Utpressningstrojanerna och demokratin

Författare:

|

Datum:

|

I del 2 av vår serie om cybersäkerhet tar vi en titt på det ökande hotet från ransomeware-attacker. Dessa attacker har riktats mot hela nationalstater och har till och med kallats ett hot mot demokratin. Så hur ska vi hantera ransomware? Ska man betala begärda lösensummor?

Trendspaning: Costa Ricas regering drabbas av en aggressiv utpressningsgrupp
Den 24 maj rapporterade irländska Silicon Republic att Costa Ricas regering angripits av utpressningsgruppen Conti sedan mitten av april och utlyste nationellt nödläge den 8 maj. Utpressningsgruppen har påverkat landets utrikeshandel genom att störa landets tull- och skattessystem. President Rodrigo Chaves sade den 16 maj att Costa Rica är ”i krig” med Conti-gruppen.

Cyberattacken mot Costa Ricas regering hade då påverkat 27 myndigheter, varav nio i betydande omfattning. Regeringen varnade statsanställda för att de inte skulle få sin lön utbetalad i tid. Angriparna krävde först 10 miljoner dollar, men höjde senare sitt krav till en lösensumma på 20 miljoner dollar för att avbryta attackerna.

I artikeln står det att ransomware-gruppen Conti hotar med att offentliggöra privat information om medborgare och störta Costa Ricas regering om inte lösensumman betalas. Gruppen hade redan lagt ut 600 GB myndighetsdata på nätet och bad medborgarna att uppmana sin regering att betala lösensumman. Conti hotade med att radera ransomeware-virusets dekrypteringsnycklar om lösensumman inte betalas.

Enligt artikeln har Conti kunnat göra stor skada i Costa Rica. En intervjuad expert, som är vd för cybersäkerhetsplattformen Defense.com, säger att gruppen kunde attackera allt från sjukvård till utrikeshandel. Enligt artikeln bör attacken ses som en påminnelse om hur stor skada en cyberattack kan orsaka.

En annan expert som intervjuades i artikeln som är teknikchef för ett nystartat cybersäkerhetsföretag, sa att gruppens hot om att störta regeringen höjer riskerna med utpressningstrojaner till nya nivåer. Han sade att ransomware-aktörer nu hotar staters suveränitet och åsidosätter den fria viljan hos dessa länders medborgare.

Vissa experter anser att det bästa sättet att hantera cyberattacker som den i Costa Rica är genom en identitetsbaserad strategi. Enligt en ytterligare expert som intervjuades i artikeln är en kombination av identitetsprinciper med säkerhet för dataåtkomst med minsta privilegier nyckeln till att mildra hoten genom att se till att användare eller botar som inte uppfyller de rätta parametrarna blockeras och rapporteras omedelbart.

En ny våg av attacker, denna gång mot Costa Ricas sjukvård
Wired rapporterade den 12 juni 2022 att Costa Ricas socialförsäkringsfond (CCSS) den 31 maj 2022 attackerades av ett nytt ransomware-virus som orsakade stora störningar. Sjukvårdssystem gick offline, skrivare började spotta ur sig rappakalja och patienter drabbades av förseningar i vården. CCSS varnade föräldrar för att de kunde få problem med att hitta sina barn som genomgått en operation. Sjukvården var också tvungen att börja använda föråldrade pappersformulär som inte längre användes. Attacken har tillskrivits ransomware-gruppen Hive som enligt artikeln anses ha vissa kopplingar till Conti. 

Den 3 juni deklarerade CCSS ett ”institutionellt nödläge” enligt artikeln, 759 av 1 500 servrar och 10 400 datorer var drabbade samt 34 677 vårdmöten som sköts upp. CCSS uppgav att sjukhus- och akutmottagningar fungerade normalt, men att vissa tjänster som medicinsk röntgen, apotek, testlaboratorier och operationssalar drabbades av störningar.

Enligt artikeln i Wired finns det tvivel om huruvida de två senaste angreppen av utpressningstrojaner mot Costa Rica är kopplade till varandra. Artikeln antyder dock att ryskkopplade gäng har ändrat sin taktik under de senaste veckorna för att undvika amerikanska sanktioner. Artikeln i Wired tar också upp Contis ransomware-attacker mot Costa Ricas regering där angriparen krävde 20 miljoner dollar som lösensumma, och när ingen betalning gjordes började angriparen ladda upp 672 GB filer till Contis webbplats. Angriparen uppträdde dock mer oförutsägbart och oroväckande än vanligt i och med att angriparen gjorde politiska uttalanden och hotade att störta Costa Ricas regering.

Sergey Shykevich, gruppchef med ansvar för underrättelser om hot på säkerhetsföretaget Check Point, uppger till Wired att han aldrig tidigare hade sett en sådan retorik från cyberkriminella mot någon regering. Han noterade också att Conti hade riktat in sig på Perus finansministerium och underrättelsetjänst ungefär samtidigt som attackerna mot Costa Rica.

Enligt Sergey Shykevich, är den aggressiva tonen mot en regering ett avsteg från normen för cyberkriminella, som vanligtvis drar sig för sådana offentliga framträdanden. Shykevich sade också att Contis beteende har kritiserats i ryskspråkiga hackerforum eftersom inblandning i politiken anses dra onödig uppmärksamhet till cyberkriminella.

I artikeln i Wired kan man vidare läsa att Contis senaste attack mot Costa Rica kan ha varit en skenmanöver. Det amerikanska cybersäkerhetsföretaget AdvIntel har förklarat Contis verksamhet som död och säger att gruppen har börjat avveckla sitt varumärke och sin infrastruktur. Conti har uttryckt sitt stöd för Vladimir Putins krig i Ukraina och har haft svårt att tjäna pengar till följd av detta. Många företag som har att göra med ransomware-gäng vägrar att samarbeta med dem eftersom det skulle bryta mot amerikanska sanktioner. Dessutom vill vissa företag inte förknippas med terrorism.

Flera veckor efter Conti-attacken mot Costa Rica säger AdVIntels vd Vitali Kremez att Conti’s  tjänster fortfarande är otillgängliga, rapporterar Wired. Conti-attacken var bara en täckmantel för att få ett nytt namn och använda andra typer av utpressningstrojaner, men Check Points Sergey Shykevich säger att dess senaste offentliga framträdande har efterlämnat ett bestående arv – det har visat andra cyberkriminella att det faktiskt går att bedriva utpressning gentemot nationalstater.

Borde man betala lösensumman?
Threatpost skrev den 8 juni 2022 att en ny rapport från Cybereason visar att offer för utpressningstrojaner som betalar lösensumman ofta attackeras igen, ibland till och med av samma angripare. Av de tillfrågade uppgav 68 procent att de drabbades en andra gång inom samma månad som den första attacken. Dessutom rapporterade 48 procent av dem som betalade en lösensumma att de blivit hackade två gånger av samma angripare. Än värre är att angriparna vid en andra attack ofta krävde ett ännu högre belopp för lösensumman.

Enligt artikeln i Threatpost avråder de amerikanska myndigheterna FBI och Cybersecurity and Infrastructure Security Agency (CISA) från att betala lösensummor till kriminella aktörer. Men det händer ändå, Cybereason har upptäckt att även när lösensumman betalas kan saker och ting ändå gå fel. Till exempel kanske angriparna inte håller sitt löfte om att dekryptera och återställa data, data kan bli skadade under dekrypteringsprocessen eller så kan det vara brottsligt att betala lösensumman. Att betala lösensumman uppmuntrar dessutom angriparna att rikta in sig på samma offer igen.

Försvarsmakten och Integritetsskyddsmyndigheten påtalar behovet av ökad säkerhet
Den 17 mars 2022 gjorde Försvarsmakten ett uttalande om att cyberattacker nu är det största hotet.  Försvarsmakten uppmanar alla organisationer och företag att se över sitt säkerhetsskydd mot cyberattacker som blir allt vanligare. Detta gäller alla organisationer, inte bara de med verksamhetskritiska funktioner.

– Cyberhotet påverkar hela samhället. Även privatpersoner bör se över sitt skydd. Här kan alla vara med och bidra på sitt sätt. Säger kommendör Jan Kinnander, chef för säkerhetskontoret vid Militära underrättelsetjänsten (Must).

Integritetsskyddsmyndigheten (IMY) har också i ett pressmeddelande uppmanat organisationer att se över sina rutiner för cyber- och informationssäkerhet på grund av den förändrade säkerhetsmiljön. Detta följer på ett ökat fokus på olika typer av cyberattacker. IMY påminner företagen om deras ansvar för att garantera säkerheten för deras databehandlingar. Enligt IMY är informationssäkerheten avgörande för att skydda personuppgifter och organisationer måste vidta åtgärder för att på bästa sätt uppfylla kraven i GDPR.

Varför privatpersoner ska bry sig om sin cybersäkerhet
De flesta använder förmodligen datorn för allt från internetbankärenden till att hålla kontakten med vänner och familj på sociala medier. Men visste du att din dator eller enhet utan din vetskap kan användas för att sprida desinformation eller attackera samhällsviktiga IT-system?

Det beror på att din enhet kan vara en del av ett botnät. Ett botnät är en armé av infekterade datorer eller enheter som kontrolleras av en cyberkriminell. När en enhet ingår i ett botnät kan angriparen använda den för att inleda attacker mot andra IT-system, sprida skadlig kod eller skicka skräppost. Vilka skador ett botnät kan orsaka beror på angriparens avsikt.

Har du någonsin funderat på varifrån hackare får resurser för att genomföra omfattande it-angrepp?Det är inte precis så att 10 miljoner individuella ondskefulla hackare från hela världen med varsin dator bokat in en gemensam dag och tid för ett samordnat plundrarparty över Zoom. Hackarna använder sig av botnät – eller arméer av enheter (som ditt uppkopplade kylskåp eller företagets övervakningskamera) som har infekterats med ett skadligt program som kan fjärrstyras utan att ägarna vet om det. Illasinnade aktörer använder sig av miljontals datorer och enheter runt om i världen. Deras tentakler når ut till alla hörn av Internet så att de med kraft kan genomföra sina attacker.

Du kanske inte inser att din dator är en del av ett botnät förrän dina vänner klagar på att du skickat skräppost eller skadlig e-post till dem, eller när din dator eller internetuppkoppling blir långsammare.

ZDNET rapporterade den 19 maj 2022 att ett ryskt botnät som tidigare var känt för att användas för DDoS-attacker efter ytterligare analys också visade sig vara ett propagandainstrument. I artikeln rapporterades att cybersäkerhetsföretaget Nisos publicerade en rapport där det hävdades att en underleverantör till den ryska underrättelsetjänsten har ett botnät som kan manipulera sociala medier i stor skala.

I artikeln kan man läsa att Nisos konstaterade att det verkliga syftet med Fronton-botnätet kan vara desinformation och snabb, automatiserad spridning av propaganda. Med SANA, en webbaserad instrumentpanel som levereras med programvaran, kan du hantera din armé av fejkade konton i sociala medier och skapa beteendemodeller för botarna så att de kan uppträda som mänskliga användare. Du kan definiera responsmodeller för att instruera robotarna om hur de ska reagera på meddelanden och innehåll, det är också möjligt att övervaka trender.

SANA är ett kraftfullt verktyg som låter användaren skapa falska konton på sociala medier och distribuera innehåll på sociala medier, forum, bloggar med mera. Med SANA kan du enkelt skapa trovärdiga falska personer och rikta ditt budskap till specifika målgrupper. Med verktyget kan du skapa robotar som gillar, kommenterar och svarar på inlägg. Du kan även använda verktyget för att schemalägga inlägg och svar och bestämma hur många ”vänner” ett falskt konto ska ha.

Avslutning
På Nordic Privacy Arena 2021 diskuterade en panel med säkerhetsexperter det nya hotlandskapet. Bland annat diskuterades det om alla organisationer nu måste vara sina ha egna cybersoldater, vilket ansågs vara väldigt ineffektivt. Nu verkar det dock som att panelens önskan om mer stöd från regeringen till privat sektor kommer att uppfyllas.

Regeringen har enligt Computer Sweden beslutat att Försvarets radioanstalt (FRA) från och med den 1 juli kan erbjuda hjälp med informationssäkerhet och cyberhot till privata företag, föreningar och stiftelser. Detta är en förändring jämfört med tidigare då FRA endast kunde stödja myndigheter och statliga företag.

Läs mer :

Artikel i Irländska mediet Silicon Republic, 24 maj 2022:

Artikel i Wired 12 juni 2022

Threatpost artikel 8 juni 2022

Försvarsmaktens uttalande den 17 mars 2022

Integritetsskyddsmyndigheten nyhetsartikel den 29 mars 2022

Artikel 19e maj 2022 i ZDNET om botnätet Froton

Computer Swedens artikel den 3 juni 2022 om FRAs utökade uppdrag att stötta privat sektor