Search

Cyberattacker

  1. Sweden
  2. Tjänster
  3. Detektera
  4. Cyberattack

Företag och internetanvändare drabbas dagligen av cyberattacker och hot. Det finns cyberkriminella överallt som utnyttjar våra datorers och servrars sårbarhet för att hitta digitala säkerhetshål. En cyberattacks primära mål är att förstöra och i vissa fall att utpressa personer och företag på pengar. Alla företag och organisationer är potentiella måltavlor för en cyberattack oavsett deras ekonomi och storlek. Det är inte alltid som cyberkriminella utnyttjar data som de får tillgång till, en del vill endast påvisa säkerhetsbrister som finns.

Vad är phishing/nätfiske? Läs hela artikeln på Orange Cyberdefense

Vad är en cyberattack?

En cyberattack eller IT-attack, är när cyberkriminella utnyttjar företag och privatpersoners digitala sårbarheter för att hitta säkerhetshål. Målet är att få tillgång till data, antingen för att förstöra eller utpressa offren på pengar. 

En av cyberattackens särdrag är att den kan vara ett resultat av att ha upptäckts sent och själva attacken uppstod flera månader tidigare. Angriparen kunde gradvis managera sina laddningar och aktivera dem vid rätt tidpunkt (t.ex. under en semester eller under helgen). En av krisorganisationens egenskaper är förmågan att reagera på händelser. De måste kunna genomföra nödåtgärder för att begränsa påverkan, undvika olyckor och adoptera en defensiv hållning. De kan också använda försiktighetsåtgärder för att bevara sina viktiga tillgångar (Active Directory, säkerhetskopior, etc.).

Angriparna kan använda sig av flera olika alternativ för att nå sitt slutgiltiga mål. De är ofta mycket kreativa och hänsynslösa i sin jakt på förstörelse.

Olika typer av cyberattacker

  • Ransomware


Ransomware kan beskrivas som en typ av malware, en del av skadlig kod där data på offrets dator blir låst, vanligtvis genom kryptering, där betalning krävs (lösensumma), för att data ska kunna dekrypteras och offret återigen ska få tillgång till sin data.

Vissa enklare versioner av ransomware kan låsa systemet men en kunnig person kan åtgärda problemet. Andra ransomware använder en mer avancerad malware, en teknik som kallas kryptoviral utpressning (cryptoviral extortion). Det krypterar offrets filer, vilket gör dem otillgängliga och kräver en ransomware för att dekryptera dem. I en korrekt implementerad kryptoviral ransomware-attack är återställning av filerna utan dekrypteringsnyckeln ett svårlöst problem – och svårt att spåra digitala valutor som paysafecard eller Bitcoin och andra kryptokurvor används för ransomware, vilket gör spårning och lagföring av förövarna svårt.

  • Denial-of-service-attack (DDoS)

DDoS är en förkortning för distributed denial of service. En DDoS-attack, överbelastningsattack, innebär att den inkommande trafiken överbelastar måltavlan från många olika källor, attacken leder till att systemet kraschar och är omöjligt att stoppa helt genom att försöka blocka en enda källa. Till skillnad från andra typer av cyberattacker försöker denna typ av angrepp inte bryta mot en säkerhetsomkrets. Snarare leder en attack till att webbplatser och servrar blir otillgängliga för legitima användare. DDoS kan även användas som en distraktion för andra skadliga aktiviteter. 

  • Phishing

Phishing är en form av en cyberattack där vapnet är e-post. Avsändarna är maskerade och målet är att lura e-postmottagaren för att avslöja känslig information eller för att sprida skadlig programvara. Angriparna vill att mottagarna ska tro att meddelandet är något som de vill ha eller behöver som att ladda ner ett dokument, hämta ut varor etc.

Det som utmärker phishing är den form budskapet gestaltar: Angriparen är maskerad till en pålitlig avsändare, ofta en verklig person, eller ett företag som offret anlitat.

Man som krypterar information

Cyberattacker Sverige

I juli 2021 havererade Coops kassasystem. Det var det amerikanska mjukvaruföretaget Kaseya som hade fått sin infrastruktur äventyrats och bad omedelbart ett antal av sina kunder, bland annat Coop, att stänga av sina system. Kaseya meddelade att mellan 800 och 1 000 företag drabbades av attacken globalt. För Coops del innebar detta att butiker behövde stängas under attackperioden då deras kassasystemen hade slutat att fungera.

Attacken, kopplades till den ryska ransomware-gruppen REvil (även kallad Sodinokibi), infiltrerade Kaseyas programvara Virtual Systems Administrator (VSA), utformad för att fjärrstyra en organisations kompletta infrastruktur. REvil är en av de mest produktiva hotaktörsgrupperna, med flest offer under 2021.

Den första inträdet gjordes med hjälp av en "zero day" sårbarhet i Kaseyas VSA-programvara (används för fjärrhantering och kontroll). Detta gjorde det möjligt för angriparna att utföra kommandon på VSA-enheten. Det verkar som om en automatisk uppdatering i VSA användes för att skjuta ut lösenprogramvaran. REvil krävde en lösensumma, ransomware, på 70 miljoner dollar i denna attack från Kaseya och tusentals dollar från enskilda offer.

Det var desto viktigare eftersom attacken gjordes via en pålitlig kanal. Kaseyas kunder är kontrakterade för "managed service providers (MSP)", för att fjärrhantera IT-drift åt organisationer. Detta utökade attacklandskapet avsevärt. Dessutom riktade de angriparna sig direkt på programvara som användes för att skydda kunder från skadliga attacker.

Kaseya startade snabbt en återställningsprocess för att åtgärda problemet i sin VSA. Den 3 juli släppte Kaseya ett kompromissdetekteringsverktyg till sina kunder. Verktyget analyserar användarens system, vare sig det är VSA-server eller managerad klient, endpoint, och avgör om indikatorer på kompromiss (IOC) finns. Hittills har 2 000 kunder laddat ner verktyget. Kaseya släppte även patchar för att fixa sårbarheten i VSA.

Flera veckor efter attacken bekräftade Kaseya att de hade skaffat en dekrypteringsnyckel för att låsa upp hundratals filer som tillhörde attackerade företag. För många kom det för sent eftersom de redan hade satt igång återställningsprocesser för att hämta sina data eller hade betalat lösensumman.

Hur ser utvecklingen av cyberattacker ut i Sverige?

Efter att Ryssland har invaderat Ukraina har även cyberhotet mot Sverige ökat. Enligt Försvarsmakten är cyberhotet det allvarligaste hotet mot Sverige.

I vår senaste säkerhetsrapport, Security Navigator 2023 om är baserad på en ingående analys av totalt 99 506 incidenter, som identifierats och granskats av Orange Cyberdefenses CyberSOC-team (Security Operation Centre).  

Bland resultaten framkommer att det totala antalet incidenter ökat med drygt fem procent från föregående år. I snitt utsattes varje kund för fler än en incident per dag eller 34 incidenter per månad. 40 procent av de konfirmerade incidenterna relaterade till skadlig kod, som därmed utgör den största kategorin av alla incidenter.

Verksamheter tar också fortfarande mycket lång tid på sig att åtgärda identifierade sårbarheteter. I snitt tar det 215 dagar för verksamheter att patcha en rapporterad sårbarhet. Inte ens kritiska sårbarheter prioriteras, utan de tar generellt sett över 6 månader att patcha. När Orange Cyberdefenses team av etiska hackare genomför tester rapporterar de in allvarliga sårbarheter (kategorierna Critical eller High) i nästan hälften av alla uppdrag.

Säkerhetsrapport visar att attacker och hot kommer från alla tänkbara håll, att verksamheter på intet sätt kan slappna av när det gäller cyberhot och att cyber-utpressningar mot företag har utvecklats på ett oroväckande sätt särskilt i Norden, säger Marcus Bengtsson, CTO på Orange Cyberdefense. Resultatet belyser vikten av att arbeta med cybersäkerhet på ett strategiskt och långsiktigt sätt med rätt verktyg och expertis.

Offren för utpressningsattacker har flyttat från Nordamerika till Europa

Rapporten visar också att cyber-utpressning mot företag i allt större utsträckning drabbar företag i Europa, vilket är en påtaglig förflyttning. Den största ökningen av antalet offer för utpressningsattacker är i Norden där offren ökat med 138 procent. Det kan jämföras med en generell ökning i Europa på 18 procent för EU och 21 procent för UK, samtidigt som antalet offer minskat i Nordamerika (-23 procent i Kanada och -8 procent i USA). I Ostasien och Latinamerika har offren ökat med 44 respektive 21 procent.

Turbulens bland cyberkriminella grupper

I rapporten framkommer också att det varit turbulens bland de cyberkriminella grupperna. Bland de tjugo grupper som var vanligast förekommande i undersökningen 2021 saknas totalt 14 grupper från årets tjugo toppnoteringar. Under 2022 har grupperna Lockbit 2 och Lockbit 3 blivit de största utpressningsaktörerna med totalt 900 offer, medan gruppen Conti upplöstes under andra kvartalet 2022.

Kriget i Ukraina

Även kriget i Ukraina påverkar cyberkriminaliteten. Under de första veckorna efter att kriget brutit ut minskade den cyberkriminella aktiviteten mot verksamheter i Polen med 50 procent, troligtvis till följd av att de cyberkriminella blev distraherade av kriget och behövde omgruppera sin verksamhet. Efter bara några veckor var dock aktiviteten tillbaka igen.

 

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.