Trussellandskapet i Europa
Angrep mot hjemmekontor og -rutere øker i omfang. Tjenesteleverandører som drifter infrastruktur for små og mellomstore bedrifter (SMB), rammes i stigende grad av trusselaktører. De som står bak, er ekstremt dyktige hackergrupper med nær sagt ubegrensede ressurser: statlige aktører og organisert kriminalitet. Hensikten med denne type angrep er å bruke målene som springbrett for å bryte seg inn i større virksomheter. Dette er noen av konklusjonene i ENISAs siste rapport, som for tiende år på rad tar for seg trussellandskapet sett i europeisk lys. ENISA er EUs byrå for cybersikkerhet, som har til oppgave å oppnå et høyt felles nivå av nettsikkerhet over hele Europa.
På NFEAs sikkerhetskonferanse 2023 foretok cybersikkerhetsekspert ved ENISA, Ifigeneia Lella, en gjennomgang av hovedpunktene i rapporten, som identifiserer de viktigste truslene, markante trender, aktører og angrepsteknikker, samt en effekt- og motivasjonsanalyse. Fortsatt topper løsepengevirus listen over angrepsvektorer, tett fulgt av skadevare og sosial manipulasjon. På fjerde plass figurer trusler mot data. Femte og sjette plass fylles av angrep mot tilgjengelighet. Sjuende og åttende plass inntas av systematisk feilinformasjon og leverandørkjedeangrep.
Om ENISA
EUs agentur for cybersikkerhet het frem til 2019 European Network and Information Security Agency, derav forkortelsen. Samme år sluttet Norge seg til ENISA, sammen med EØS-landene Liechtenstein og Island som medlem uten stemmerett. Byråets hovedoppgave er å sørge for et høyt sikkerhetsnivå for elektronisk kommunikasjon, nettverk og informasjonssystemer i medlemslandene og dere institusjoner. ENISA tilbyr teknisk ekspertise, rådgivning og opplæring innen ulike områder av cybersikkerhet. De bidrar til å utvikle strategier og fremme beste praksis, samtidig som de koordinerer og utveksler informasjon om cybertrusler og sikkerhetshendelser mellom EUs medlemsland og med internasjonale partnere. Byrået jobber tett med ulike interessenter, inkludert offentlige etater, bedrifter, universiteter og forskningsinstitutter for kontinuerlig å forbedre cybersikkerheten i EU.
Geopolitiske forhold
Konflikten mellom Russland-Ukraina har omformet trusselbildet. Noen av de mest påtakelige endringene er betydelige økninger i hacktivistisk aktivitet. Cyberaktører utfører operasjoner i samspill med militære operasjoner, mobilisering av hacktivister, nettkriminalitet og bistand fra statssponsede grupperinger under denne konflikten. Geopolitikk fortsetter å ha en sterkere innvirkning på cyberoperasjoner. Destruktive angrep er fremtredende blant statlige aktører. Desinformasjon er et verktøy i nettkrigføring, som ble brukt allerede før den fysiske krigen startet som en forberedende aktivitet for Russlands invasjon av Ukraina.
Trusselaktører forbedrer sine evner
Ressurssterke trusselaktører bruker nulldagssårbarheter for å oppnå sine operasjonelle og strategiske mål. Jo flere organisasjoner som øker modenhetsgraden i forsvar og cybersikkerhet, desto mer øker kostnaden for angriperne. Det driver dem til å utvikle eller kjøpe nulldagsutnyttelser, ettersom et lagdelt dybdeforsvar reduserer muligheten til å utnytte sårbarheter. Grupperingen som driver med løsepengevare, oppløses og settes sammen i nye former for å unngå å bli tatt av lov-og-ordensmakter. Forretningsmodellen hacker-som-tjeneste har vunnet frem og vokst siden 2021. Trusselaktører har økt sin interesse for å angripe administrerte tjenesteleverandører og viser økte evner.
Løsepengevare, phishing og angrep mot tilgjengelighet
Løsepenge- og utpressingsangrep har økt i betydelig grad. Det samme gjelder angrep mot tilgjengelighet, spesielt distribuert tjenestenekt (DDoS), der den pågående krigen er hovedårsaken. Phishing er den vanligste vektoren for innledende tilgang. Her unyttes brukertrøtthet, og det anvendes mer kontekstbaserte former, som spydfiske og hvalfangst. Sosial manipulasjon fokuserer på Ukraina-Russland-konflikten på en lignende måte som COVID under pandemien. Skadevare er på vei opp igjen. Utpressingsteknikker utvikler seg videre med den populære bruken av lekkasje-nettsteder. DDoS er blitt større og mer komplekse. Tjenestenektangrepene beveger seg mot mobilnettverk og Tingenes Internett (IoT) og blir brukt sammen med cyberkrigføring.
Nye, hybride fremvoksende trusler
Disse markerer allerede i høy grad trussellandskapet og har en kraftig innvirkning. Angripere utnytter forespørsler om samtykke til å ta i bruke applikasjoner og tjenester. Datamengden vi produserer og analyserer, øker fra år til år. I samme grad stiger angrepene mot disse dataene. Maskinlæringsmodeller er kjernen i moderne distribuerte systemer og blir stadig mer utsatt for angrep. Desinformasjon som er aktivert av kunstig intelligens (KI) sammen med deepfakes, sørger for systematisk feilinformasjon.
Trusselaktører og deres motivasjoner
Vi må forstå hvilke trusselaktører vi har å gjøre med, deres motivasjoner og mål. Det hjelper i stor grad med å planlegge cybersikkerhetsforsvar og avbøtende strategier. Angriperne omfatter i hovedsak seks grupper. Metodene kan inndeles i sosial manipulasjon, planting av skadevare, identitetstyveri, samt applikasjons- og nettverksangrep. Med relativt nye industrialiserte former for menneske-drevne løsepenge- og utpressingsangrep viskes skillelinjene ut mellom enkelte av grupperingene.
Skripts-kiddies er hackere med relativt lite erfaring, ikke nødvendigvis unger. Vanligvis er de ute etter å se hva de kan få til, drevet av nysgjerrighet og personlig anerkjennelse. Utfordringen er å bryte seg inn. Vanligvis er de ikke tilknyttet hackergrupper. Men det gjør dem ikke mindre farlige. De blir mer durkdrevne underveis og bruker ofte ferdige skript og kitt for å lage skadevare.
Hacktivister er aktivister som benytter hacking til ideologiske eller politiske formål. Ferdigheter og finansieringen varierer. De tar ned nettsteder med distribuerte tjenestenektangrep (DDoS), stjeler personlig informasjon, påloggingsopplysninger og bedriftshemmeligheter – ting som plasserer en organisasjon i et dårlig lys. Hacktivister utmerker seg ikke ved å være spesielt tålmodige eller operere i det skjulte. Tvert imot ønsker de mest mulig oppmerksomhet rundt deres agenda.
Organisert kriminalitet er motivert av økonomisk vinning. Hackergruppene er godt organisert. De er uhyre dyktige, har store ressurser og er tålmodige og utholdende. Selv om det også skjer, er målet ikke raske penger. De tværer gjerne ut angrepet over tid og holder seg skjult. De venter og samler inn digitale aktiva, som legitimasjon, personlig informasjon og kredittkortnumre. Så slår de til med å stjele og slette data, infisere lagringsområder med løsepengevirus og sette i verk pengeoverføringer.
Nasjonalstater driver hacking ved å plante avanserte persistente trusler (APT), vedvarende bakdører som ikke oppdages. Hackerne har nær sagt ubegrensede ressurser, er velutdannede og ekstremt dyktige. De bryter seg inn i offentlige og kommersielle systemer, stjeler sensitiv informasjon og driver med sabotasje, spionasje og cyberkrigføring. De legger ut frø og venter for så å samle opplysninger og eksfiltrere data. De ønsker ikke å bli oppdaget og bruker mye tid på å dekke alle spor.
Innsidere kan være styrt av en rekke motiver: hevn, misnøye, være på vei ut, økonomisk vinning. Mulig de blir utsatt for utpressing. I USA anslås det at innsidere er involvert i over 70 prosent av tilfellene i forbindelse med tyveri av intellektuell eiendom. De har kjennskap til datasystemene og vet hvor de finner nødvendig informasjonen. Datalekkasjen kan imidlertid også være utilsiktet.
Konkurrenter kan være ute etter å få konkurransefortrinn ved å stjele bedriftshemmeligheter eller skade andre virksomheter. Ferdighetsnivået og finansiering varierer.
Modellen for løsepengevirus som tjeneste
Forretningsmodellen for løsepengevirus som tjeneste eller Ransomware-as-a-Service (RaaS) er basert på utviklere av skadelig programvare som leier ut løsepengevare og kontrollinfrastrukturen til andre nettkriminelle. Det er en formidlingsøkonomi som ikke er veldig forskjellig fra det vi stadig ser mer av. Eksempler er Airbnb, Uber, Foodora osv. Tre parter er involvert: (1) tilbydere av varer og tjenester;(2) en digital plattform for automatisert prosessering av kjøp og salg; (3) kunder.
Her er det to leverandører. Tilgangsmegleren kompromitterer nettverk og etablerer vedvarende fotfeste på systemer. Hun eller han tilbyr RDP-tilgang, utnyttelse, kompromittert brukerlegitimasjon og botnett – et nettverk av datamaskiner infisert av trojanere som kobler seg til én eller flere sentrale styrende noder der de får tildelt oppgaver. RaaS-operatøren utvikler og vedlikeholder verktøy. Det omfatter å bygge løsepengevare, et lekkasje-nettsted for å henge ut eksfiltrerte konfidensielle data, betalingsformidling og kommunikasjon med ofrene for å øve påtrykk.
RaaS-kunder eller -partnere foretar angrepet, beveger seg sidelengs i nettverket, holder seg skjult og forblir på systemer, eksfiltrerer data og distribuerer løsepengevirus. De stanser tjenester, raserer Windows AD og ødelegger backuper. Enkelte ganger tar de seg ikke bryet med å kryptere filer; det holder å true med å offentliggjøre informasjon. Fortjenesten deles. For bakmennene involver dette mindre arbeid og risiko – trusselaktører blir arrestert og dømt. Angrepene kjennetegnes ikke ved forbedringer innen teknologi; den gjøres bare tilgjengelig for langt flere. Denne industrialiserte formen for oppdrags- eller delingsøkonomi har på den ene side ført til en kraftig økning i angrep; på den annen side er aktørene som bryter seg inn, ikke nødvendigvis dyktige hackere. De går etter virksomheter der fruktene henger lavere, og er ute etter raske penger. Dermed blir forebyggende sikkerhet essensielt.
De åtte viktigste truslene
En rekke cybertrusler dukket opp og materialiserte seg i løpet av 2021 og 2022. Basert på analysen som presenteres i rapporten ENISA Threat Landscape 2022, identifiserer og fokuserer de på følgende åtte hovedtrusselgrupper.
Løsepengevare
Løsepengevare er en type angrep der trusselaktører tar kontroll over et måls eiendeler og krever løsepenger i bytte mot å tilbakelevere ressursene. Definisjonen er handlingsagnostisk og nødvendig for å dekke det skiftende landskapet for løsepengevare, utbredelsen av flere utpressingsteknikker og de ulike målene, bortsett fra utelukkende økonomiske gevinster, for gjerningsmenn. Løsepengevare har nok en gang vært en av de viktigste truslene i rapporteringsperioden, med flere høyprofilerte og svært omtalte hendelser.
Skadevare
Skadelig programvare – også referert til som ondsinnet kode og ondsinnet logikk – er et overordnet begrep som brukes for å beskrive all programvare eller fastvare beregnet på å utføre en uautorisert prosess som vil ha en negativ innvirkning på konfidensialitet, integritet eller tilgjengelighet (CIA) for et system. Tradisjonelt inkluderer det virus, ormer, trojanske hester, spionvare eller andre kodebaserte enheter som infiserer en vert. Det er observert en kraftig økning i EU-land.
Sosial manipulasjon
Det omfatter et bredt spekter av aktiviteter som forsøker å utnytte en menneskelig feil eller atferd med det formål å få tilgang til informasjon eller tjenester. Den bruker ulike teknikker for å lure ofre til å gjøre feil eller håndtere sensitiv eller hemmelig informasjon. Det forfører til å åpne dokumenter, filer eller e-poster, besøke nettsider eller gi uautorisert persontilgang til systemer eller tjenester. Og selv om disse triksene kan misbruke teknologi, er de alltid avhengige av en menneskelig element for å lykkes. Metodene omfatter phishing, spydfisking, hvalfangst, smishing (SMS), vishing (telefonsvindel), kompromittering av forretnings-e-post, etterligning og forfalskning.
Trusler mot data
Trusler mot data utgjør en samling angrep som retter seg mot datakilder med sikte på å oppnå uautorisert tilgang og avsløring, samt manipulering av data for å forstyrre systemenes oppførsel. Disse truslene er også grunnlaget for mange andre, som løsepengevare og distribuert tjenestenekt. Teknisk sett kan trusler mot data i hovedsak klassifiseres som datainnbrudd og -lekkasje. Datainnbrudd er et forsettlig angrep utført av en nettkriminell med målet om å vinne uautorisert tilgang og utgivelse av sensitive, konfidensielle eller beskyttede data. Datalekkasje er en hendelse som kan forårsake utilsiktet utgivelse av sensitive, konfidensielle eller beskyttede data på grunn av for eksempel feilkonfigurasjoner, sårbarheter eller menneskelige feil.
Trusler mot tilgjengelighet: Tjenestenekt
Tilgjengelighet er målet for en mengde trusler og angrep. Blant dem skiller distribuerte tjenestenekt-angrep (DDoS) seg ut. Angrepene sørger for at brukere av et system eller en tjeneste ikke får tilgang til relevante data, tjenester eller andre ressurser. Dette kan oppnås ved å tømme tjenesten og dens ressurser eller overbelaste komponenter i nettverksinfrastrukturen.
Trusler mot tilgjengelighet: Internett-trusler
Internettbruk og fri flyt av informasjon påvirker livene til alle. For mange er Internett-tilgang blitt en grunnleggende nødvendighet for å jobbe, studere og utøve ytringsfrihet, politisk frihet, og å samhandle sosialt. Denne gruppen dekker truslene som har innvirkning på tilgjengeligheten til internett, som for eksempel kapring av BGP, den mest utbredte ruting-protokollen på Internett.
Desinformasjon – feilinformasjon
Desinformasjon og feilinformasjonskampanjer er fortsatt på vei oppover, ansporet av økt bruk av sosiale medier og nettbaserte medier. Digitale plattformer er i dag normen for nyheter og medier. På grunn av hvordan disse nettstedene opererer, som er ved å tiltrekke folk og generere trafikk til deres nettsteder, egner de seg glimrende for å spre desinformasjon. Dette utnytter Russland i høy grad i sin krigføring.
Angrep mot forsyningskjeder
Et forsyningskjedeangrep retter seg mot forholdet mellom organisasjoner og deres leverandører. Det innebærer en kombinasjon av minst to angrep. Både leverandør og kunde må være målet. Ofte angripes det svakeste leddet for så å fortsette mot en større virksomhet. Angrep mot en tjenesteleverandør faller inn under denne kategorien.
Avsluttende ord
Dette var en kursorisk gjennomgang av trussellandskapet i dag sett med europeiske øyne. Den skal følges opp med en anbefalinger om å sette opp et robust og motstandsdyktig forsvar mot angrepene som er nevnt her. Et viktig moment er sikring av hjemmekontorer.