I detta inlägg kommer vi dyka ner i Microsofts årliga säkerhetsrapport ”Digital Defense Report” för att inom kort återkomma med ett mer traditionellt nyhetsbrev med olika spaningar och fakta ur vår omvärldsbevakning.
I Microsofts Digital Defense Report finns de insikter som Microsoft samlar in under året och underlaget är inget man ska förringa. Över 300 hotaktörer följs och analyseras, detta inkluderar statsaktörer samt 50 Ransomware-grupper. Även insikter från över 135 miljoner enheter (datorer, telefoner etc.) samt 65 biljoner (ja, du läste rätt) dagliga hotsignaler ligger till grund för rapporten. Med andra ord är detta en intressant rapport. Rapporten i sin helhet går att hitta här.
Vi väljer att sammanfatta och analysera några viktiga punkter nedan:
Adversary in the middle
Vi på JSC har länge tjatat om Multifaktorautentisering (MFA) och den rekommendationen står med all styrka fast. Däremot identifieras en ökning av så kallad ”Adversary in the middle”-attacker (något som kan likställas med ”man in the middle”-attacker). När det gäller MFA så kan det handla om att användare får ett phishing-mail där man ombeds logga in på en IT-tjänst för att byta lösenord eller åtgärda något annat ”fel”. Lösenords-återställningslänken leder en hemsida där hotaktören genom sofistikerad mjukvara kommer åt uppgifter som behövs för att stjäla användaruppgifterna och logga in på webtjänsten. Man ska alltså fortsättningsvis vara väldigt uppmärksam på vilka länkar man klickar på och om uppgiften man ombeds göra känns relevant.
I takt med att vi blir bättre på att skydda våra digitala tillgångar så flyttar hotaktörerna fram sina positioner och Microsoft ser en 200-procentig uppgång i så kallat ”Human operated Ransomware”, vilket innebär att hackers aktivt lägger ner arbete för att bryta sin in i IT-miljön och sedan arbeta vidare med att identifiera viktig information samt att säkerställa åtkomst till så stora delar av IT-miljön som möjligt. Några intressanta fakta som kan vara bra att ha med sig är:
- Det har under 2023 skett en 200%-procentig ökning i så kallade ”Human operated” Ransomware attacker. Detta innebär alltså en större nivå av sofistikation i attackerna och att de ofta är svårare både att upptäcka och åtgärda.
- 70% av alla organisationer som drabbas av denna typ av Ransomware-attack är under 500 anställda. Detta bör slå hål på en väldigt vanlig myt, det vill säga ”vi är inte så stora, varför skulle någon vilka hacka oss”. Tro oss är vi säger att alla bolag är av intresse för bovarna och man behöver inte vara måltavlan för att vara offret.
- 80-90% av alla lyckade attacker har sin början på en ”ohanterad enhet”. En ohanterad enhet kan vara en dator, en skrivare, eller någon annan form av uppkopplad enhet. Att den inte är hanterad innebär att den inte omfattas av ett (eller flera) centrala system för att styra exempelvis säkerhetspolicys, uppdateringar, backup, sårbarhetsscanning.
Ovanstående anser vi vara mycket viktig input i säkerhetsarbetet.
Attacker mot våra identiteter
Så kallade ”Brute force-” och ”Password spray”-attacker har en sak gemensam, dom riktar sig mot användares identiteter, ofta bestående av användarnamn och lösenord. I takt med att MFA blivit vanligare att nyttja så har utbildningssektorn blivit en måltavla för hotaktörer. Man söker sig helt enkelt till sektorer som har en låg cybersäkerhetsmognad. Det är dock verkligen inte bara lärosäten som är utsatta, sug på följande uppgifter från rapporten:
”Enligt uppgifter från Microsoft Entra ökade antalet försök till attacker mer än tiofaldigt jämfört med samma period 2022, från cirka 3 miljarder per månad till över 30 miljarder. Detta innebär i genomsnitt 4000 lösenordsattacker per sekund som riktar sig mot Microsofts molnidentiteter i år.”
Överbelastningsattacker
Så kallade DDoS-attacker (Överbelastningsattacker) fortsätter öka och Microsoft identifierar idag cirka 1 700 DDoS attacker per dag, kurvan pekar dessutom uppåt. En trend som sedan tidigare funnits kopplat till Ransomware, så kallat Ransomware as a Service (Ransomware som tjänst) börjar nu också sprida sig till DDoS-domänen. Cirka 20% av alla DDoS attacker är så kallade DDoS-som-tjänst attacker, innebärande att de personer som köper attacken inte är de som står bakom tekniken eller själva utförandet. Denna typ av attack blir i många inte mer än ett irritationsmoment men i takt med att webtjänster blir fler och mer kritiska så blir givetvis påverkan också större. Här i Sverige har vi senaste året sett flera myndigheter drabbade, men även viktiga webtjänster som 1177 samt Kivra har varit utsatta.
Statsaktörer eller statsfinansierade hackergrupper
När det gäller statsaktörer eller statssponsrade aktörer, så fortsätter destruktiva attacker såsom Ransomware-attacker att öka, men man ser också ett skifte mot mer spionage. De länder som ligger bakom merparten av de statsfinansierade attackerna är Ryssland, Iran, Kina och Nordkorea.
Bland annat har cyberattackerna från Ryssland mot Ukraina minskat med 50% jämfört med den frekvens som man såg under krigets första 6 månader, men ett skifte har alltså skett mot digital underrättelseverksamheten och spionage. Ett annat trendbrott som rapporterats är att Iran breddat målgruppen för sina attacker att omfatta fler länder än USA och Israel som nästan uteslutande varit måltavlor under tidigare år.
OT och IoT
Det finns givetvis många utmaningar när det gäller cybersäkerhet för framtiden, en av de större är IoT (Internet of Things) och OT (Operational Technology). Grovt förenklat kan man säga att det är enheter som behöver nätverksåtkomst men som inte är ”traditionella enheter” som mobiltelefoner och datorer. Det kan röra sig om maskiner i en produktionslinje eller uppkopplade enheter som sensorer, kameror eller när det gäller IoT allt ifrån bilar till diskmaskiner. Vid en diskussion med en av våra säkerhets-samarbetspartners på JSC fick vi höra om cyberattacken som möjliggjordes genom åtkomst till en lampa, eller så kan man alltid återuppliva minnet av casinot i Las Vegas där bovarna tog sig in genom ett uppkopplat akvarium.
Allt som är uppkopplat är en attackyta och allt som är en attackyta måste skyddas!
Denna blogg bygger på JSC:s nyhetsmail för informationssäkerhet. Vill du få månatliga uppdateringar med omvärldsbevakning i ämnet? Prenumerera på JSC Cure Nyhetsbrev.
Och läs mer om vårt arbete med IT-säkerhet för företag.