Coopbutiker låsta i global it-attack

Coopbutiker landet över hålls stängda till följd av en omfattande it-attack som slagit mot deras kassasystem – och det är oklart när de kan öppna igen.

Tusentals företag kan ha drabbats i vad som tycks vara ett ovanligt stort fall av utpressning.

Telegram från TT / Omni
3 July 2021, 08.39, uppdaterad 3 July 2021, 22.07

Coopbutiker landet över hålls stängda till följd av en omfattande it-attack som slagit mot deras kassasystem – och det är oklart när de kan öppna igen.

Tusentals företag kan ha drabbats i vad som tycks vara ett ovanligt stort fall av utpressning.

Kassorna i merparten av Coops butiker slutade att fungera tidigt på fredagskvällen, vilket senare visade sig bero på en it-attack. De drabbade butikerna rekommenderades att hålla stängt under lördagen och det är oklart om de kan öppna igen under söndagen.

– Vi har inte fattat något generellt beslut. Det pågår ett arbete och det har det gjort under hela dagen och under kvällen. Det kommer säkert pågå in i natten, säger Coops presstalesperson Kevin Bell till TT.

– Vi har en lite mer positiv prognos, att något fler butiker ska kunna öppna i morgon, men nattens arbete får visa hur det blir.

Säkerhetsaktör i USA

Coop härleder problemen till sin underleverantör Visma Esscom, som levererat kassalösningen. Visma Esscom pekar i sin tur mot det amerikanska mjukvaruföretaget Kaseya.

Det är det företaget – som säljer it-tjänster till mängder av kunder världen över – som har blivit utsatt för vad som av allt att döma är en attack med så kallad ransomware.

En sådan attack innebär att förövaren placerar mjukvara hos måltavlan, lyckas låsa hela dennes system och sedan kräver en lösesumma för att låsa upp det.

Eftersom Kaseya förser sina kunder med mjukvara så har attacken fått konsekvenser på ovanligt bred front.

Kan ha funnit källan

Visma Esscom förser fler svenska företag med kassalösningar. Under lördagen rapporterades strul från bland andra Ica-ägda Apotek Hjärtat, bensinmackskedjan St1 och SJ, där det har varit störningar eller omöjligt att betala med kort.

Kaseya uppger att alla dess servrar stängdes av i förebyggande syfte när det stod klart att något höll på att ske under fredagen, samt att man därpå kontaktade alla sina kunder för att de skulle kunna stänga ned sina system, rapporterar AFP.

”Vi tror att vi har identifierat källan till sårbarheten och förbereder en uppdatering för att avhjälpa den”, lyder ett skriftligt besked.

Visma Esscoms vd Fabian Mogren sade till TT tidigare på lördagen att det pågick en stor och gemensam insats med Coop för att lösa problemet.

– Det handlar om att installera om maskinerna utan att viruset följer med, sade han.

Fick nyligen stort byte

Nya Zeelands nationella it-säkerhetsstab, en så kallad Cert-grupp, slår fast att gärningspersonerna är del av en hackergrupp som kallar sig R Evil.

Enligt amerikanska FBI var det den gruppen som förra månaden gav sig på en av världens största köttkoncerner, JBS i Brasilien i en liknande attack. Det slutade med att JBS betalade lösesumman på motsvarande drygt 90 miljoner kronor.

Det framgår inte om Coop, Visma Esscom eller någon annan drabbad har anmält det inträffade till den svenska polisen, eller om de har tagit emot några utpressningskrav om pengar.

It-säkerhetsexperten Anders Nilsson vid företaget Eset Nordics är inte främmande för att Coop, eller dess leverantör, har hamnat i en utpressningssituation. Hans råd är att aldrig betala utpressarna, då det sporrar dem att fortsätta.

Vad kan då Coop göra om de fått sina betalningssystem kidnappade, direkt eller indirekt?

– Tyvärr inte så mycket mer än att återställa från backup, säger Anders Nilsson.

– I värsta fall måste man ut till varje dator och starta om.

Eftersom attacken är så stor finns det en risk att detta bara är början, enligt Nilsson.

Ökning hos konkurrent

Coop har totalt fler än 800 butiker i Sverige och hade förra året en marknadsandel på 20 procent. Koncernen vill ännu inte bedöma hur stora förluster varje dag med stängda butiker innebär.

Värmland, Gotland och Norrbotten är undantag, då Coopbutikerna där har kunnat hålla öppet ändå. Ytterligare enstaka butiker på olika håll i landet har funnit andra tillfälliga lösningar.

I de andra fallen måste kunderna handla någon annanstans.

– Coop är en såpass stor aktör att det är klart att vi har sett en volymökning, säger Edvard Lind, vid konkurrenten Icas presstjänst, som tillägger att man hoppas att problemen snart löses.

Några kända ransomwareattacker

Ransomware kan översättas med utpressningsvirus, där hackarna låser ett företags datasystem med krav på lösesumma för att öppna systemet igen.

Några relativt nyligt uppmärksammade fall:

Colonial Pipeline drabbades i maj av en attack vilket stängde USA:s största oljeledning.

För en månad sedan drabbades amerikanska köttjätten JBS som betalade 11 miljoner dollar, närmare 100 miljoner kronor, i lösesumma till hackarna.

I november 2020 slog hackare till mot danska nyhetsbyrån Ritzau som inte kunde leverera nyheter. Ritzau krävdes på pengar, men betalade inte.

Svenska polisen har tidigare sagt till TT att hundratals svenska företag har utsatts och att många betalar sig fria, men att mörkertalet förmodligen är stort eftersom många drabbade inte vill berätta offentligt.