Säkerhetsföretaget Orange Cyberdefense har släppt sin årliga rapport över världens cyberhot, och data talar sitt tydliga språk: Hoten blir allt mer sofistikerade, och statliga aktörer gör att ingen går säker längre.
Att nätkriminalitet är en växande industri har knappast undgått någon de senaste åren. Nästan dagligen kan man läsa om säkerhetsincidenter: stulna patientuppgifter, kontokortsbedrägerier, exponerade lösenord eller industrispionage. Men exakt hur ofta inträffar attacker, och hur orolig bör man vara för att ens företag drabbas?
Tre sorters angripare
Nyligen släpptes 2018 Annual Security Report, som bygger på inhämtad data från Orange Cyberdefenses kunders IT-miljöer – närmare bestämt över en kvarts miljon säkerhetshändelser som analyserats och sammanställts. Och en sak är klar: hoten har ökat enormt, och många av dem utgör allvarliga risker för företag.
– Efter att ha analyserat datan ser vi tre tydliga typer av angripare, berättar Marcus Bengtsson, CTO på Orange Cyberdefense. Den första är så kallade rookie criminals: de använder ransomware och coin mining och vill mest tjäna lite snabba pengar. De är inte speciellt sofistikerade, de bygger nästan ingen kod själva utan förlitar sig på färdiga toolkits som går att ladda ner. Nästa grupp är veteraner, som är mer sofistikerade.
Här hittar du 2018 Annual Security Report
Veteranernas främsta mål är att hitta information de kan sälja. Det är ofta rätt mycket jobb att hacka in sig på ett företag, och det kräver tid och research och kunskap som rookiegruppen saknar. Men även veteranerna kan misslyckas, och då går de över till ransomware som plan B, ofta som en sista utväg då det innebär att de avslöjar sitt intrång för den drabbade.
– Den tredje angriparen, nation state, är den med mest resurser och den som är farligast, säger Marcus Bengtsson. De använder sig av våra kunder som en väg in i svåråtkomliga statliga eller militära IT-system. Dessa har ju i regel avancerade säkerhetssystem, men det finns ofta en underleverantör eller samarbetspartner som kanske bara hjälper till att utforma trycksaker och som inte har tillgång till något hemligt material och därför har en lägre säkerhetsbudget. Då infiltrerar man det bolaget, till exempel genom att plantera skadlig kod som sedan kan spridas till det egentliga målet genom en mailbilaga eller liknande.
Kostsamma attacker
När det gäller tillvägagångssätt är phishing extremt vanligt. Anledningen är att det kan automatiseras extremt väl, och därigenom scanna av mängder av datorer blixtsnabbt. Marcus Bengtsson berättar att det bland annat finns färdiga toolkits som monitorerar när användare går över till Office365 och då skickar automatiserade utskick till alla på bolaget som välkomnar användaren i det nya systemet och förklarar hur man loggar in:
– Det är ett väldigt effektivt sätt att få ut användaruppgifter, och sedan äger de kontot och kan skicka malware legitimt på insidan. Och skulle de ha tur och komma över ett adminkonto kan de ju gå in och ändra regler, och få full tillgång till systemen. Det är en attack som är enormt arbetskrävande att ta sig ur – och dyr.
Jämfört med tidigare år visar rapporten att hotbilden blivit mer diversifierad. För några år sedan var attackerna enklare att återhämta sig från, och angriparna mer förutsägbara. I takt med att företagens säkerhetsmedvetenhet mognat har angriparna blivit allt skickligare. Och de statliga aktörernas attacker må vara sällsynta, men desto värre för den som drabbas.
– Om man ska ha med sig en enda sak så är det att alla, utan undantag, riskerar intrång idag, avslutar Marcus Bengtsson. Alla nya aktörer och angreppsmetoder gör att alla mål kan vara intressanta, så ingen kan längre säga att ”vi är ett ointressant företag, ingen vill hacka oss”. Alla är måltavlor idag.
