Skip to content Skip to footer
Søk

Loading Results

Fem cyber-trender du må se opp for

24/06/22

Beskjed fra hackere til bedriften de har hacket

Sånn ser gjerne beskjeden ut når virksomheter blir hacket. Løsepengevirus dominerer fortsatt. – Vi har registrert over 1000 datalekkasjer hittil i år, og utbetalinger på over ti millioner US Dollar. Toppen er ikke nådd ennå, sier cyber-partner i PwC, Jan Henrik Schou Straumsheim.

– Hver dag hjelper vi virksomheter som har blitt hacket. Det er alt fra tilfeldige angrep mot små bedrifter til målrettet hacking av de aller største, sier Straumsheim. 

Her er de fem trendene:

1. Digital utpressing (ransomware)

Ikke overraskende er digital utpressing (løsepengeangrep), eller ransomware som det ofte kalles på engelsk, det som i størst grad har dominert trussellandskapet. 

De kriminelle stjeler data fra virksomhetene de bryter seg inn i før de slipper ut løsepengeviruset. Hensikten med dette er å skaffe seg et ekstra forhandlingskort. Dersom virksomheten ikke ønsker å betale løsepengesummen, som i enkelte tilfeller kan være krav på flere millioner kroner, kan de true med å lekke informasjon. Per mai 2022 hadde PwC registrert 1022 ofre på ulike leaksites. Det er en økning fra samme tidspunkt i fjor, hvor det ble registrert 2435 året sett under ett (opp fra 1300 lekkasjer i 2020).

Skjermbilde fra en nettside tilhørende trusselaktøren Darkside. Den sier at nettverket har blitt lukket.

Skjermbilde fra en nettside tilhørende trusselaktøren Darkside (omtales som White Apep av PwC) som møtte en norsk virksomhet i 2021

Slik lærer du opp ansatte til å gjøre det rette, for eksempel å bruke passord som “JegHarSlittMedåHuskeVanskeligePassordSiden1903!”

– Ikke betal løsepenger! 

Det er ikke alle som ønsker å henge opp skittentøyet sitt i offentlig skue, og vi har sett eksempler på virksomheter som betaler i håp om å slippe billig unna. – Dessverre ser vi at enkelte andre i sikkerhetsbransjen bistår ofre med å fasilitere utbetalinger, f.eks ved å kjøpe kryptovalutaen kjeltringene tar seg betalt i. I enkelte tilfeller ser vi at også forsikringsselskaper tilbyr bistand fra underleverandører som tar dialogen med hackerne. For å forhandle på pris. Vi mener denne praksisen undergraver arbeidet politiet og andre private sikkerhetsaktører gjør. Vår anbefaling er at løsepenger ikke skal betales med mindre det er risiko for liv og helse, sier cyber-partneren som leder den tekniske cyber-avdelingen.

Jan Henrik Schou Straumsheim.

Hacker-for-hire-selskaper har i oppgave å gjøre selve hackingen på vegne av en kunde, mens kommersielle kvartermestere bare tilbyr verktøy, som deretter benyttes av kundene deres uten ytterligere involvering. – Hackerne har blitt profesjonelle, sier cyber-partner i PwC, Jan Henrik Schou Straumsheim. Han hjelper Norges største virksomheter med å beskytte seg.

2. Angrep mot verdikjeden

Angrep mot svake punkt i leverandørkjedene har også fortsatt det siste året. Det er på ingen måter en ny teknikk, men mange trusselaktører har sett sitt snitt til å utnytte avhengigheten vår til tredjeparter og programvaren de tilbyr som mange er sårt avhengige av. 

Disse aktivitetene har tradisjonelt sett blitt assosiert med såkalte “Advanced Persistent Threats” (APTer) mens i 2021 har vi observert at de i økende grad har blitt benyttet av økonomisk motiverte trusselaktører.

Denne typen angrep kan ta ulike former, eksempelvis ved å:

  • Kompromittere programvare

  • Kompromittere tillitsankere

  • Utnytte infrastruktur

  • Utnytte tredjepartstilganger

En godt eksempel var angrepet mot Kaseya, et amerikansk selskap som leverer IT-tjenester til varehandel og retail. En trusselaktør PwC omtaler som White Ursia lykkes å oppdage flere ukjente sårbarheter i løsningene deres, og benyttet disse til å distribuere destruktiv skadevare. Konsekvensene av dette angrepet var omfattende, og vi så det spesielt i Sverige, hvor Coop så seg nødt til å stenge ca. 800 butikker da kassasystemer og annet ble satt ut av spill. Det tok flere dager før de kom tilbake til normal drift. I de fleste tilfeller krevde det at teknikere måtte reise fysisk til butikklokasjonene for å gjenopprette systemene.

– Vi vurderer at denne trenden kommer til å fortsette gjennom 2022, da tjeneste- og leverandørlandskapet hos de fleste virksomheter blir stadig mer komplekst, med økende grad av gjensidige avhengigheter, sier Straumsheim. Les om cyber-partneren som beskytter Norge fra nåtidens "bankran".

3. Nulldagssårbarheter

I 2021 observerte vi det største antallet nulldagssårbarheter noensinne.

– Tiden fra en sårbarhet blir oppdaget, til at en trusselaktør får kunnskap om den, er kritisk. Håndtering av sårbarheter blir derfor et kunnskapskappløp, hvor det gjelder å oppdage svakheter så tidlig som mulig, sier Jan Henrik Schou Straumsheim. 

Det man først og fremst forsøker å unngå, er situasjoner hvor trusselaktører oppdager sårbarheter før det finnes effektive mottiltak. Slike sårbarheter kalles for nulldagssårbarheter (eller zero-day vulnerabilities på engelsk).

Gjennom året har vi sett mange slike sårbarheter benyttet i alvorlige angrep, eksempelvis det Stortinget opplevde i mars 2021, hvor en trusselaktør utnyttet en nulldagssårbarhet i epostsystemet Microsoft Exchange.

Se hvordan PwC fant en zero day-sårbarhet da de penetrasjonstestet en kunde. 

4. Etterretningsdrevne trusselaktører

Konseptet med “digitale kvartermestere” er ikke nytt. Begrepet er gjerne assosiert med å levere teknologi til militære enheter.

Selv om det ikke alltid er mulig å bevise, er hypotesen at flere APT-grupperinger opererer i samarbeid med, eller får ressurser fra, den samme digitale kvartermesteren. I 2021 fortsatte vi å observere dette fenomenet, enten gjennom observasjoner av delte kapabiliteter (f.eks. skadelig programvare, teknikker, utnyttelser og så videre), eller gjennom overlapping i infrastruktur (enten gjennom de samme mønstrene observert på C2-er, eller gjenbruk av domener/IP-er av andre trusselaktører).

Kommersielle kvartermestere kan eksempelvis være selskaper som ofte omtales som “hackers-for-hire”. Kjente eksempler på slike selskaper er CyberRoot og BellTroX. Hacker-for-hire-selskaper har i oppgave å gjøre selve hackingen på vegne av en kunde, mens kommersielle kvartermestere bare tilbyr verktøy, som deretter benyttes av kundene deres uten ytterligere involvering. 

Tidlige eksempler på kommersielle kvartermestere er eksempelvis Hacking Team og FinFisher. Til tross for at disse selskapene har forsvunnet fra radaren, fortsetter PwC å at observere trusselaktører - spesielt de som driver overvåkingsoperasjoner - utnytter kommersielle kvartermestere og deres evner. Eksempler på dette er det israelske selskapet NSO group og deres Pegasus-programvare. Dette er programvare som har blitt benyttet for å infisere mobiltelefoner i den hensikt å overvåke samtaler og stjele data.

I 2021 så vi den første høyprofilerte aksjonen mot kommersielle kvartermestere på statsnivå - med US Commerce Department som plasserte NSO Group og Candiru på sanksjonslister grunnet deres salg av denne typen verktøy til stater USA har et mindre vennlig forhold til, som benyttet disse til etterretningsoperasjoner mot amerikanske individer og virksomheter.

5. Spionerer på minoriteter og politikere

Overvåking av sivile mål og individer utgjør en betydelig trussel mot å oppnå et sikkert digitalt samfunn for alle. Tjenestene såkalte exploit brokers og digitale kvartermestere tilbyr gjør det mulig for mindre ressurssterke stater samt andre virksomheter å gjennomføre vedvarende overvåkningsoperasjoner.

Minoriteter, borgerrettighetsaktivister, dissidenter, politikere og journalister, så vel som andre sivile, kan havne i trådkorset for denne typen statsstøttet spionasjevirksomhet. Sivilsamfunnsmål kan også inkludere frivillige organisasjoner, sosiale bevegelser, koalisjoner og trosbaserte organisasjoner som deler felles interesser.

Mens overvåkingsaktivitet ofte fokuserer på interessante personer, ser vi også at virksomheter med tilknytning til disse personene også blir utsatt. Dette er spesielt i tilfeller hvor virksomhetene kan fungere som et springbrett for å få tilgang til det tiltenkte målet. Denne faktoren mener vi er nyttig for å kontekstualisere de truslene vi ser mot sivilsamfunnet som et felles problem, både for myndigheter og næringslivet. 

– Gitt utviklingen på dette området tror vi dessverre denne trenden vil vedvare i tiden fremover, sier Straumsheim.

Vil du lese mer om cyber-trendene?

Kontakt oss

Jan Henrik Schou Straumsheim

Jan Henrik Schou Straumsheim

Partner | Trust Solutions Oslo, PwC Norway

Tlf: 415 26 290