83 prosent uttrykte bekymring for sikkerheten til verdens kryptobørser. I lys av krigen i Ukraina har denne bekymringen tiltatt. For isolerte nasjoner som Russland er kryptovaluta en nærliggende mulighet til å spe på krigskassa.
Kryptovaluta kan ikke sanksjoneres på samme måte som vanlig valuta, så det er en fiffig metode å omgå valutarestriksjoner på for områder med sanksjoner. Håkon Fosshaug, Europa-sjef VMware
– Etter utbruddet av krigen i Ukraina har vi sett en oppblomstring av angrep mot kryptobørsene. Kryptovaluta kan ikke sanksjoneres på samme måte som vanlig valuta, så det er en fiffig metode å omgå valutarestriksjoner på for områder med sanksjoner. Man kan sikre seg betydelige inntekter uten å bli stanset av internasjonale begrensninger, forteller sikkerhetsekspert og Europa-sjef for VMware Carbon Black, Håkon Fosshaug, til Kapital.
Bekymret for sikkerheten: En ny rapport fra sikkerhetsselskapet WMware Carbon Black, her ved Europa-sjef Håkon Fosshaug, viser at finansielle institusjoner er blitt til dels kraftig bekymret for sikkerheten til verdens kryptobørser. Foto: Stian Lysberg Solum/NTB
Åtte milliarder kroner ranet
Bare det siste halve året er det kjent at cyberkriminelle har ranet til seg minst åtte milliarder kroner i kryptovaluta.
I desember kom en gruppe cyberkriminelle seg unna med kryptovaluta som den gang var verdt 196 millioner dollar, tilsvarende 1,9 milliarder kroner etter dagens kurs, fra kryptobørsen BitMart. Ranet skjedde ved at tyvene fikk tilgang til to av børsens såkalte hot wallets ved hjelp av en krypteringsnøkkel.
Vel fire måneder senere, i mars, slo en gruppe cyberkriminelle til mot onlinespillet Axie Infinity. Spillet bruker ethereum-basert kryptovaluta. Denne gangen kom tyvene seg unna med kryptovaluta verdt 620 millioner dollar (ca. 6 milliarder kroner).
VMware-rapporten slår fast at de siste ti årene er til sammen 2,6 milliarder dollar (tilsvarende 25,4 milliarder kroner etter dagens kurs) blitt stjålet via dataangrep rettet mot kryptovaluta, og angrepene ser ut til å øke i omfang.
“Fordelen med å rane kryptobørser for cyberkriminelle er at byttet fra et vellykket kryptoran blir tilgjengeliggjort for hackerne, og kan potensielt veksles om til andre valutaer. På den måten opplever ranerne en øyeblikkelig belønning uten at de trenger å gjennomføre besværlige svindler, personlig risiko eller ulne disponeringer, som løsepengetrusler eller persondata. I 2022 har dette blitt den digitale versjonen av det klassiske bankranet,” heter det i VMwares rapport.
De største kryptovaluta-ranene til nå
- Ronin (Axie Infinity) – 620 millioner dollar
- PolyNetwork – 611 millioner dollar
- Coincheck – 532 millioner dollar
- Mt Gox – 470 millioner dollar
- Wormhole – 325 millioner dollar
- KuCoin – 281 millioner dollar
- MitMart – 225 millioner dollar
- BitGrail – 146 millioner dollar
- BXH – 140 millioner dollar
- CreamFi – 130 millioner dollar
Bloomberg
Statsfinansierte ran
Fosshaug viser til Nord-Korea for å illustrere hvorfor statsfinansierte hackergrupper velger å gå etter kryptobørsene. Det har lenge vært en kjensgjerning at Nord-Korea sper på statskassen med utstrakt bruk av cyberkriminalitet. Hva angår Axie Infinity-ranet vist til innledningsvis, har FBI knyttet det til hackergruppene Lazarus og APT38, som igjen er knyttet til Nord-Korea.
– Den største inntektskilden til Nord-Korea er nettopp slike ran. På grunn av begrensningen i handel. For angrep som stammer fra russiske territorier, vil jeg tro det handler om å teste miljøene og mulighetene. Vi har ennå ikke noen konrekte data på hva Russland har oppnådd eller er ute etter, men vi registrerer at cyberangrep øker generelt i større og større omfang om dagen. Det dreier seg både om å skade og å oppnå økonomisk vinning. Den russiske økonomien er i en svært presset situasjon, og det er nå veldig attraktivt å benytte cyberkriminelle til å tilegne seg verdier eller for å skape økonomisk uro. Disse cyberangrepene kan ha en sterk påvirkning såvel økonomisk som politisk, sier Fosshaug.
Den russiske økonomien er i en svært presset situasjon, og det er nå veldig attraktivt å benytte cyberkriminelle til å tilegne seg verdier eller for å skape økonomisk uro. Håkon Fosshaug, Europa-sjef VMware
Ifølge CISA slutter flere og flere kjente hackergrupper seg til Russland. Av de mest kjente finner du: The CoomingProject, Killnet og Mummy Spider. Førstnevnte gruppe spesialiserer seg på utpressing og løsepenger.
– På disse kryptobørsene ligger det enorme verdier. Det er mye større enn om du skulle ha ranet en bank, og dette er noe som kan gjøres fra gutterommet med den riktige kunnskapen og verktøyene. Det er enorm mulighet for gevinst uten noen særlig risiko, forteller Fosshaug om hvorfor spesielt kryptobørsene har utkrystallisert seg som favorittmål.
– Hvordan påvirker disse kryptovaluta-ranene finansbransjen?
– Kryptovaluta har økt i popularitet, godt hjulpet av investorer som Elon Musk. Flere og flere legitime bedrifter og stater eier kryptovaluta, og tyverier av disse valutaene kan f.eks. påvirke kursen betraktelig.
Tredobling i antall hendelser
– Det er ikke noen tvil om at kryptovaluta er ettertraktet blant aktører med ondsinnede hensikter, sier fagdirektør Roar Thon i Nasjonal sikkerhetsmyndighet (NSM).
Det er ikke noen tvil om at kryptovaluta er ettertraktet blant aktører med ondsinnede hensikter. Roar Thon, Nasjonal sikkerhetsmyndighet
Lik CISA observerer også norske sikkerhetsmyndigheter en kraftig økning i antall dataangrep, men der amerikanerne er langt fremme med å identifisere aktørene bak, er Norge mer tilbakeholdne.
– Vi har nylig sagt at vi har sett en tredobling i antall hendelser, men vi kan ikke uten videre knytte alle disse hendelsene til konkrete aktører i konkrete land. Mange er kjapt ute med å tro at de vet motivasjonen og hovedhensikten, men hvem som står bak hva er et betydelig tåkelagt område, med en høy grad av fornektelse. Du skal være veldig forsiktig med å konkludere med hvem som gjør hva, og med hvilke motiver.
– Men kan Russland betegnes som en ondsinnet aktør hva gjelder cyberkriminalitet?
– Ja, Russland er uten tvil en ondsinnet aktør, bekrefter Thon.
Hva angår den økende mengden ran av kryptovaluta er dette en trend som også NSM har observert.
– Vi observerer trenden, og det er interessant å se at aktører som sitter bak digitale murer er i stand til å utføre slike operasjoner mot institusjoner i andre land. Dette tilsier at angrepene er sanksjonert av landet de oppholder seg i sine myndigheter.
Thon forklarer at kryptobørser og kryptovaluta i bunn og grunn representerer noe ganske nytt innen finanssektoren, og at det speiles i sikkerhetsrutinene.
– Aktørene bak er ikke nødvendigvis like godt skodd som de etablerte aktørene innen finanssektoren, og de har gjerne ikke like gode strukturer på plass. Noe som kan skape en betydelig sårbarhet. Grunnen til at dette er en trend, er nok at kryptovaluta er lett omsettelig “valuta” hvor det kan være enklere å skjule sporene av sine transaksjoner.
Tilbakeholden: Roar Thon, fagdirektør i Nasjonal sikkerhetsmyndighet, bekrefter at de ser på Russland som en ondsinnet aktør i cyberdomenet, men han mener at det er mange gråsoner å ta hensyn til. NSM
– Den nye enhjørningen
– I finansiell forstand er cyberkriminalitet blitt den raskest voksende enhjørningen. De siste ti årene har pengene som forsvinner til cyberkriminalitet bare økt, sier direktør i Center for Cyber and Information Security ved NTNU, Nils Kalstad.
I finansiell forstand er cyberkriminalitet blitt den raskest voksende enhjørningen. Nils Kalstad, NTNU
Også han har notert seg den økende mengden angrep rettet mot kryptovaluta, og påpeker at det er en naturlig utvikling.
Mye penger i omløp: Direktør i Center for Cyber and Information Security ved NTNU, Nils Kalstad, påpeker at cyberkriminalitet er den raskest voksende enhjørningen. Foto: NTNU
– Du har mulighet for god fortjeneste for relativt lite risiko. Ran av kryptovaluta er rett og slett god butikk for dem som utfører dem. Kriminelle får stor avkastning på dette. Bare ta kursutviklingen. Ser du bort fra den siste tiden, har kursen på kryptovaluta generelt bare gått oppover.
Hvem som står bak ranene er derimot mer av en gråsone, og Kalstad vil ikke spekulere.
– Det er mye tipping og synsing, og det er vanskelig å si hvem aktørene er. Men noen indikasjoner har vi. Du kan se det på signaturer og spor som hackerne etterlater seg. De har verktøy som skiller seg fra hverandre. Så har du sett noe som ligner på dette før. I tillegg har man i noen tilfeller dialog med aktørene, så du kan kjenne igjen fremgangsmåten.
Øker innsatsen
Den digitale trusselen er stadig økende. Kalstad beskriver det simpelthen som en naturlig konsekvens av at teknologien har forandret seg. Men samtidig med at kriminaliteten øker, øker også mottiltakene. Det amerikanske justisdepartementet opprettet i oktober den nye avdelingen National Cryptocurrency Enforcement Team (NCET), hvis eneste oppgave er å etterforske kryptovaluta-ran og -svindel.
Fire måneder senere kunne NCET notere seg sin første seier da det lyktes dem å beslaglegge 94.000 bitcoin til en verdi av 3,6 milliarder dollar. Bitcoinvalutaen stammet fra et ran tilbake i 2016. To personer er tiltalt for ranet.
Fremgangsmåten til etterforskerne var å bruke såkalte blockchain-data, og i en pressemelding blir det opplyst at de gjennomgikk tusenvis av transaksjoner for å finne gjerningsmennene.
– Kryptovaluta er basert på blockchain-teknologi, og alle transaksjoner er logget. Så fort en slik valuta skifter eier, vil den etterlate seg bevis på det. Pengene må hvitvaskes, eller konverteres til en annen valuta. Amerikanske myndigheter har nå bevist at det lar seg gjøre å spore kryptovaluta, og det er en positiv utvikling, sier Fosshaug.
Kapital har sendt den russiske ambassaden i Oslo spørsmål i forbindelse med denne saken. De tar avstand fra påstandene om at de er en ondsinnet makt i cyberdomenet, og skriver følgende i en melding:
– Istedenfor å demonisere Russland burde man heller tenke på å tilrettelegge faglig samarbeid med russiske ansvarlige myndigheter for å sikre reell trygghet for borgere, bl.a. innen cybersikkerhet, samt forbedre atmosfæren i de bilaterale forhold.
