Ett stort antal cyberattacker och dataintrång har präglat nyhetsflödet under 2024 – både i Sverige och globalt. Ett av de största angreppen upptäcktes i början av juni då det amerikanska molntjänstbolaget Snowflake utsattes för ett intrång där över 160 av bolagets kunder – däribland storbanken Santander och Ticketmaster, som säljer biljetter till stora evenemang i bland annat Sverige.
Hackarna kom bland annat över inloggningsuppgifter som utnyttjats för att få tillgång till bolagens system, och utpressa dem med ransomware samt stjäla information.
I en ny rapport går Cisco Talos, Ciscos organisation för cyberhotsforskning och analys, igenom attacken mot Snowflake och vilka slutsatser man kan dra kring behovet av starkare dataskydd.
– Under de senaste årtiondena har vi sett det kriminella cyberhotet koncentreras kring ransomware och datautpressning, något som genererar så mycket intäkter att alla vill ha en bit av kakan. Utvecklingen har varit uppseendeväckande, från löst sammansatta kriminella grupper till stora brottssyndikat som enligt FBI drar in mer än en miljard dollar om året, skriver rapportförfattaren Nick Biasini.
Cisco Talos bild är att angrepp mot Snowflake är ett typiskt exempel på hur dagens hotaktörer opererar – allt handlar idag om identitet. En tydlig tendens i den senaste tidens cyberattacker är att angriparna i allt större utsträckning använder sig av stulna inloggningsuppgifter, snarare än att exploatera kända sårbarheter eller felaktigt konfigurerade säkerhetslösningar.
Under första kvartalet 2024 visar Cisco Talos data att inloggningar från aktiva konton, med hjälp av stulna uppgifter, var det vanligaste angreppsmetoden vid intrång.
Den typ av skadlig programvara hackarna använde mot Snowflake kallas infostealers – programvara som är specialiserad på att söka upp information och ladda ner den. Utvecklingen av infostealer-program har varit snabb och det har konstaterat att de ledande grupperna samarbetat om utvecklingen och skapat gemensamma marknader för stulna inloggningsuppgifter på sociala plattformar som Telegram.
Utvecklingen sätter fingret på behovet av flerfaktorsautentisering (MFA), där tillgång till känsliga system innebär inloggning i flera steg, exempelvis genom en PIN-kod eller en pushnotis till telefonen. Även om hackare arbetar målmedvetet med att försöka kringgå MFA, exempelvis genom att lura användare att acceptera falska pushnotiser, stoppas många attacker på det sättet.
När allt mer kritisk data flyttar ut i molnet, och därmed bortom den egna säkerhetsinfrastrukturen, blir det viktigt att tillämpa MFA även på de externa platser där data lagras. Verksamheter borde granska alla sina tjänsteleverantörer för att säkerställa att de stöder MFA och att lösningarna är korrekt konfigurerade, menar Nick Biasini, och fortsätter:
– I en perfekt värld skulle vi förvänta oss att MFA var i drift överallt, men det är inte realistiskt. I de sammanhang där MFA inte kan användas finns det ändå ett par metoder för att öka säkerhetsnivån och förbättra skyddet. Om det är möjligt, begränsa tillgången för dessa konton till lägsta möjliga nivå. Om interna tillgångar behöver nås, överväg att använda ’jump boxes’. Det skapar en enhetlig uppkopplingspunkt som man kan övervaka extra noga. Alla konton som inte är MFA-skyddade ska också vara extra synliga och om säkerhetssystemet slår larm på grund av ett sådant konto ska det prioriteras i undersökningar och undersökas snabbt och effektivt.