I årets rapport framkommer det att cyberkriminella med ekonomiska motiv ligger bakom en majoritet av alla incidenter (73,9 procent). Bland dessa använde sig 82 procent av ransomware eller liknande typer av skadlig kod i sina försök – något som med tydlighet visar att ransomware-hotet inte är på väg att sakta ned. En del i det kan tillskrivas att ransomware som tjänst (RaaS, engelska för Ransomare-as-a-service) är alltmer lättillgängligt att köpa via ljusskygga marknadsplatser på exempelvis darkweb.
Faktum är att volymen ransomware ökade med 16 procent jämfört med första halvåret 2022. Av totalt 99 observerade ransomware-familjer stod de fem största för ungefär 37 procent av all ransomware-aktivitet under den andra halvan av 2022.
GandCrab, en variant av RaaS som dök upp 2018, toppar listan av vanligast förekommande ransomware. Brottslingarna bakom GandCrab har visserligen meddelat att de drar sig tillbaka (efter att ha dragit in över 2 miljarder dollar, i ren vinst) men redan när de var aktiva fanns det flera olika varianter av GandCrab och nya iterationer fortsätter att dyka upp.
– Ransomware fortsätter att vara det enskilda hot som gäckar flest företag och organisationer, och vi ser tydligt hur hotaktörer blir mer sofistikerade och smartare i hur de arbetar. Det ställer stora krav på företag och organisationer som vill skydda sig, säger Andreas Gotthardsson, director systems engineering på Fortinet i Sverige.
Att gammal kod på detta sätt får nytt liv är något som märks på fler områden än ransomware. Exempelvis konstaterar FortiGuard Labs att majoriteten av de vanligaste förekommande varianterna av skadlig programvara är mer än ett år gammal. Ett exempel är Lazarus, som fortfarande ligger med i toppen – trots att det gått mer än ett decennium sedan den först upptäcktes. Rapportförfattarna har också tittat närmare på olika varianter av Emotet och konstaterar att det finns flera olika specialiserade varianter – som alla bygger på samma kodbas och delar många beståndsdelar.
Rapporten visar också att loggningsverktyget Log4j fortsatt gäckar organisationer. Under andra halvan av 2022 var Log4j fortfarande mycket aktiv i alla regioner och var näst efter MS.Windows.CVE-2020-1381.Privilege.Elevation, den sårbarhet för privilegieeskalering i W32K, när det gäller IPS-aktivitet som upptäckts oftast av FortiGuard Labs.
Rapporten visar också att hotaktörer inte drar sig för att väcka existerande infrastruktur till liv – på samma sätt som topplistan för skadlig kod domineras av etablerade varianter är det välkända namn som Mirai och Gh0st.Rat som samsas med Morto, som först dök upp redan år 2011 och hade ett rejält uppsving under slutet av 2022. Bland de fem största botnäten är det bara RotaJakiro som etablerades under 2020-talet.
– Att hotaktörer återanvänder såväl kod som infrastruktur är ett bra exempel på hur de också jobbar smart med sina resurser. Varför återuppfinna hjulet, när det finns fungerande kod och infrastruktur som det räcker att anpassa lite, säger Andreas Gotthardsson.
– Det finns faktiskt en hel del som företag och organisationer kan lära av deras förhållningssätt. På säkerhetssidan finns också mycket beprövade lösningar och smarta lösningar paketerade som as-a-Service. Att jobba smart med begränsade resurser är särskilt viktigt med tanke på den utbredda bristen av cybersäkerhetskompetens.
