Året går mot sitt slut och med cybersäkerhetsögon har det varit ett utmanande år. Vi har som leverantör sett en ökad aktivitet när det gäller attackförsök mot våra kunder och detta ligger givetvis i linje med den ökade aktivitet som globalt sett sker och som förmodligen också kommer fortsätta.
Rysslands krig mot Ukraina driver på de tre vanligaste antagonistiska hotaktörstyperna: organiserad brottslighet, statsaktörer samt hacktivister. Inte alltför sällan går dessa hand i hand och påverkar i allra högsta grad varandra. I början av året såg vi flertalet så kallade överbelastningsattacker mot svenska myndigheter och organisationer i syfte att skrämma och destabilisera den svenska NATO-ansökningsprocessen men vi har också generellt sett en ökning av utpressningsattacker. Orange Cyberdefence konstaterar i sin senaste rapport ”Security Navigator 2024”, att just utpressningsattacker under 2023 ökat med 46% globalt, till den högsta nivån någonsin.
Alla är måltavlor
Vår reflektion är att även om antalet sofistikerade och planerade attacker ökar så finns det fortfarande ett stort mått opportunism hos de cyberkriminella. Man slänger på ett bete på metspöt och drar upp det som nappar, ibland är det en mört och ibland en lax. Det handlar om att bland annat utföra stora mängder phishing-attacker i syfte att komma åt exempelvis inloggningsuppgifter eller system, eller att hotaktörerna ”scannar” tjänster eller system som är synliga mot internet för att hitta öppna luckor eller sårbarheter att nyttja. Alla organisationer är måltavlor i detta läge!
Om du är intresserad av att veta mer om hur hotaktörerna arbetar och råkar ha 34 minuter och 39 sekunder över under julhelgen, så rekommenderar vi starkt denna video från Nationellt Cybersäkerhetscenter där Fredrik Börjesson från den Militära underrättelse- och säkerhetstjänsten (MUST) berättar om Cyber Kill Chain, hotaktörernas tillvägagångssätt från rekognosering till genomfört angrepp: Från kartläggning till angrepp
Läskigt, läskigare, läskigast
Vi har själva sett fall hos företag där hotaktörer agerar ganska snabbt och slarvigt efter man har skapat fotfäste i en IT-miljö – det är läskigt.
Vi har sett fall där man under några dagar skapar sig en bild över miljön, möjligheterna och åstadkommer viss datastöld innan man slår till och vi har sett fall där hotaktörerna varit inne i miljön under en längre tidsperiod innan man attackerar – det är läskigare.
Ju längre tid en hotaktör befinner sig i en IT-miljö, desto större är givetvis sannolikheten att man lyckas elevera sina behörigheter, komma åt fler användarkonton och ta sig in i flera system innan man slår till. Det finns ofta en korrelation mellan sofistikering i tillvägagångssätt och verktyg kontra den tid man kan lägga på att kartlägga miljön.
Ett av de läskigare fallen vi läst om på sista tiden är det om kärnbränsleanläggningen Sellafield i England, världens största lagringsplats för plutonium. Där hittade man redan 2015 så kallad ”sleeper malware”, det vill säga skadlig kod som ännu inte ”exekverats”. Det läskigaste är väl att man fortfarande inte verkar vara säkra på att man inte är hackade. Denna typ av attack som ofta syftar till att kunna ”slå till” mot kritisk infrastruktur utan att man tidigare upptäckts är givetvis en del av möjligheten att kunna bedriva hybridkrig. Läs gärna mer om just detta fall här: Sellafield nuclear site hacked by groups linked to Russia and China
AI och cyberhot
Svenska RISE har släppt en rapport vid namn AI och cybersäkerhet – Sammanfattning till ledare och beslutsfattare. Några korta men viktiga slutsatser är:
Hotaktörer kommer använda AI i större utsträckning
Vi som organisationer kan använda AI både för att skydda oss och för att exempelvis identifiera informationstillgångar
Det är viktigt för Sverige som land att delta i utvecklingen så man inte blir beroende av andra länders kompetens och teknik
Vi kommer behöva anpassa utvecklingen av AI till kommande lagstiftning som syftar till att reglera användningen av AI genom olika former av riskanalyser och klassificering
Rapporten finns i sin helhet här: AI och cybersäkerhet
Säkerhetsföretaget ProofPoint har spårat den ryska hotaktören TA422/Fancy Bear och deras försök att komma åt information genom en sårbarhet i Microsoft Outlook. Just denna attack verkar rikta sig mot organisationer som inte gjort flytten till molnet, specifikt militär, myndigheter och utbildningsinstitut.
På Aktuell Säkerhet skriver man; ”Sett till dess enorma omfattning sticker kampanjen ut jämfört med vad andra typer av nationalstatliga spionageattacker. Bland annat observerade man över 10 000 upprepade försök att utnyttja Microsoft Outlook-sårbarheten, riktade mot samma konton dagligen”.
Svenska Kyrkan kämpar fortfarande med att återskapa tillgänglighet i sina IT-system och även om detta rent formellt går under typen utpressningsattack finns det de som tror att syftet kan vara något helt annat – även här pratas det om destabilisering av samhället. Säkerhetsexperten Mikael Langström intervjuades på P4 om både attacken mot Svenska kyrkan och Räddningstjänsten i Blekinge. Han slår fast att främmande makt ligger bakom och att syftet helt enkelt primärt är att skapa oro.
Denna blogg bygger på JSC:s nyhetsmail för informationssäkerhet. Vill du få månatliga uppdateringar med omvärldsbevakning i ämnet? Prenumerera på JSC Cure Nyhetsbrev.
Och läs mer om vårt arbete med IT-säkerhet för företag.