Reporter: Titta han svarar, han skriver.
Reporter: Han började skriva, men så slutade han igen.

Efter en stund får vi svar.

CITAT: Jag nekar till att ha något direkt att göra med det här.

Skylt: Citaten översatta till svenska

Han har arbetat som frilansande programmerare och har haft många kunder, men har aldrig skapat något program i syfte att sprida ett sådant virus, förklarar han.

Men lägger till:

CITAT: Jag kan inte garantera att jag inte skapat något som användes för att organisera något.

Researcher: We can meet you in London and show you the proof...

Vi försöker övertala honom om att träffa oss så vi kan lägga fram vårt material. Vi lovar att vi ska lyssna till hans förklaringar och att han kan få vara anonym. Men han är tveksam. Sedan konfronterar vi honom med uppgiften om att hans kod har använts för att sprida ett virus som saboterat sjukvård och förstört för tusentals människor världen över.

CITAT: Det är fruktansvärt.
CITAT: Jag nekar till att ha något ansvar.

Vem som helst kan ha tagit hans program och använt det i ett annat syfte, hävdar han.

CITAT: Lita på mig – jag är fel måltavla.

Men den bilden delas inte av de experter vi tagit hjälp av. Vi ger hela databasen till en erfaren tidigare IT-brottsutredare, han vill av säkerhetsskäl inte vara med med namn och bild, men slår fast – citat:

”Det finns starka forensiska bevis mot den här kodaren. Det är klarlagt att han haft en del i verksamheten och förstått vad syftet med koden är”.

”Det finns starka forensiska bevis mot den här kodaren. Det är klarlagt att han haft en del i verksamheten och förstått vad syftet med koden är”.

Vi fortsätter att ställa frågor till kodaren. Och undrar om han kan erkänna att syftet med hans kod var att sprida virus.

CITAT: Det kan jag inte.

Han säger sig inte ens känna till vilken kod vi talar om. Och när vi skickar material ur databasen till honom som visar att han har varit inblandad slutar han helt att svara på våra frågor. Och något möte det blir det inte.

För Richard Sundien i Ängelholm och alla de andra offren som inte betalat hänger hoppet på att utpressarna avslöjas eller att någon lyckas knäcka koden till viruset. Då kanske deras filer går att låsa upp igen. Hos Europol fick vi förslag på några lösningar och vi gör ett sista försök för att se om de fungerar.

Reporter: Jag försöker ansluta till den där sidan NoMoreRansome som Europol berättade om som dom har varit med och tagit fram. Vi tar de här två de är ju jättesmå.

Under ett antal timmar försöker vi hitta en lösning.

Reporter: Då har vi laddat upp dom filerna som vi ska ladda upp, det kommer hela tiden upp sådana här... ”vi har låst dina filer”. Nu ska vi se.

Precis som alla sagt är chanserna små att kunna låsa upp en dator som drabbats och i Richards fall lyckas vi inte.

Vi kunde tack vare den unika databasen identifiera mannen som skrivit delar av den kod som spred viruset. Och vi kunde också visa hur utpressarna jobbat, även om vi inte vet vilka de andra personerna är.

Och kanske visar det här just hur svårt det är att sätta dit de som ligger bakom den moderna tidens utpressning – där brottsoffren kan räknas i miljoner och där förövarna förblir anonyma.

Så arbetar vi på SVT Nyheter

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer

Digital utpressning

Mer i ämnet