Motiven till utpressningsangrepp är ofta finansiellt motiverade men andra drivkrafter förekommer. För att kunna identifiera och tillskriva en aktör bakom ett utpressningsangrepp krävs resurser och tålamod. Det finns flera olika typer av hotaktörer som ägnar sig åt utpressning.
Utpressningsangrepp kan vara en finansiellt lönsam modell för att med låg, eller ingen, risk angripa och pressa organisationer på pengar. I takt med den ökande digitaliseringen av it-miljöer blir tillgången till system och information omöjlig att klara sig utan.
Bortfall av dessa innebär stora förluster och ibland fara för liv och hälsa. Det ökar pressen på drabbade verksamheter att överväga att betala hotaktören. Motiven till utpressningsangrepp är ofta finansiellt motiverade men andra drivkrafter förekommer.
För att kunna identifiera och tillskriva en aktör bakom ett utpressningsangrepp krävs resurser och tålamod. I vissa fall lämnar hotaktören tydliga spår i form av ett utpressningsmeddelande eller andra kännetecken för att markera att just den grupperingen genomfört ett angrepp, samt för att genomföra eventuella betalningar. I andra fall tar hotaktörer på sig olika angrepp för att skapa uppmärksamhet kring angreppet i sig, eller grupperingen. Dessa uttalanden sker regelbundet och tillförlitligheten i uttalandena är generellt låg.
Grunderna för att kunna identifiera en specifik grupp kallas attribuering och kännetecknas av målval, tillvägagångssätt, tidsperspektiv eller tekniska indikatorer. Detta leder sammantaget till en bedömning av vilken individ, grupp eller organisation som står bakom ett angrepp. Att attribuera till en statlig aktör är svårt och kräver att kopplingen är så pass tydlig att det är meningsfullt att uttala sig om huruvida en statsaktör ligger bakom den kriminella grupperingens handlingar. Ibland krävs omfattande samarbete mellan myndigheter och ibland även stater för att på ett relevant sätt attribuera angreppet.
Dessa utredningar är komplexa och tar mycket tid i anspråk. Vid ett angrepp med utpressningsvirus är det ofta ointressant för den drabbade verksamheten om angreppet orkestrerats av en statlig hotaktör. I de flesta fall går det inte att identifiera en tydlig koppling mellan en kriminell gruppering och en statsaktör. Detta är viktigt att beakta då olika statsaktörer pekas ut i media i samband med uppmärksammade incidenter, ofta på bristfälliga grunder.
Vid attribuering av cyberangrepp är det viktigt att klargöra vilket syfte en eventuell attribuering ska fylla. I brottsutredande syfte kan det vara viktigt att identifiera en gruppering för att kunna lagföra brottet, även om chanserna att väcka åtal och uppnå fällande domar är små. I andra fall kan det vara direkt kontraproduktivt att namnge vissa aktörer och deras eventuella kopplingar, särskilt då de kan vara del av ett större sammanhang där det finns ett intresse av att ostört kunna observera och utreda gruppen eller grupperna.
Det är viktigt att poängtera att det är flera olika hotaktörer som ägnar sig åt utpressning och beroende på vem det är som står bakom ett angrepp, ser hotet olika ut. I vissa fall är det en hotaktör som utför angreppet, men där en eller flera andra verkar i bakgrunden för att ta del av exfiltrerad data eller annan underrättelse.
Kriminella grupperingar genomför cyberangrepp som är finansiellt motiverade. Generellt är tillvägagångssätten mindre komplexa och behovet av anonymisering är mindre. Dessa aktörer finns ofta i länder som gör lite eller inget alls för att förhindra cyberkriminalitet. För att bedöma om grupperingarna bara tolereras eller till och med sanktioneras av statliga entiteter krävs mer information än den som kan inhämtas vid utredning av enskilda incidenter. Det man kan göra är att uppskatta sannolikheten.
Statliga aktörer agerar i regel i det dolda, genom förnekbara tillvägagångssätt och genom att dölja sina spår efter ett genomfört angrepp. Syftet med angreppen är inhämtning av begärlig information eller positionering för att kunna kontrollera målets it-system. Statliga cyberaktörer styrs oftast av underrättelse- och säkerhetstjänster och tredjeparter som fungerar som täckmantel.