Att genomföra utpressningsattacker kan vara mycket lönsamt, och det finns ingen brist på ligor som skapat omfattande affärsverksamheter kring fenomenet, inte minst gentemot svenska verksamheter. Genom att ta sig in i offrets system och låsa tillgången till data via kryptering kan angripare lamslå företag och organisationer. Först när den angripne betalar dekrypterar angriparen data så att verksamheten kan fortgå. Den här typen av attacker sker till stor del via automatiska funktioner utan någon större manuell handpåläggning. Det innebär att angripare kan driftsätta attacker i stor skala till ett billigt pris. Väl inne i systemet kan angripare sen kryptera data ganska urskillningslöst. Samtidigt är dessa attacker mer högljudda än manuella attacker och det finns därmed vissa möjligheter för säkerhetsteam att upptäcka attackerna utifrån de trafikavvikelser som uppstår. Via smarta lösningar för säkerhetskopiering och återställning av data kan också en stor del av den skada som denna typ av attacker ställer till med hanteras proaktivt.
Under oktober, vilket ironiskt nog är den europeiska cybersäkerhetsmånaden 2020, drabbades plötsligt flera företag av en annan typ av utpressningsattacker. Det handlar om attacker där angriparen läcker, eller hotar med att läcka, data till obehöriga – exempelvis via Darknet. Dessa attacker är mer fokuserade och innebär inte att något krypteras. De blir därmed mindre högljudda och svårare att upptäcka än automatiska attacker. Det innebär också att säkerhetskopiering och återställning av data inte löser problemet.
Vid denna typ av attacker kontaktar angriparen verksamheten, och i vissa fall dess kunder, efter ett lyckat intrång och talar om att de har stulit data och att den drabbade behöver betala för att man inte ska läcka den. För att lyckas stjäla data som är så känslig att företag och privatpersoner är beredda att betala mycket pengar för att undvika att den exponeras krävs fokus och manuellt arbete. Det medför att denna attacktyp är betydligt dyrare att genomföra. Kostnaden har hittills varit den största orsaken till varför angripare som är ute efter pengar valt den automatiska och mindre resurskrävande intrångsmetoden. Men i oktober har det alltså visat sig att detta håller på att förändras.
Ifall offren väljer att inte betala börjar angriparen läcka data och man ser dessutom gärna att media skriver om attackerna för att därigenom bli ett fruktat och föraktat namn. Därmed har man, även vid uteblivna intäkter, i alla fall vunnit en typ av respekt som kommer angriparna tillgodo vid framtida utpressningar. Denna typ av attacker är inte nya i sig. Det första exemplet sträcker sig bakåt till 2014 när Sony drabbades av en läckningsattack som misstänks komma från Nordkorea. Det som är nytt är att allt pekar på att angripare numera tycks genomföra dem för att tjäna pengar snarare än, som tidigare, för att främja ett politiskt syfte.
Läckningsattackerna i oktober pekar dock på att intäkterna nu blivit så pass stora att de motiverar de dyrare intrångsmetoderna. Hur stora vet vi inte eftersom lyckade attacker inte kommer till allmän kännedom. Det vi med säkerhet vet är att åtminstone tre företag, och dess kunder, inte betalat. Tillvägagångssätten i dessa fall understryker att angripare lägger stora resurser på sina attacker. Exempelvis har angripare lyckats komma åt data efter att ha nästlat sig in i mailkonversationer som om man vore en legitim medarbetare. De drabbade luras att klicka på länkar och att öppna filer och såväl språkbruk, sammanhang och e-postadress har inte gett drabbade anledning att misstänka något.
Utvecklingen är skrämmande och frågan är nu inte om det kommer mer utan vem som står näst på tur att drabbas. Troligtvis kommer det att vara verksamheter som hanterar särskilt känsliga data inom branscher som sjukvård, finans och leverantörer till offentlig sektor.
Vad göra?
För att klara den uppkomna situationen krävs krafttag. Som vanligt finns inget recept som löser alla problem, men en sak som alla kan göra direkt är att sluta att peka finger och att istället inse att det krävs gemensamma insatser. Tillsammans kan företag, även konkurrenter, och institutioner hjälpa varandra att både vässa befintliga lösningar och tänka nytt genom att:
- Kombinera verksamhetskompetens och teknikkompetens för att skapa flera lager av säkerhet
- Vässa förmågan att övervaka och logga händelser
- Agera på hur jobb hemifrån och användning av privata mobiler och laptops i jobbet påverkar säkerheten. Pandemin har medfört stora förändringar här och angripare är pigga på att kapitalisera på detta
- Glöm inte bort backup och återställning av data – allt tyder på att låsnings-attacker kommer att leva vidare parallellt med läcknings-attacker
- Kräv att partners tar säkerheten på allvar och att de visar hur. Goda personliga relationer räcker inte längre för att kvalificera en partner
- Inför ett nytänk kring inköpsprocesser där vikten av pris och kvalitet av säkerhetsprocesser och lösningar omvärderas utifrån hur verkligheten ser ut
- Stresstesta och säkerhetstesta processer och system
Detta är några aktiviteter som är avgörande för företag och individer framöver. Med en gemensam approach kring dessa punkter kan vi se till att svenska bolag och institutioner inte tvingas stanna upp sina digitaliseringsresor på grund av den tystare typen av utpressningsattacker som uppmärksammats under de senaste veckorna. Det är avgörande för såväl individer som för hur Sverige som land utvecklas.
Av Christoffer Jerkeby, F-Secure
