Cyberattacker

Sedan vi digitaliserade våra företag, verksamheter, liv och själva samhället, så har brottsligheten sökt att digitalisera sig. Det finns många anledningar till detta bl.a. den minskade risken för lagföring, då brottslingen kan sitta på andra sidan jordklotet och vara svår att spåra och lagföra. Det finns även en styrka i att kunna automatisera brottsligheten för att på så sätt effektivisera verksamheten.

I grund och botten kommer de flesta cyberattacker primärt att handla om stöld, bedrägeri eller utpressning. Idag manifesterar detta sig primärt genom Ransomware, DDOS-attacker och Business Email Compromise. Hur det ser ut imorgon vet vi inte. Dock kan vi vara ganska säkra på att det kommer fortsätta handla om dessa primära syften, även om tekniken och tillvägagångssättet kan skilja sig från dagens attacker. Vi ser vissa indikationer på att traditionella Ransomware-angreppen ibland inte krypterar informationen. Istället tar det en kopia på den för att sedan radera originalet. Därefter erbjuder de offret att köpa en ”backup”.

Cyberattacker i IT-miljön

Nästan alla dessa cyberattacker slutar med ett intrång i IT-miljön. Det vill säga att innan hotaktörerna kan utföra sin attack måste de först bryta sig in i IT-miljön. Vissa av dessa hotaktörer har gjort intrång i IT-miljön till en business. De bryter sig in och säkerställer åtkomst till IT-miljön via bakdörrar och andra tekniker. När detta är utfört säljer de sedan åtkomsten vidare, ofta på auktion, till andra hotaktörer som sedan utnyttjar den för att utföra andra brottsliga handlingar.

Vi kan idag bara spekulera kring vilka metoder dessa hotaktörer kommer att använda i framtiden. Dock kan vi med säkerhets säga att det kommer att handla om stöd av detta, bedrägeri och utpressning.

Vilka är då de typiska metoderna som används vid cyberattacker idag?

Utpressning

Ransomware

Ransomware är utan tvekan den mest omtalade formen av cyberattack idag. Cyberattacken gör att en verksamhets information blir otillgänglig genom att kryptera den. Därefter erbjuds offret att köpa dekrypteringsnyckeln som behövs för att göra informationen tillgänglig igen för verksamheten.

Hotaktören säkerställer oftast att all information nås av angreppet genom att få ut högsta möjliga behörighet i IT-miljön. Därefter förstörs eller raderas (eller krypteras) säkerhetskopiorna av IT-miljön. När hotaktören känner är säker på att offret inte kommer kunna återställa informationen utan att köpa dekrypteringsnyckeln, så utförs själva krypteringen av IT-miljön och all dess information.

Sedan pandemiåren har det blivit vanligt för hotaktörer att stjäla information från verksamheten innan själva krypteringen utförs. Detta för att kunna sätta ytterligare press på verksamheten med hot om att offentliggöra all den information som stulits. Vanligt är att man hänvisar till dataskyddslagen (också känd som GDPR) och dess höga sanktionsavgifter vid t.ex. vårdslöshet av verksamheten kring dataskyddet. Istället för att betala 3-4% av den globala omsättningen i sanktionsavgift så kan offret betala hotaktören en betydligt lägre summa.

Ransomware har idag utvecklats till den grad att många grupperingar av cyberbrottslingar idag erbjuder detta som en tjänst (Ransomware as a service). Detta kan sedan nyttjas som vilken molntjänst som helst, dock med ett väldigt olagligt, omoraliskt och oetiskt syfte.

DDOS

Överbelastningsattacker (DDOS, Distributed Denial of Service) används för att otillgängliggöra internetbaserade system, så som webbsidor, e-handelsplatser, integrationsplattformar, mobilappar och dylikt. Det handlar det om att på olika sätt överbelasta systemen med ofantliga mängder trafik eller felaktiga anrop. Denna typ av angrepp, precis som Ransomware, är idag en väl utvecklad tjänst.

Bedrägeri

Business Email Compromise

Business Email Compromise (BEC) är ett angrepp när brottslingen tar kontroll över ett e-postkonto i en organisation. Denna typ av angrepp är till volym sett den vanligaste formen av cyberattacker idag. Vad som sedan utgör målet i angreppet kan skilja sig åt, men oftast handlar det om att stjäla information från verksamheten eller styra om finansiella transaktioner. Vid denna typ av cyberattacker är det vanligt att brottslingen inte gör något som kan upptäckas innan det är för sent. Detta leder till att ”inbrottet” kan pågå under väldigt lång tid innan något skadligt faktiskt sker.

Stöld

Bitcoin mining

Att “gräva fram” digitala valutor har länge vart en sidoverksamhet för många cyberbrottslingar. Det vill säga att de utnyttjar sitt brottsoffers IT-miljö till att utvinna digitala valutor medan de i övrigt angriper verksamheten.

Oftast drabbar detta små till medelstora verksamheter som lagt ut sin IT-drift till en IT-leverantör.

IT-leverantörens administrationskonton tas över av cyberbrottslingen som sedan nyttjar dessa för att angripa IT-leverantörens kunders IT-miljöer. I dessa startas sedan kraftfulla instanser i molntjänster för att utvinna digitala valutor. Det hela upptäcks vanligen i slutet av månaden när fakturan kommer från molnleverantören och denna är ofta på miljontals kronor.

Datastöld

Data stjäls ofta i samband med utpressningsattacker, t.ex. vid Ransomware, för att kunna användas som påtryckningsmedel mot offret. Genom denna metod är datastöld vanligt förekommande kopplat till digitala angrepp. När data endast stjäls i eget syfte, vid t.ex. företagsspionage, så upptäcks eller uppmärksammas detta sällan. Anledningen till att det sällan upptäcks är att organisationer i allmänhet saknar säkerhetskontroller för att upptäcka ren datastöld.

a image showing a network attack alert as a visual representation of a red team engagement

Andra typer av cyberattacker

Leverantörskedjeattacker

Leverantörskedjeattacker är en typ av cyberattack där angripare riktar in sig på en organisations leverantörer eller partners för att få åtkomst till deras system och data. Istället för att direkt attackera det huvudsakliga målet, utnyttjar angriparna sårbarheter hos mindre skyddade leverantörer som har tillgång till det faktiska målets IT-miljö.

Ett känt exempel på en leverantörskedjeattack är SolarWinds-attacken, där hackare utnyttjade en sårbarhet i ett nätverksövervakningsprogram för att infiltrera hundratals företag och myndigheter. Genom att kompromettera en leverantör kan angriparna sprida skadlig kod eller få obehörig åtkomst till känslig information hos flera organisationer samtidigt.

Leverantörskedjeattacker används ofta för olika typer av cyberattacker. Ett vanligt syfte är att stjäla känslig information, såsom företagshemligheter, personuppgifter eller finansiell data, som sedan kan användas för identitetsstöld eller ekonomiska bedrägerier. Angriparna kan också installera skadlig kod, som ransomware, för att låsa företagets system och kräva en lösensumma för att återställa åtkomsten. I vissa fall används dessa attacker för att sabotera verksamheten hos målföretaget, vilket kan leda till stora ekonomiska förluster och skada företagets rykte.

Phishing

Phishing, eller nätfiske som det också kallas, är en form av bedrägeri där bedragare försöker lura människor att avslöja känslig information som lösenord, kreditkortsnummer eller annan personlig data och information. Detta görs oftast genom att skicka falska meddelanden som ser ut att komma från pålitliga källor, som banker, myndigheter eller välkända företag.

Phishing-attacker kan ske på olika sätt. Ett vanligt tillvägagångssätt är att skicka ett mejl som ser ut att komma från din bank och som uppmanar dig att klicka på en länk för att uppdatera dina kontouppgifter. Länken leder ofta till en falsk webbplats som ser ut som bankens riktiga sida, men som är skapad för att stjäla din information. En annan vanlig falsk sida som länken kan leda till är en kopia av den egna organisationens hemsida eller Office 365 inloggningssida.

Phishing används för flera olika typer av brott. Ett av de vanligaste är identitetsstöld, där bedragaren använder den stulna informationen för att öppna nya konton, ta lån eller göra inköp i offrets namn. Det kan också användas för att installera skadlig kod på offrets dator, vilket kan ge bedragaren tillgång till ännu mer information eller möjlighet att fjärrstyra datorn. I vissa fall används phishing för att genomföra ekonomiska bedrägerier, där bedragaren överför pengar från offrets konto till sitt eget.

Tidigare har dessa falska meddelanden vart relativt enkla att identifiera då de oftast innehållit små fel så som felaktiga loggor, fel fonter eller udda språkbruk. Men nu med AI genererad text så har det blivit mycket svårare att särskilja dem från autentiska meddelanden. Dessutom så är det mycket enklare och effektivare för bedragaren att kartlägga sina offer genom att använda AI för att samla in information om offret och på så sätt skapa ett ännu mer riktat meddelande som känns genuint.