Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
I går afslørede IT-sikkerhedsvirksomheden Check Point detaljer om identiteten på en hacker, der har stået bag det, der ved første øjekast lignede en række statsfinansierede cyberangreb. Angrebene var målrettet over 4000 internationale virksomheder, hvoraf mange er førende indenfor deres industri. Heraf var tre danske virksomheder inden for fremstilling, elektronik og arkitektur også i skudlinjen.
Bølgen af de globale angreb startede i april 2017, og det globale omfang af kampagnen og typen af de ramte organisationer tydede på, at det var en velorganiseret gruppe af IT-kriminelle eller en statsfinansieret enhed, der stod bag. Efter Check Points hold af efterforskere har undersøgt angrebene, viser det sig dog, at de er foretaget af blot én enkelt nigeriansk statsborger i midten af tyverne bosiddende nær landet hovedstad. På hans personlige Facebook-profil brugte han mottoet: ’get rich or die trying’.
Angrebene bestod af falske e-mails, som lignede originale mails fra olie- og gasgiganten Saudi Aramco, verdens anden største olieproducent. E-mailene var målrettede finansielle medarbejdere, som bagmanden forsøgte at narre til at afsløre virksomhedernes bankinformationer eller åbne inficerede filer med ondsindet kode. Bagmanden havde succes med at inficere virksomheder i 14 tilfælde, hvilket har indbragt ham tusindvis af dollars. Der er dog ingen tegn på, at nogen af disse ofre var danske.
”Selvom denne person benytter sig af dårlige phishing e-mails og generisk malware, som er nemt at finde online, har han stadig været i stand til at inficere adskillige organisationer og angribe tusinder af virksomheder verden over. Det beviser, hvor nemt det er for en relativ utrænet hacker at starte en storstilet malwarekampagne, som er i stand til at bryde igennem selv store virksomheders cyberforsvar, og give de IT-kriminelle adgang til at begå bedrageri,” siger Maya Horowitz, Threat Intelligence Group Manager for Check Point.
Falske e-mails og svindel er guldgrube for IT-kriminelle
Hackeren benyttede sig af to typer af malware under navnene NetWire og Hawkeye. NetWire er en fjernstyret trojansk hest, der giver fuld kontrol over den inficerede enhed, mens Hawkeye er et keylogging program, som registrerer offerets anslag på computeren.
”Dette eksempel understreger nødvendigheden af, at organisationer forbedrer deres sikkerhed og beskytter sig mod phishing, svindelnumre via forretningsmails, og samtidig lærer medarbejdere at være forsigtige, når de åbner e-mails, selv når det er fra virksomheder og personer, som de tror, de kender.”
Efter afdækningen af angrebene og deres oprindelse har Check Points forskningsteam informeret nigerianske og internationale myndigheder og delt deres fund.
Antallet af denne type af sager, hvor IT-kriminelle benytter sig af såkaldt CEO-fraud og svindel med forretningsmails, er steget dramatisk over den seneste tid. Således meddelte Forsvarets Efterretningstjeneste, at danske virksomheder havde mistet mindst 180 millioner kroner på ’direktør-svindel’ i andet halvår af 2016, mens FBI har rapporteret en stigning på 270 % i antallet af ofre for svindel med forretningsmails siden starten af 2016. Globalt har disse angreb kostet organisationer over tre milliarder dollars i perioden fra 2013 til 2016, hvor ofrene i snit mister 50.000 dollars per angreb (ca. 315.000 tusinde kroner).
Læs mere om angrebene og metoderne bag på Check Points blog.
