Året började med en internationellt uppmärksammad attack mot en oljetank, tätt följt av hackergruppen Lapsus$s angrepp mot Samsung – då en hel del konfidentiella data stals. Även i Sverige drabbades en rad myndigheter och organisationer av cyberattacker. Ett exempel är de omfattande angreppen som slog ut flera a-kassor i slutet av året.
Vilka är då angriparna bakom attackerna – och vad är deras mål?
Om man bortser från hacktivister, som i regel följer andra mönster, så kan man lite förenklat dela upp de cyberkriminella i två kategorier:
1. Oberoende grupper, eller enskilda aktörer, som genomför attackerna för att tjäna pengar
2. Aktörer som subventioneras av stater
De två grupperna har helt olika typer av måltavlor. De som arbetar för pengar vill ofta slå till snabbt och tjäna så mycket på angreppen som möjligt, medan statligt stödda grupper kan vänta i åratal på att utnyttja en svaghet för att till exempel skada en fiendes system eller genomföra spionage.
Vilka är hackarnas måltavlor – och hur väljer de ut sina offer?
De icke-statliga hackarna väljer i regel offer som ger så mycket pengar som möjligt för minsta möjliga ansträngning. Ju lättare det är för dem att penetrera ett företags system, ju mer värdefulla data som finns i systemet – och desto större skada hackaren kan lyckas åsamka offret – desto större är risken att de försöker göra det.
Statliga hackare väljer i stället ut sina offer efter noggranna överläggningar tillsammans med sina uppdragsgivare. De är främst ute efter känslig information såsom statshemligheter eller information rörande kritisk infrastruktur. När det kommer till förra årets Hafnium-angrepp mot Microsoft Exchange så talar angriparnas tålamod klart för att det är statliga hackare som ligger bakom den. De väntade nämligen länge och tålmodigt i offrens system innan de slog till på allvar – och riktade främst sina attacker mot forskningsanläggningar, universitet, säkerhetsföretag, samt mot politiska organisationer.
Hur går hackarna till väga?
Även i detta fall skiljer sig angreppssätten ofta åt mellan privata och statligt drivna hackare.
De privata cyberkriminella försöker ofta att sprida ut sina attacker så brett det går, för att sedan koncentrera sig på de offer som först har fallit i deras nät. De använder därför ofta ganska billiga attack-tekniker som är lätta att skala upp, såsom mass-mailutskick med skadlig kod i bilagan, eller skadliga länkar i mejlet. När ett offer väl klickar på den farliga bilagan eller länken laddas snabbt upp mängder av skadlig kod in i offrets IT-infrastruktur. Efter att ha skannat offrets infrastruktur brukar angriparen sedan låsa ned viktiga funktioner, och sedan begära en lösensumma för att låsa upp dessa för offret igen.
Hackaren kan sedan ta gott om tid på sig att metodiskt leta sig igenom offrets filer för att hitta värdefull data – och först när angriparen märker att man blivit avslöjad sätter den igång en fullskalig attack för att åsamka offret maximal skada på kortast möjliga tid.
För utbredda användarrättigheter utgör en onödig risk
Ett av de vanligaste misstagen företags IT-avdelningar gör är att vara för slappa när det kommer till att begränsa medarbetarnas åtkomst till företagets filer. Många anställda som rör sig upp inom företagshierarkin samlar på sig mängder av känsliga data från de olika avdelningar de varit verksamma inom. När en sådan person blir drabbad av en attack kan den innebära en guldgruva för en angripare.
På grund av detta bör alla företag se över sina rutiner och inte vara rädda för att vara stränga ned och begränsa tillgången till data för sina anställda. Slarvar man med detta kan det stå hela organisationen mycket dyrt vid en cyber-attack.
Hur skyddar man sig då bäst?
Det är betydligt svårare att skydda sig mot de statligt stödda angriparna, om dessa har bestämt sig för att lyckas. Även dessa börjar dock oftast sina attacker med enkla angrepp mot de vanligast förekommande sårbarheterna, innan de väljer att använda det tyngre artilleriet mot vissa av sina offer.
För att öka dina chanser att klara dig, bör du därför alltid se till att följa denna lista när du säkrar företagets nätverk:
- Uppdatera regelbundet alla enheter som är uppkopplade mot företagsnätverket
- Genomför identifiering och översyn av alla uppkopplade enheter i realtid
- Ge medarbetare (och alla andra som har tillgång till nätverket) regelbunden utbildning i cybersäkerhet
- Se kontinuerligt över vilka interna och externa aktörer som har tillträde till företagets IT-infrastruktur
- Vidta tillgängliga tekniska åtgärder (såsom MFA) för att säkra alla digitala identiteter
- Se regelbundet över vilka som har åtkomst till nätverket
- Säkerställ att ett bra IT-team finns på plats, eller via en partner, som har resurserna som behövs för att genomföra ett bra regelbundet arbete
Vill man skydda sig mot cyberkriminalitet kommer man långt med följande fyra ord; översyn, kontroll, uppdateringar och uppmärksamhet. Genom att bygga ett skydd med dessa cybersäkerhetens grundläggande byggstenar, kommer man med största sannolikhet att kunna hålla borta såväl privata som statligt stödda angripare från nätverket.
Här kan du läsa mer om Taniums cybersäkerhetslösningar som skyddar mot såväl oberoende cyberkriminella som mot statligt stödda cyberattacker.
