itsäkerhetshot 2018

Det blir allt svårare att hålla koll på alla säkerhetshot som din organisation ställs inför. Det tillkommer hela tiden nya tekniker och angreppssätt – samtidigt som gamla smälter samman, modifieras eller görs mer sofistikerade. Dessutom blir många av angreppen successivt enklare att genomföra. Här tar vi en koll på 6 säkerhetshot du måste ha koll på under 2018.

 

Ransomware förändras och byter inriktning

Utan konkurrens det enskilt mest omtalade och omskrivna säkerhetshotet under 2017. Flera allvarliga ransomware-attacker lamslog IT-världen, och vi fick snabbt lära oss vad Cerba, WannaCry, Petya och NotPetya var för något. Ransomware som företeelse är inte något nytt, men länge förde det en ganska undanskymd tillvaro i de cyberkriminellas verktygslåda. Ransomware spreds i huvudsak via nätfiske och inriktade sig nästan uteslutande på att utpressa privatanvändare och tvinga dem att betala relativt modesta lösensummor för att få tillbaka sina låsta system och filer. Detta var förvisso ofta framgångsrikt, men krävde också en stor ”bas” av tilltänkta offer för att generera rejält med intäkter. Dessutom var betalningsförfarandet krångligt och vid banköverföringar och kortbetalningar gick det trots allt ganska lätt att spåra angriparna.

De senaste åren har några saker förändrats som flyttat upp ransomware på cyberbrottstoppen. Det första är möjligheterna till att kräva betalning i kryptovalutor som exempelvis bitcoin, som är oerhört svåra att spåra och som dessutom går snabbt att överföra. Det andra är att ransomware rent tekniskt blivit mer sofistikerat och numera kan spridas på flera olika sätt, inte minst genom olika typer av maskar. Den tredje stora förändringen är att angriparna i allt högre grad inriktat sig på företag och myndigheter. Anledningen till denna förflyttning är såklart att man snabbt kan angripa hela nätverk (inte minst tack vare mer avancerad ransomware) och att företag är betydligt mer benägna att betala lösensummor.

Några av de största ransomware-attackerna från 2017 använde just maskar för att sprida sina skadliga program. Effekten var förödande, med bland andra myndigheter, sjukhus och hamnoperatörer som drabbades av mycket stora och ihållande störningar. Men allt eftersom medvetenheten om hotet trots allt ökat och fler skaffat bättre skydd, kommer ransomware-attacker också att förändras ytterligare och använda nya tekniker mot nya mål. Fram till ganska nyligen drabbades huvudsakligen Windows-datorer av ransomware-attacker med ransomware men nu börjar även fler varianter inriktade på Mac och Linux-system dyka upp. Smartphones eller surfplattor med Android eller iOS som operativsystem är förstås också en het måltavla.

En mycket oroande trend 2018 kommer också att vara den kraftigt ökande spridningen av Ransomware-as-a-Service-plattformar som finns tillgängliga på nätets mer dunkla platser. Skaparna av olika ransomware är helt enkelt inte nöjda med att enbart själva tjäna pengar på attackerna, utan säljer även sina skapelser och möjliggör på så sätt för andra att lansera ransomware-kampanjer utan några tekniska förkunskaper.

Allt fler attacker kommer sannolikt också att ske från molnet. Eftersom cloud computing-företag lagrar enorma mängder data för företag utgör de på många sätt de främsta målen för cyberkriminella. De största och äldsta molntjänstleverantörerna, som Google och Amazon, har resurser och erfarenheter för att göra det oerhört svårt för angriparna att lyckas, men en del mindre molnleverantörer kommer både att vara mer sårbara och mer benägna att betala om deras kunddata krypteras och de pressas på lösensummor. Där är med andra ord lönsamheten betydligt större. Denna utveckling förutspås också sätta fart på marknaden för så kallade cyberförsäkringar.

 

DDoS fortfarande förödande

Efter att ha varit det ”hetaste” under många år fick överbelastningsattacker stå lite i skugga av ransomware under 2017. Men låt dig inte luras – DDoS-attacker är fortfarande en av de effektivaste och mest använda attackmetoderna.

DDoS-angripare har under de senaste två åren i allt högre grad börjat utnyttja uppkopplade enheter i det så kallade Sakernas Internet (Internet of Things) och ta kontrollen över miljontals nätverksenheter, övervakningskameror och andra enheter som ofta har bristfälligt skydd. Det har lett till massiva botnät med en slagstyrka som inte liknar något vi sett förut. Denna trend kommer att fortsätta, och attackerna lär blir både kraftigare och mer riktade i framtiden. Det vi exempelvis såg vid den beryktade Dyn-attacken var nog bara en försmak av hur mycket problem DDoS kan ställa till med i framtiden.

Även vid DDoS-attacker är förfarandet med utpressning och hot vanligt förekommande – antingen utpressas offret under själva attacken (om de betalar så avbryts attacken) eller så hotas de med attacker om inte en viss summa betalas inom en viss tidsfrist. 2018 kommer ett bra proaktivt arbete och ett starkt DDoS-skydd att vara avgörande för alla organisationer som är beroende av att deras webbplats, onlinebutik eller applikation  alltid är tillgänglig för att de ska kunna generera intäkter.
it-säkerhet 2018

Hoten mot mobilen ökar

Att de cyberkriminella går dit deras måltavlor går, är en etablerad sanning. I en värld som blir allt mer mobil, inte minst på arbetsplatserna, blir mobila enheter givetvis en attraktiv attackvektor. Mobila enheter innehåller som vi vet ofta direktingångar till både e-post, sociala medier och en uppsjö arbetsrelaterade verktyg och funktioner. Många användare bryter också, av rena bekvämlighetsskäl, mot sin organisations ordinarier säkerhetspolicy och använder icke godkända tredjepartsappar och hanterar företagets data vårdslöst i molntjänster som egentligen är avsedda för konsumentmarknaden. Ingenstans är det så kallade skugg-IT (verktyg, tjänster och system som ligger bortom IT-avdelningens kontroll eller vetskap) lika utbrett som i de mobila enheterna.

Hotet mot mobilen är som sagt brett och i princip alla andra hot vi tar upp i den här artikeln (och några dussin ytterligare) har redan eller kommer att flytta över till de mobila plattformarna. Allt från att lura användaren att koppla upp på spoofade wifi-nätverk (som angriparen givetvis övervakar) till att installera skadliga appar. Räkna därför med att vi kommer få se en kraftig tillväxt av smartphones som dras in i gigantiska botnät, ransomware riktat mot de mobila operativsystemen och en uppsjö av nya phishing-varianter specifikt riktade mot mobilanvändare.

 

Internet of Things – en lekplats utan regler

Internet of Things innebär fantastiska nya möjligheter för många organisatioer – samtidigt som det utgör en ny stor säkerhetsrisk. Organisationer har redan entusiastiskt börjat implementera allt fler IoT-enheter i sina verksamheter – dessvärre ofta utan att inse att många av dessa enheters tekniska design saknar grundläggande säkerhet och därför erbjuder många möjligheter till potentiella angripare. När IoT växer blir det lättare för hackare att äventyra det växande antalet anslutna enheter. Med hjälp av så kallade botnet-kit, som går att köpa på en uppsjö av webbplatser, kan hackare snabbt bygga egna stora botnät. Och om de inte ens orkar anstränga sig så mycket, säljer kriminella även färdiga botnät med IoT-enheter. Ett exempel är den mycket omskrivna skadliga koden Mirai, som använts för storskaliga DDoS-attacker med hjälp av IoT-enheter. Den koden har sålts och sedan utvecklats vidare i en rad varianter anpassade för olika ändamål.

Det råder dessvärre också en brist på insyn i det snabbt växande IoT-ekosystemet, med vaga villkor som gör att organisationer kan använda personuppgifter på ett sätt som kunderna inte avser – eller som organisationerna inte ens själva är medvetna om. Det riskerar därför att bli problematiskt för organisationer att verkligen veta vilken information som lämnar deras nätverk och vilka data som är hemligt sparade och överförda av olika uppkopplade smarta enheter.

Till skillnad mot merparten av traditionella teknikinköp som organisationer utför, som exempelvis datorer och mjukvara, levereras IoT-enheter inte sällan helt utan garantier för att det alltid tillhandahålls aktuella och löpande programuppdateringar. Detta gäller framför allt på Android-fronten, där på tok för många tillverkare är pinsamt dåliga på att hålla sina produkter uppdaterade, både vad gäller själva operativsystemet och mindre löpande säkerhetspatchar. Många enheter är som sagt inte ens utformade för att få automatiska uppdateringar. Det finns givetvis gott om Android-enheter som är byggda för att ta emot aktuella och pålitliga uppdateringar – se till att välja sådana när du planerar inköp av IoT-produkter.

Med tanke på den snabba spridningen av IoT-utrustning och bristen på vedertagna säkerhetsstandarder och konfigurationspraxis, kan vi kallt räkna med att dessa enheter används i ökad utsträckning som vapen för DDoS och andra attacker. Till dess att IoT-landskapet blir lite mindre vilda västern, faller det dessvärre på varje enskilt företag att skapa sitt eget säkerhetsnät runt sina uppkopplade enheter.

 

Nätfiske (med spjut) blir ännu mer sofistikerat

Nätfiske, eller phishing, har förpestat tillvaron för IT-världen under många år. Ofta har det varit lätt att känna igen försök till nätfiske som försöker lura av det potentiella offret inloggningsuppgifter eller kreditkortnummer. Mailet kan ha innehållit en suddig logotyp till en bank där du inte är kund, taffligt Google-översatt text och en tydligt förfalskad avsändaradress. Ändå ska vi inte blunda för att tusentals och åter tusentals människor har gått på dessa bluffar. Men det ”blinda” nätfisket som spammas ut som ett massivt nät och hoppas på småfångster här och där är på tillbakagång. På senare tid har nätfisket blivit allt mer sofistikerat, med snyggare och mer trovärdigt upplägg där de kriminella inte bara låtsas vara banker utan även andra tjänster som miljontals människor använder, till exempel Spotify eller Netflix. Den här utvecklingen kommer att fortsätta och dessutom involvera allt fler svårupptäckta social engineering-moment som riktar sig specifikt mot utvalda måltavlor.

Denna mer riktade variant av nätfiske kallas passande nog Spear phishing, eller spjutfiske, och är som sagt en riktad form av phishing där bedrägliga e-postmeddelanden riktar sig mot specifika organisationer för att få tillgång till specifik information. Taktiken innefattar bland annat att utge sig för att vara andra personer eller organisationer, lockande erbjudanden eller falska säkerhetsvarningar. Målet med spjutfiske och phishing är i slutändan detsamma – att lura måltavlan att öppna en bifogad bilaga eller klicka på en skadlig länk.

Spjutfiske fokuserar vanligen på specifika individer eller anställda inom en organisation och kan inte sällan använda även sociala medier-konton som Twitter, Facebook och LinkedIn för att specifikt anpassa exakta och övertygande e-postmeddelanden. Dessa e-postmeddelanden innehåller bilagor och länkar med skadlig kod. När länken eller bilagan har öppnats och den skadliga koden installerats på en maskin, eller i ett helt nätverk, kan angriparen gå vidare med den riktade attacken. Här handlar det som vanligt om att utbilda alla i organisationen kring hur de ska agera kring bifogade filer och hur de känner igen förfalskade avsändare.

 

Kryptokapningens tid är nu

Som namnet antyder är det alltså en kapning det är fråga om – med hjälp av specialskriven kod som används för att kapa offrets hårdvaruresurser och utnyttja dessa för att bryta digitala kryptovalutor som exempelvis Bitcoin. De vanligaste metoderna som används är att angriparna installerar ett kryptokapningsprogram via skadliga länkar i e-post eller genom att gömma koden i annonser, som på så sätt kan kapa offrens hårdvaruresurser så länge denne stannar på den aktuella webbplatsen där annonsen visas. Till exempel har kryptokapning under det senaste året använts för att infektera Googles annonsnätverk på YouTube. Anledningen är förstås att webbplatser med video borgar för besökare som stannar relativt länge. Vid vissa attacker kombineras också de två metoderna för att maximera effekten.

Kryptokapningar började bli allt vanligare under 2017 och hittills i år verkar trenden tillta kraftigt. Flera säkerhetsföretag menar att även om hotet från ransomware är fortsatt allvarligt, så finns det en hel del som tyder på att det börjar avta till följd av att de cyberkriminella går över till kryptokapning. Anledningen är enkel: stora möjligheter till snabba intäkter utan att behöva förlita sig på offrets betalningsvilja, enkelt att utföra, mycket svåra att upptäcka för offren och än så länge ytterst liten chans att åka dit för det. Säkerhetsföretaget Malwarebytes pekar i sin årliga säkerhetsrapport för 2017 på att man under det gångna året upptäckte och blockerade i snitt 8 miljoner kryptokapningar om dagen. Bara under oktober blockerades 248 kryptokapningsförsök. (Läs gärna Malwarebytes mycket omfattande rapport om kryptokapning.)

Kapningarna som upptäckts den senaste tiden varierar kraftigt i storlek, från några hundra kapade maskiner till miljontals i gigantiska botnät. Många har också inriktat sig på specifika offer som de vet har stora hårdvaruresurser eller som har webbplatser med många samtidiga besökare som stannar länge. Ett av de större upptäckta kryptokapningsnätverken, ADB Miner, använde sig dessutom av samma kod som det beryktade Mirai-nätverket för att skanna av nätet efter oskyddade maskiner och infektera dessa. ADB Miner ska också ha lyckats inrikta sig på Android-baserade enheter, något som andra Mirai-baserade attacker tidigare inte klarade.