Skip To main content
is/en

Þetta er hópurinn sem gerði árás á Morgunblaðið

Rússneski hakkarahópurinn Akira er sagður hafa staðið á bak við árás á tölvukerfi Morgunblaðsins með þeim afleiðingum að gríðarlegt magn gagna var tekið í gíslingu. Vegna þessa lá fréttavefur Morgunblaðsins niðri í um þrjár klukkustundir og útsendingar K100 lágu niðri.

Þó að hakkarahópurinn sé tiltölulega nýr af nálinni hefur hann þegar valdið óskunda hér á landi.

Aðfaranótt 29. ágúst í fyrra var gerð netárás á bílaumboðið Brimborg þar sem gögn voru tekin í gíslingu. Í byrjun febrúar á þessu ári var svo gerð árás á tölvukerfi Háskólans í Reykjavík. Talið er að í báðum þessum tilfellum hafi Akira verið að verki og voru áhrifin umfangsmikil rétt eins og í tilfelli árásarinnar á Morgunblaðið í gær.

Margar árásir á stuttum tíma

Í suttu máli virka árásir af þessu tagi þannig að forriti sem dulkóðar gögn notenda er komið fyrir inni í tölvukerfum stofnana og fyrirtækja. Til að leysa gögnin úr haldi er krafist lausnargjalds sem getur hlaupið á tugum milljóna króna.

Akira-hópurinn byrjaði að láta til sín taka í mars 2023 og á rúmu ári, eða þar til í apríl 2024, hafði hópurinn ráðist á rúmlega 250 fyrirtæki og stofnanir á Norður-Ameríku, Evrópu og Ástralíu. Yfirleitt eru það lítil og meðalstór fyrirtæki sem verða fyrir barðinu á hópnum.

Í skýrslu sem fulltrúar Europol og FBI komu meðal annars að kom fram að í þessum árásum hefði hópurinn þénað 42 milljónir Bandaríkjadala, 5,8 milljarða króna. Misjafnt er hversu háar upphæðir þarf til að leysa gögn úr haldi en samkvæmt netöryggisfyrirtækinu Arctic Wolf geta upphæðirnar verið frá 200 þúsund dollurum og allt upp í fjórar milljónir dollara. Ef ekki er borgað innan ákveðinna tímamarka eru gögnin birt á netinu á þar til gerðri síðu.

Þess er getið í umfjöllun Arctic Wolf að gögn sumra fyrirtækja sem ráðist hefur verið á séu ekki lengur aðgengileg á lekasíðu hópsins sem bendir til þess að mörg hver borgi lausnargjaldið.

Tengslin við Rússland

Í umfjöllun vefmiðilsins Cyberdaily í fyrra kom fram að Akira virðist vera afsprengi annars þekkts hóps, Conti-gagnagíslatökuhópsins sem var sagður tengjast rússnesku leyniþjónustunni. Sá hópur lagði upp laupana eftir að hafa lýst yfir stuðningi við innrás Rússa í Úkraínu árið 2022. Í kjölfarið var miklu magni af gögnum frá Conti lekið af aðila sem studdi málstað Úkraínu, þar á meðal aðferðirnar sem hópurinn notaði til að komast yfir gögn.

Sem fyrr segir byrjaði Akira að láta til sín taka í ársbyrjun 2023 og í umfjöllunum erlendra miðla kemur fram að ýmislegt bendi til þess að þar sé um að ræða einstaklinga sem tengjast Conti-hópnum.

Sum fyrirtæki hreinlega verða að borga

Theódór Ragnar Gíslason hjá Defend Iceland var í viðtali í sunnudagsblaði Morgunblaðsins fyrir rúmum mánuði þar sem hann ræddi meðal annars netöryggismál. Fyrirtæki hans aðstoðar fyrirtæki við að koma auga á veikleika sem hægt sé að tryggja að ekki verði gerðar netárásir þar sem viðkvæmum gögnum er stolið.

Um svokallaðar lausnargjaldsárásir, eins og dæmin hér að ofan fjalla um, sagði Theódór að hakkarar væru að vonast eftir gróða.

„Það eru lausn­ar­gjalds­árás­ir og gagnagísla­taka þar sem hakkarinn brýst inn og tek­ur yfir net­kerfið, yf­ir­leitt í gegn­um ör­ygg­is­veik­leika. Ný­lega tók rúss­nesk­ur hakkarahópur, Akira, tölvu­kerfi HR úr um­ferð. Þeir ná þá stjórn og dreifa hug­búnaði á tölv­ur og dul­kóða gögn. Það sem svona aðilar gera oft­ast er að sjúga gögn út, oft viðkvæm persónugreinaleg gögn og gagna­grunna, og hóta að birta þau. Þannig að pen­ing­ur er aðal­mark­miðið og þetta er að aukast gríðarlega,“ sagði Theodór meðal annars í viðtalinu og bætti við að mikilvægt væri að greiða hökkurunum ekki fyrir að fá gögnin til baka.

„Þónokk­ur fjöldi ís­lenskra fyr­ir­tæki hef­ur lent í þessu og ég veit til þess að ís­lenskt fyr­ir­tæki hef­ur greitt hátt lausn­ar­gjald til að ná aft­ur upp sín­um rekstri,“ sagði Theodór í viðtalinu og bætti við að sumir borgi og sumir verði að borga.

„Ef þú ert til dæm­is með fram­leiðslu­línu sem er hætt að virka og þeir eyddu öll­um af­rit­um, þá er ákvörðunin mjög erfið. Ég mæli auðvitað ekki með að borga því þá ertu bara að fóðra brans­ann. Þetta er skipu­lögð glæp­a­starf­semi og það er nóg af þess­um hakkarahópum,“ sagði hann við Morgunblaðið.

Aðrar fréttir

Sjá allar fréttir

How I found all corporate usernames in Iceland

One of my favorite methods to gain initial access to companies is finding valid credentials. If your target is just one employee, this might be near impossible. But what if you have hundreds, or even thousands of targets? What if the target victim is anyone in Iceland? Then gaining valid credentials goes from near impossible to near certain.
Lesa meira

When Retired Domains Come Back to Haunt: The Hidden Risk of Legacy Corporate Assets

Organizations evolve through mergers, acquisitions, and rebranding. Old domains get retired, but what happens when those domains can still receive password resets or act as the login email for third-party services for the previous owner? This post reveals an overlooked vulnerability we've seen through Defend Iceland's bug bounty platform: expired corporate domains that remain deeply embedded in third-party SaaS accounts. When these domains become available for registration, attackers can inherit access to SaaS accounts that still use the retired email domain for login or recovery. We'll show you exactly how this happens and why "just let it expire" is a dangerous domain retirement strategy.
Lesa meira

XSS Beyond the Perimeter: When Internal Systems Become Attack Surfaces

Cross-site scripting (XSS) is often treated as a problem that ends at the public perimeter. In reality, customer input does not stop at the landing page. It flows into CRMs, ticketing consoles, and internal dashboards that may never have faced a penetration test. This walkthrough, based on real reports to Defend Iceland, shows how a harmless contact form can compromise the helpdesk staff who read it. To illustrate the chain end to end, we built a Netbankinn-themed lab that mirrors what we see in production environments. The public site is squeaky clean. The internal system is not,
Lesa meira

Where Unicode Collation Meets Punycode Domains: A Zero-Click Account Takeover

This post explains a subtle Unicode/Punycode pitfall that can appear in modern authentication flows. It highlights how a normalization mismatch enabled a zero‑click account takeover (ATO) scenario and how to remediate it safely. This vulnerability was reported through Defend Iceland's bug bounty platform, affecting one or more customers. The independent security research surfaced a subtle authentication quirk worth sharing with the broader community. For engineers, it's a clear lesson about the intersection of database collation and internationalized domains creating unexpected attack vectors.
Lesa meira

Hvernig villuveiðigáttir hjálpa þér að uppfylla NIS2

Ný tilskipun Evrópusambandsins um net- og upplýsingaöryggi, NIS2, er yfirvofandi og gerir auknar kröfur til mikilvægra og nauðsynlegra aðila um netöryggi, áhættustýringu og upplýsingagjöf. Fyrirtæki sem falla undir tilskipunina þurfa nú að sýna fram á aukna öryggisvitund, skilvirkari viðbragðsáætlanir og betri stjórn á veikleikum. Ein skynsamleg og hagkvæm leið til að ná þessum markmiðum er með villuveiðigáttum og stefnu um ábyrga upplýsingagjöf öryggisveikleika (e. coordinated vulnerability disclosure).
Lesa meira

404 Villa Happy Hour Fannst ekki!

Defend Iceland býður í Happy Hour með netöryggis- og varnarmála ívafi í samstarfi við miðstöð stafrænnar nýsköpunar (EDIH-IS) og Rannís. Viðburðurinn er opinn öllum sem hafa áhuga en skráning er nauðsynleg.
Lesa meira
Tilkynna veikleika

Þessi vefsíða notar vefkökur (e. cookies) til að bæta upplifun notenda af síðunni.