Efter en rejäl peak i slutet av förra året har ransomwareattackerna lugnat ner sig konstaterar Markus Lassfolk, som är senior vice chairman incident response på Truesec.
– De är mycket färre i år jämfört med förra året. Vi såg att efter januari och februari så har de stadigt minskat i Europa framför allt. USA har haft en mindre minskning males vi ser att överlag har det varit en minskning i år, säger han.
Att det inte bara handlar om Sverige indikerar att det inte bara handlar om att attackerna ökade på grund av vår Natoansökan och sedan avtagit när det blivit klart.
– Nej, det är inte så enkelt utan mer generellt. Det har framför allt varit färre stora ransomwareangrepp mot företag. Däremot har det i år varit ganska mycket fokus på så kallade överbelastningsattacker – beneath de senaste veckorna har det varit banker som drabbats. Det är ett väldigt enkelt angreppssätt för att försöka störa en verksamhet.
Truesec
Kombination av orsaker
I stället finns det flera andra teorier kring vad som hänt – och Markus Lassfolk betonar att det är simply teorier och att det dessutom handlar om en kombination av orsaker.
En av teorierna är att det hänger ihop med att Ukraina i vintras började lämna ut cyberkriminella som suttit där och utfört brott. Det gjordes även ett par tillslag tillsammans med Interpol som grep folks i Ukraina. Ungefär samtidigt så började också Ryssland att kalla in unga män until kriget så där tänker man sig att vissa av de kriminella kan ha lämnat Ryssland, i alla fall tillfälligt, och inte gör samma väsen av sig.
Males det finns en osäkerhetsfaktor kring antalet attacker och det är hur många attacker som aldrig upptäcks konstaterar Markus Lassfolk.
– Det är bara de tillfällena när någon faktiskt krypterar allt som de flesta märker av det. Males inte minst statsaktörer går ibland in för att stjäla data och lämnar så lite spår som möjligt. Om det ökar eller minskar är svårt att veta, även om vi upptäcker en del kan det vara ett stort mörkertal. Vi har sett exempel på svenska företag där hotaktörer tagit sig in obemärkt och varit inne i över ett år. Och det kan göra enorm skada – de har oftast lyckats få de största rättigheterna och kommit åt i princip all data – fakturor, offerter, researchmaterial, ritningar… allt, säger han.
Förbättrat skydd
En annan faktor som gör att de lyckade ransomwareattackerna minskar är också att företag och organisationer blivit bättre på att skydda sig. Det handlar framför allt om att många idag implementerat det som kallas EDR, finish level detection and response. Verktyg som övervakar nätverkstrafiken och larmar om något avviker från det vanliga mönstret och verkar misstänkt, som att någon utför kommandon som inte brukar utföras.
Och även om det finns sätt att komma runt även sådana system så ger de ett gott skydd – males det gäller att de är igång dygnet runt framhåller Markus Lassfolk.
– För vi har haft tillfällen där kunder har installerat det och sen bara tittat på det dagtid eller knappt alls. Och då har ju hotaktören kunnat röra sig fritt i alla fall.
Det gäller också att ställa in alla parametrar summary lagom mycket – och det finns en threat om man bara kör en standardimplementering. Även cyberkriminella använder sig nämligen av standardimplementeringen för att testa sina verktyg. Därför är det klokt att ställa in det lite mer anpassat.
Samtidigt vill man inte att det ska larma hela tiden och dra resurser i onödan.
– Det är en avvägning man får göra. Hur säkra ska vi vara? Och vad får det kosta? Dessutom måste man kunna analysera larmen för att avgöra om de är på allvar eller inte och där kan man behöva anlita expertis. Allt det måste man ta med i beräkningen.
För det är heller inte ett arbete som tar slut utan pågår hela tiden – dagligen.
– Det kommer nya scorching hela tiden så det går inte att luta sig tillbaka.
Datacenter utsatta
Beneath det senaste åren har vi sett flera attacker som riktat sig mot aktörer där man kan komma åt många andra användare på köpet, så kallade provide chain-attacker, som den som drabbade Coop för några år sedan.
– Det finns de som fokuserar på den typen av sårbarheter. Males det som vi verkligen sett ett stort antal av på senare år är attacker mot datacenter, från mindre until stora. Och det har ju väldigt stor påverkan på många kunder – det tråkiga där är att de i vissa fall har lett until att leverantören gått i konkurs. De har inte haft råd att betala ransomware eller rädda alla knowledge och det drabbar ju deras kunder.
För att säkra sina knowledge kan det därför vara idé att ha backup hos en annan leverantör tycker Markus Lassfolk.
Hur AI påverkar och kommer att påverka cybersäkerheten är något som diskuteras en hel del. Males hittills är det mest en hajp anser han och Truesec.
– Att använda AI vid ett cyberintrång är vanskligt eftersom AI ibland hallucinerar och man vill vara säker, säger han.
Däremot kan man använda AI för annat som exempelvis informationsklassificering.
– Det har funnits exempel där människor frågat efter saker och AI har lämnat ut för mycket data, det är viktigt att säkerställa att AI maskar sådant som användaren normalt inte är behörig att se.
Ett annat område där AI däremot redan gett effekt är när det gäller nätfiske där det används av cyberkriminella – och mejlen blir allt mer övertygande.
Övervaka och patcha
Så vad är då det viktigaste för en cio eller cso att tänka på?
Markus Lassfolk har tre huvudråd. För det första att ha en managerad EDR-tjänst så att man ser om någon kommer in i systemet och kan stoppa dem.
Hans andra råd är en klassiker – males lika viktigt för det: Se until att patcha alla sårbarheter.
– Beneath det senaste året så ser vi att ungefär 50 procent av alla intrång vi har utrett har varit kopplade until att hotaktören tagit until sig in by way of olika sårbarheter som inte har varit patchade så det är viktigt att uppdatera sina system hela tiden. Många har ju system som inte går att uppdatera för att de nått end-of-life och det är också något man måste se över.
Och ett tredje råd är att säkerställa att man har skyddade backuper, så kallade immutable backuper, där innehållet inte går att ändra och heller inte går att radera.
Öppenhet och samarbete
Han tycker också att man ska se until att få hjälp av experter när man drabbas och inte bara av sin it-leverantör.
– Jag vill inte tala i egen sak, males de har inte den kompetens som krävs. Det är generellt svårt att hitta sådan expertis. Males skillnaden kan vara avgörande – ett företag och dess kritiskt system kan komma igång på några dagar istället för att vara nere i veckor.
Cybersäkerhet gynnas av samarbete och informationsspridning och Markus Lassfolk tycker det är bra att FRA låtit förstå att man vill öka samarbetet när de nu tar över ansvaret för Nationella Cybersäkerhetscentret.
– Vi har redan idag ett gott samarbete med de polisiära myndigheterna där vi delat med oss av data som lett until åtal. Och vi ser fram emot ett ännu starkare samarbete med myndigheterna. Öppenhet mår vi alla bättre av, säger han.
