Artikel top billede

(Foto: Computerworld)

De værste sikkerhedstrusler lige nu

Kriminelle har i årevis truet computerbrugere og virksomheders infrastruktur, men sikkehedsbilledet forandrer sig hele tiden. Vi ser her på det generelle trusselsbillede midt i det nye årtis første årstal.

Af Palle Vibe, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Cyberforbrydelser, trusler og angreb er af det onde, kan de fleste nok blive enige om. Men der er stor forskel på, om du er erhvervsdrivende eller privatperson. Mens angreb mod private generelt er lidt tilfældige og sjældent er rettet mod nogen bestemt, går mange cyberkriminelle i dag direkte og målrettet mod nøje udvalgte virksomheder og institutioner.

Derfor er det også vidt forskelligt, hvilke cybertrusler, du kan regne for de største og værste her i starten af det nye årti. Men et er sikkert: Truslerne forandrer sig hele tiden, og der tegner sig hele tiden et lidt anderledes billede. Vi tager her et kig på den helt aktuelle situation.

Gamle metoder virker ikke

”Der er en rød tråd,” mener sikkerhedsekspert Leif Jensen fra antivirusproducenten Eset. ”Den helt overvejende grund til, at vi overhovedet bliver truet af cyberkriminelle, er vores generelle holdning og adfærd. Meget tyder på, at vi ikke tager faren så alvorligt, som vi burde.

Teknologien til at beskytte os findes og er effektiv mod langt de fleste cybertrusler, men der er en tendens blandt alle os brugere af antivirussoftware til blot at forny det eller de programmer, vi valgte for 10 år siden uden at stille spørgsmålstegn ved, om disse programmer rent faktisk også er så effektive og velfungerende over for dagens og morgendagens cybertrusler i dag, som de måske var i går,” pointerer Leif Jensen.

For 10 år siden var markedet domineret af Symantic og McAfee, men i dag omtaler eksempelvis markedsundersøgelser fra it-konsulentvirksomheden Gartner helt nye og anderledes typer af antivirussoftware, og det samme gør sig gældende, hvis du kikker på test for antivirussoftware til private forbrugere som blandt andet AV Comparatives og AV Test,” påpeger Leif Jensen.

”Det er værd at huske, at dagens aktuelle trusler og angreb i modsætning til tidligere ustandseligt ændrer form og adfærd, og at det derfor ikke længere er nok, at et antivirus-program udelukkende kikker på programme-ringsmønstre og sammenholder disse med de filer og domæner, der allerede kendes som skadelige, og som ligger i virusprogrammets database,” uddyber han.

”I stedet er det nødvendigt, at den antivirus-teknologi, vi som computerbrugere skal be-nytte i dag, aktivt kortlægger og analyserer angrebets adfærd og opførsel, og det kræver software, der hele tiden er et skridt foran truslerne. For selv om et snedigt angreb får sneget sig gennem en første hurtig scanning, afprøver moderne antivirusprogrammer gerne i et lukket og sikkert miljø (en såkaldt ”sandkasse”, red.), hvor truslen kan iagttages og testes frit og uden risiko, og hvor det ikke gør så meget, at det lille og tilsyneladende uskyldige angrebsprogram pludselig afslører sig som ren ransomware og giver sig til at kryptere alt indhold på din harddisk eller alle filer gemt i et netværksdrev undervejs. For det vil ikke have nået at gøre skade.”

Den personlige trussel

Bitcoin er stadig svindlernes foretrukne valuta.

Hackerangreb kan også ramme enkeltpersoner og består for størstedelens vedkommende af phishingmails, der forsøger at fralokke modtageren login-oplysninger, kreditkortinformationer eller andre følsomme og personlige data.

Til forskel fra angreb på virksomheder og institutioner er cyberangreb mod private dog sjældent rettet mod nogen bestemt. Tværtimod ønsker de cyberkriminelle her at ramme så bredt som muligt for at håbe på gevinst. Angrebstypen som sådan startede med de velkendte naive Nigeria-mails, hvor en ukendt person søgte at få hjælp til at få overført nogle penge, som den godtroende modtager så måtte beholde nogle af som tak for hjælpen.

Men over tid er disse mailangreb i både indhold og karakter blevet nøje tilpasset modtagerlandet. Det har for Danmark betydet, at du nu kan modtage overbevisende mails fra Postnord, større teleselskaber eller på det seneste ikke mindst fra den store nordiske udbyder af betalings-, kort- og informationsservices Nets A/S. Komplet med logo, tilforladelig afsenderadresse og et gerne rimeligt korrekt dansk.

I december 2019 berettede Nets, at firmaet havde blokeret for ikke mindre end 22.000 forsøg på at franarre danskere kreditkortoplysninger via sms eller e-mail. Og når 22.000 danskere på trods af mange advarsler i medier og fra myndigheder alligevel ryger i fælden, så vidner det om, at den slags angreb udgør en stor trussel, som bør tages alvorligt.

Fra sundhedsstyrelsen

På det seneste er der også dukket en hel del Corona-relaterede phishingmails op i form af mails fra ”Sundhedsstyrelsen” eller andet af samme karakter. Mange foregiver også at være fra investeringsrådgivere, der vil tilbyde dig hjælp til at redde din pension eller opsparing i krisetider. Netop under sådanne omstændigheder vil mange være mindre agtpågivende.

Som privatperson er du dog i reglen fornuftigt dækket ind, hvis du blot har sørget for backup, hvorfra du vil kunne genskabe dine filer, ligesom din bank i mange tilfælde vil kunne holde dig skadesløs. Kriminelle kan finde på at opkræve en løsesum (som oftest i kryptovalutaen bitcoin), men du skal vælge ikke at betale, og i mange tilfælde får du heller ikke ret meget ud af det, hvis du gør.

De værste angreb

Leif Jensen forklarer, at der er forskel på, hvilke typer af cyberangreb der bruges mod virksomheder og private.

”Når det gælder ransomwareangreb mod erhvervsvirksomheder er de tre største offentlig kendte cybertrusler formentlig WannaCry, Petya, Notpetya og den ret nye trojanske virus Ryuk. Deres farlighed har de ikke efterladt nogen tvivl om, men hvor de kommer fra, er sværere at sige, da det næsten er umuligt at spore dem tilbage til noget oprindelsessted endsige nogen navngivet person. Godt nok kan det her indskydes, at eksempelvis Ryuk ransomware er blevet sporet tilbage til to personer, der optræder under dæknavnene Wizard Spider og CryptoTech, men det bliver de fleste jo ikke klogere af.”

Petya er en af de trusler, som har plaget mange virksomheder.

”Der har været utallige teorier om, hvor det navnkundige og lige så modbydelige Wanna-Cry angreb blev udsendt fra,” fortsætter Leif Jensen.

”Og der er blevet peget på alt fra simple skrivebordskriminelle til direkte statsfinansierede eksperthackere. Men hverken det ene eller det andet er blevet bekræftet eller blot sandsynliggjort. Grundig efterforskning forudsætter politiarbejde på tværs af alle landegrænser, og selv om både Interpol og Europol hver for sig og sammen har gjort en kæmpe indsats for at optrevle cyberkriminelle grupper, har det sjældent ført til konkrete resultater.”

Danske virksomheder har været hårdt ramt af angreb de senere år – se boksen på næste side. I udlandet har vi også set store og alvorlige cyberangreb. Nogle læsere husker måske også den berygtede Stuxnet Worm, der viste sig i sommeren 2010, men antages at have været under udvikling siden 2005.

Danske ledere frygter mere nu

De danske direktører er mere bekymrede for it-sikkerheden end deres udenlandske kolleger. (kilde PWC)

Hvilke trusler frygter de danske virksomheder allermest?
Revisions- og konsulentfirmaet Price-waterhouseCoopers (PWC) udarbejdede først i marts et CEO Survey, der viser, at knap 9 ud af 10 danske virksomhedsledere bekymrer sig om cybertrusler. Faktisk betragter 88 procent af de danske topledere cybertrusler som en både nærværende og væsentlig bekymring.

Cybertrusler rangerer med andre ord tårnhøjt over de øverste danske topchefers bekymringer, og frygten er langt større, end den var i en undersøgelse for blot fem år siden. I 2017 var det 51 procent af toplederne, der anså cyberangreb for at være en seriøs trussel mod deres firma, mens det i 2019 lå på 85 procent, og her i 2020 topper med hele 88 procent.

Cyberangreb vinder dermed i 2020 med flere længder over handelskonflikter (76 procent), usikker økonomisk vækst (74 procent) og manglende kompetent arbejdskraft (74 procent). Bemærk dog, at undersøgelsen er foretaget, før coronakrisen blev en økonomisk realitet.

Stuxnet var en lille 500 kB computerorm, der infiltrerede talrige computersystemer, men nok mest har skrevet sig ind i historien ved at infiltrere næsten hele Irans atomprogram gennem en uhyggeligt snedig trin for trin-metode, hvor ormen først inficerede, dernæst reproducerede sig og til sidst skjulte alle spor efter sig. På den måde ødelagde Stuxnet ikke bare en femtedel af Irans anlæg for uranberigelse, men også 200.000 computere verden over.

I december 2015 blev et ukrainsk kraftværk offer for et cyberangreb, der satte tre energidistributører ud af spillet og afbrød midlertidigt strømforsyningen til et utal af elkunder i landet. Og i 2017 blev NHS (National Health Service) i England næsten lagt ned af et WannaCry-anslag, der ramte 200.000 hospitalssystemer. De engelske hospitaler måtte aflyse mere end 19.000 behandlinger, og alene udgifterne til genoprettelse løb op i 620 millioner kr.

Der er desværre ingen tegn på, at de cyberkriminelle vil holde våbenhvile. SiliconValley-firmaet SonicWall, der blandt andet udvikler firewalls, har via deres verdensomspændende kontaktnet konstateret hen ved 187,8 millioner ransomwareangreb i 2019.

Når kriminelle i alle de nævnte tilfælde har benyttet sig af ransomware, er det fordi, det er en effektiv model (set fra deres synspunkt). Måden angrebet effektueres på, er (ud over ”Supply Chain-angreb” af den type, Maersk blev udsat for i 2017), meget ofte ”phishing-mails”, der under dække af at komme fra offentlige myndigheder, ledere i firmaet eller andre troværdige afsendere narrer umistænksomme medarbejdere til at svare på nogle spørgsmål om virksomhedens forretningsgang eller udføre bestemte handlinger såsom pengeoverførsler og lignende.

En anden meget anvendt angrebsform de seneste år er de såkaldte ”CEO frauds” – på dansk: direktørsvindel. De optræder i form af mails, der angiveligt er afsendt fra et firmas direktør (CEO) til en underordnet med anmodning om at overføre en pengesum eller tjekke oplysninger mv.

Dette vil typisk især ske i situationer, hvor firmaet måske ligger en smule underdrejet som i ferieperioderne eller for den sags skyld under en coronakrise. Hvis hackeren bare kender direktørens navn, er det relativ let at skabe sådanne mails, og de kriminelle udnytter de ansattes ønske om at gøre det godt på arbejdet, og der er desværre ingen it-sikkerhedsprodukter, der beskytter mod velvilje.

Danmark er et af de lande i verden, der er mest udsat for CEO-fraud angreb, og politiets center for it-relateret økonomisk kriminalitet LCIK modtager dagligt anmeldelser.

Kostbare danske angreb

Der har været voldsomme og spektakulære sikkerhedsangreb på store, danske virksomheder de senere år. I sommeren 2017 blev A.P. Møller-Maersk ramt af et Notpeteya-angreb af den type, der kaldes ”Supply Chain-angreb”. Koncernen blev inficeret via en officiel opdatering til det økonomisystem, som virksomheden brugte til at indberette data til myndigheder i deres afdeling i Ukraine.

Virussen var på ondsindet vis lagt ind i dette økonomisystems opdateringssoftware og var på den måde uden for generel mistanke. A.P. Møller- Mærsk vurderede i sit halvårsregnskab, at hackerangrebet ville koste selskabet op til 1,8 milliarder kr.

Sidste år blev den danske virksomhed for høreapparater Demant, der ikke mindst kendes som leverandør af Oticon-produkter og en af verdens førende på området, angrebet af ukendte cyberkriminelle, der inficerede koncernens it-systemer. Angrebet fik umådelige konsekvenser for virksomheden og udgifterne til genetablering, tabt fortjeneste mv. løb op i mellem 550 og 650 millioner kroner.

Så sent som i februar i år blev det dansk baserede internationale servicefirma ISS, der har afdelinger i over 60 lande og 500.000 medarbejdere, udsat for et ransomwareangreb, der indtil videre angives at have kostet selskabet op imod en halv milliard kr.

Chef-svindel for millioner

Finans Danmark, der er er interesseorganisation for danske banker, realkredit, kapitalforvaltning, værdipapirhandel og investeringsfonde, vurderer, at CEO-frauds alene i første halvår af 2019 har kostet danske virksomheder op mod 120 millioner kr., og denne type angreb må regnes for en af de største, økonomikritiske nettrusler lige nu. Til forskel fra andre svindeltyper rammer CEO-frauds alle typer af erhvervsdrivende – fra multinationale selskaber over offentlige institutioner (for eksempel Roskilde Stift i 2019) til blikkenslagere og den lokale svømmehal.

Situationen er endvidere blevet ekstra skærpet, efterhånden som mange arbejder mere og mere hjemmefra. For så kan du nemlig risikere at modtage disse forretnings-scams på din egen computer, som du ellers har modtaget på din firmacomputer på dit arbejde. Hjemme er dit computerudstyr formentlig ikke i samme grad overvåget og beskyttet som i et stort firma med egen it-afdeling.

DK Hostmaster har som modspil indledt et aktivt samarbejde med Rigspolitiet for blandt andet at assistere ordensmagten med at opspore nye mistænkelige domænenavne mv. Det giver ifølge Rigspolitiet selv forbedrede muligheder for at gribe væsentlig hurtigere ind over for hjemmesider, der kun synes at være skabt med det formål at bedrage.