När Ryssland för ett år sedan invaderade Ukraina, och Sverige kort därpå ansökte om Nato-medlemskap befarades att cyberangreppen mot svenska organisationer skulle skjuta i höjden. Det uteblev. I stället konstaterade cybersäkerhetsexperterna att ransomware-angreppen minskade.
Men lugnet var tillfälligt. Under hösten kom attackerna igång igen, och nu beskrivs läget som värre än någonsin tidigare. Det visar flera undersökningar.
Det svenska cybersäkerhetsbolaget Truesec uppger i sin årsrapport Threat Intelligence för 2022 att ransomware-angreppen i de nordiska länderna ökade med 25 procent under andra halvåret jämfört med motsvarande period året före.
Mattias Wåhlén, expert inom threat intelligence på Truesec, säger att att den ökade aktiviteten hänger samman med Rysslands invasion av Ukraina.
– Nästan alla de här grupperna har någon form av anknytning till Ryssland. När det infördes sanktioner mot ryska banker och kryptobörser som de använder för att flytta pengar fick de problem.
– Nu har de flyttat pengatvätten till Kina eller något annat ställe, och angreppen ökar mer än någonsin. Vi har aldrig hanterat så många incidenter som nu.
Det finns flera skäl till ökningen, enligt Mattias Wåhlén, men ett av de viktigaste är att medelklassen i Ryssland fått det kärvare, inte minst personer som är kunniga inom it.
– Folk i it-branschen har fått betala ett högt pris. Företag från väst har lämnat landet, ingen vill köpa mjukvara från Ryssland längre. Då blir det fler som ser brottslighet som en möjlighet. Det märker man ganska tydligt om man följer olika nätforum där ryska cyberbrottslingar utbyter erfarenheter.
Stort mörkertal
Men även om Truesec är säkra på att det skett en kraftig ökning av attacker under andra halvåret är det mycket svårt att säga hur många företag som drabbas. Mörkertalet är stort och många vill inte tala om att de drabbats.
Detta är också något angriparna lärt sig att utnyttja, enligt Mattias Wåhlén.
– De pressar på. De spelar på hur enkelt det var att hacka offrets system och att det skulle kunna vara ett brott mot GDPR att inte skydda till exempel känsliga kunddata bättre. Men om de betalar snabbt kommer ingen att få veta. Sådant har blivit vanligare.
– Exempelvis är stora delar av tillverkningsindustrin helt automatiserad idag och de förlorar pengar direkt om allt står still. Men även hightech-bolag med mycket forskning är särskilt drabbade, eftersom det finns så mycket värde i deras data.
Så tar sig angriparna in
Hur tar sig då angriparna in i systemen? Enligt Truesec finns tre vanliga tillvägagångssätt. Det första är klassiska nätfiskemejl som lurar offret att ladda ner en bakdörr eller där de slussas vidare till en falsk inloggningssida, där deras uppgifter blir stulna.
Det andra är att de kriminella använder sig av inloggningsuppgifter som redan stulits och som de köper in – ett modus operandi som verkar bli vanligare. Stulna eller gissade inloggningsuppgifter som köps och säljs har ökat starkt sedan distansarbetet infördes på bred front.
Det tredje sättet är att utnyttja sårbarheter i systemen, som dåligt patchade Exchange-servrar.
– Numera sitter brottslingar och bevakar när det släpps en kritisk patch, laddar ner och analyserar den, och bygger ett verktyg som utnyttjar sårbarheten innan offret hinner implementera den.
Bråttom att patcha
Vad företag måste göra för att skydda sig mot ransomware-angrepp är därför att se till att applicera patchar snabbt på alla applikationer och system som är exponerade mot internet. Dessutom är multifaktorsautentisering ett måste, säger Mattias Wåhlén.
– Även med det bästa skyddet så kommer dock en aktör till slut att kunna ta sig in, så man behöver också ordentlig övervakning av vad som sker i systemen.
Cybersäkerhetsföretaget Proofpoint har precis kommit ut med sin årliga rapport State of the Phish, där det framkommer att de samlade förlusterna som organisationer i världen lider av nätfiske ökade med 76 procent under 2022.
Mikael Järpenge, som är teknisk cybersäkerhetsexpert på Proofpoint i Norden, bekräftar bilden av att ransomware-angreppen kom tillbaka i stor skala under hösten förra året. Han säger att en tänkbar förklaring till detta är att en av de mest aktiva aktörerna på området försvann under en period, men kom tillbaka med full kraft i höstas.
– Det finns ett antal olika aktörer som arbetar med plattformar som kan leverera skadlig kod, trojaner, ransomware och så vidare. En av de grupperna hade försvunnit, men började om i liten skala och under hösten kunde vi plötsligt se en dramatisk ökning från just den plattformen.
– En annan förklaring är att de här aktörerna börjat samarbeta allt mer. Om en av dem får tillgång till en organisations nätverk, så kan de sälja den vidare till andra aktörer. Det visar också hur lukrativ den här kriminella verksamheten är.
Social manipulering allt vanligare
Attackerna sker brett, säger Mikael Järpenge.
– Om man ser det ur ett övergripande perspektiv så omfattar ju de nya reglerna i NIS2-direktivet betydligt fler branscher, det är en effekt av att det här slår mot många olika typer av organisationer.
Enligt Proofpoints undersökningar använder sig angriparna i allt högre grad av social manipulering för att ta sig in i offrens nätverk.
– Man försöker lura användare att ladda ner en bilaga eller klicka på en länk. E-posten är fortfarande den primära attackytan och den används väldigt flitigt. Ibland kombineras det med att angriparna ringer upp och utger sig för att komma från en stor känd organisation och försöker få användaren att göra något med e-postmeddelandet. Man spelar på igenkänningsfaktorn.
Svenska företag tycks drabbas mer
Kontinuerlig användarutbildning är ett sätt att skydda sig mot de här attackerna. Både i form av information och frågor men också genom att man skickar ut phishingmejl som test, där de skadliga delarna plockats bort. Detta bör kombineras med ett bra preventivt skydd för e-post.
I Proofpoints undersökning ingår också svenska företag. Det är dock ett begränsat antal företag men bland dessa är det fler än snittet i undersökningen som drabbats av ransomware.
– Det är svårt att svara på varför svenska företag ligger högt. Det varierar väldigt mycket mellan olika länder, och det kan variera år från år mellan länderna.
Undersökningen bygger på 18 miljoner rapporterade e-postmeddelanden, 135 miljoner simulerade nätfiskeattacker samt intervjuer med 7500 anställda och 1050 säkerhetsexperter i femton länder.
I rapporten framkommer också uppgifter från amerikanska polismyndigheten FBI, som visar på att denna typ av attacker ökar med över 50 procent årligen.
