Att cyberkriminella aktivt letar efter de enklaste måltavlorna är ett välkänt fenomen.
Att de använder sig av attacker där de kan få så hög utdelning som möjligt med minsta möjliga risk har varit en starkt bidragande faktor bakom den snabba utvecklingen av ransomware.
Samma mekanismer ligger även bakom de senaste årens tydliga utveckling där hotaktörer i allt större utsträckning tar hjälp av externa underleverantörer för att sjösätta sina attacker. Under året har vi sett flera indikationer på att detta område fortsatt att växa och vi tror att det är något som kommer att sätta stor prägel på cybersäkerhetsområdet under 2023.
Utvecklingen började med att aspirerande hotaktörer kunde köpa färdig skräddarsydd skadlig kod för sina attacker, eller hyra botnät för att genomföra DDoS-attacker i stor skala. Och precis som vanliga företag aktivt försöker undvika tidskrävande arbetsuppgifter med tveksam lönsamhet så tittar hotaktörer på nya sätt att lägga ut den typen av sysslor på entreprenad. Här ser vi till exempel hur många av grupperna gått över till att anlita externa aktörer för att sköta penningtvätt, något som tidigare varit tidskrävande och medfört ytterligare risk. Idag ser vi hur fler och fler aktörer levererar den här typen av Money Laundering-as-a-Service via ljusskygga internetforum.
När det gäller de mer avancerade attackerna läggs mycket av tiden på att rekognoscera, på att analysera målet, hitta öppna säkerhetsluckor och identifiera enskilda individer att rikta in sig på. Under året har vi sett hur flera av de mest aktiva hotaktörerna helt enkelt vänt sig till underleverantörer som erbjuder just detta – Reconnaissance-as-a-Service. Det är en utveckling som sänker tröskeln för nya grupper att genomföra mer avancerade, riktade attacker och samtidigt gör det möjligt för befintliga aktörer att bearbeta fler måltavlor samtidigt.
Parallellt med en här utvecklingen ser vi en oroande utveckling där så kallade Wiper malware – skadlig kod som utformats för att göra så stor skada som möjligt och radera all data den ges möjlighet att radera – i allt större utsträckning används i attacker med kommersiella förtecken. Även här är det minsta motståndets lag som är den primära drivkraften.
Andreas Gotthardsson
Tidigare har den här typen av ”wipers” mest varit något som statsfinansierade hotaktörer använt sig av, eftersom det helt enkelt är svårare att tjäna pengar på att förstöra affärsviktig data än att hålla den gisslan. Nu ser vi hur det dyker upp allt fler förtäckta ransomware-varianter, som utger sig för att kryptera data och begära en lösensumma men som i verkligheten är wipers och inte alls erbjuder någon möjlighet för drabbade organisationer att återställa sin data. Hotaktörerna har här alltså valt att helt strunta i att investera i utveckling av ett faktiskt ransomware-verktyg och den infrastruktur och bemanning som krävs för att administrera lösensummor och nycklar för dekryptering.
Jag är inte överraskad av utvecklingen mot att fler och fler delar av kedjan även för mer avancerade attacker erbjuds som en tjänst, eller att cyberkriminella väljer att rationalisera bort själva hanteringen av lösensummor och dekryptering för ransomware. Det följer ett sedan länge etablerat mönster där hotaktörerna håller sig till minsta motståndets lag.
Det är möjligtvis en väl sliten klyscha vid det här laget, men för enskilda företag och organisationer finns ingen nyckelfärdig lösning som ger ett fullvärdigt skydd. Säkerhet är något man bygger upp över tid och handlar om att ha rätt lösningar på plats, tillräcklig kompetens internt och genomtänkta processer för att hantera incidenter. Konsolidering av säkerhetslösningar har visat sig vara avgörande för att minska komplexiteten och öka säkerheten för många organisationer. Att bygga säkerheten runt en plattform innebär att komplexiteten reduceras, integrationen mellan olika lösningar stramas åt och automatisering förenklas – allt för att vi ska kunna svara snabbare på eventuella hot.
När mycket av det vi sett under 2022 pekar på att vi under 2023 kommer att se allt fler organisationer utsättas för avancerade, långsiktiga attacker kommer det att vara viktigare än någonsin att ha en plattform för cybersäkerhet att luta sig mot. En plattform som kan upptäcka och stoppa hot i realtid och proaktivt leta efter och åtgärda svagheter i det egna nätverket – för sannolikheten att någon annan hittar sårbarheterna först har aldrig varit större.
Av: Andreas Gotthardsson, Director Systems Engineering på Fortinet i Sverige
