Pas på dig selv, dine pårørende og dit land

De kriminelle holder ikke igen bare fordi det er ferietid – tværtimod!

Man kan ved alle højtider, spore hackeraktiviteter på netværk, men også overfor private brugere. Det er en periode med lav bemanding og hvor mange private og ansatte,-har paraderne nede og er mindre opmærksomme. Det gælder overalt i samfundet- også i den offentlige forvaltning og det er netop den manglende opmærksomhed, der både kan ramme cybersikkerhed, men så sandelig også privacy. Det kan i disse tider med uro og krig i flere lande hurtigt blive katastrofalt for Danmark og vores infrastruktur og vi har alle et ansvar for at styrke vores modstandsevne.

”Jamen de må gerne få mine data”
Kriminelle bruger din arrogance eller ligegyldighed, som en angrebsvektor,- du bliver det letteste springbræt videre ind til dine egne data,- dine pårørendes data eller til virksomhedens data. Nedenfor kan du læse lidt mere om hvilke metoder der anvendes ved angreb.
Det kan således ende med at koste dyrt,- måske ikke for dig, men for andre du holder af eller har pligt til at beskytte. Men det kan også ramme vores kritiske infrastruktur, for vi er alle forbundet digitalt,- ikke en til en, men gennem flere led, nogen kender nogen der kender nogen- der har en vigtig betydning for samfundssikkerheden og der skal kun få svage led til at bryde en stærk kæde. Så vis samfundsånd og lad os løfte i flok.

Data og adgange til salg
Kriminelle udnytter ikke altid de adgange eller sårbarheder de finder, men sætter dem til salg på Darkweb. Nogle gange til overraskende lave priser. Derfor er det blevet ligeså let at tilegne sig adgange til netværk på Darkweb, som det er at finde en brugt tallerken på kræmmermarkedet.
Nogle gange er det stater, som selv bryder ind og andre gange handler disse stater med kriminelle, for at tilegne sig adgange til driftssystemer, fortrolige data eller særlige rettigheder hos virksomheder eller personer.

Komplekse angreb
Det der gør vilkårene vanskelige, er kompleksiteten i hvordan et angreb foregår.
Typisk benyttes flere teknikker i rækkefølge eller parallelt:

1. Rekognoscering
Angriberen indsamler information om målet:

Offentligt tilgængelige data (fra sociale medier, hjemmesider, jobopslag, også fra relationer med åbne profiler)
Netværksinfrastruktur og softwareversioner
E-mailadresser, telefonnumre og kontaktpersoner
Via social engineering (hvor man narrer personer til at oplyse informationer)

2. Angriberens indtrængning – den initielle fase
Angriberen forsøger at få adgang til systemet, ofte via:

Svage passwords og passwords som nemt kan gættes og som genbruges flere steder af brugeren eller endda deles mellem flere brugere.
Falske regninger, der udgiver sig for at være fra den vanlige samarbejdspartner eller leverandør, men hvor kontonummeret er blevet ændret.
Phishing (forsøger at snyde brugere til at klikke på links, åbne vedhæftede filer og indtaste kontonumre, passwords m.m. på falske portaler)
Deepfake (videoer der efterligner/ impersonificerer en myndighedsperson, en kollega eller f.eks. et familiemedlem, for at virke mere overbevisende. Målet er at franarre oplysninger/data, adgange til netværk eller penge.
Voice cloning (stemmeefterligning af myndighedsperson, en kollega eller f.eks. et familiemedlem, for at virke mere overbevisende- ofte anvendes Voice cloning også på Deepfake) Målet er at franarre oplysninger/data, adgange til netværk eller penge.
Exploits udnytter angrebsvinkler via sårbarheder i software, hvor angribere kan gemme deres egen ondsindede kode.
Supply chain angreb – angreb via en forsyningskæde/ tredjepartsleverandører, som brugeren har tillid til. Det kan f.eks. være software leveret via en cloudplatform eller som en applikation på ens telefon. Mange glemmer at opdatere/patche softwaret på deres telefoner.
Brute force -altså ved at gætte password eller ved anvendelse af stjålne loginoplysninger- denne metode er dog for nedadgående grundet ovenstående nyere teknologiske muligheder
Fysisk adgang – hvor man den kriminelle vil udgive sig for at være fra f.eks. en samarbejdspartner, vand- el- eller telefonselskab. Der vil i de tilfælde forsøges at opnå tilgang til informationer. Skraldespande og containere kan gennemsøges og der kan indsættes udstyr til opsamling af kommunikation og datatrafik.

3. Angriberens etablering af forankring/fodfæste
Når login adgang er opnået, installeres ofte:

Malware (f.eks. spyware, keyloggere, trojanere eller ”bagdøre”)
Remote Access Tools (RATs) etableres derefter for at bevare adgangen så længe angriberen har brug for det.

4. Intern afdækning/opdagelse og efterretning hvor rettigheder også eleveres
Angriberen kortlægger netværket og forsøger at:

Eskalere privilegier (få administratorrettigheder)
Bevæge sig til andre systemer (det man kalder ”lateral movement”)
Indsamle følsomme data

5. Dataeksfiltration eller sabotage
Afhængigt af målet:

Stjæles data og sendes ud af netværket til den kriminelle
Krypteres data og udleveres kun mod betaling (ransomware) Nogle gange udnytter de kriminelle, de samme data til opkrævning først for frigivelse/dekryptering (de kriminelle gemmer en kopi af data) for sidenhen at kræve betaling for ikke at lække privacy relaterede data, som vil resultere i f.eks. GDPR bøder.
Sabotage eller manipulation af systemer,- dette sker typisk grundet politiske motivationer, som krigshandlinger (cyberwar) eller f.eks. udkonkurrering.
Vigtig og kritisk infrastruktur er det vi skal være allermest opmærksomme på at beskytte. Desværre er en del af den kritiske infrastruktur lagt på små entiteter, med få ressourcer, kapabiliteter og økonomi og det gør dem til lette angrebsmål.

6. Dækning af spor/indikatorer for angreb
Derfor bliver de ikke altid afsløret – Angriberen forsøger at skjule sin tilstedeværelse:

Ved at slette logs
Fjerne malware efter at det har løst sit formål
Ved at bruge stealth-teknikker (f.eks. rootkits) som er en måde at integrere i legitim aktivitet, udnytte betroede værktøjer (som PowerShell eller WMI) og efterligne normal adfærd, for at undgå at udløse alarmer.

7. Eksempler på avancerede angreb
Vi ser i stigende grad angreb som disse:

APT (Advanced Persistent Threats): Langvarige, målrettede angreb ofte udført af statsstøttede grupper.
Supply Chain Attacks: Angreb via tredjepartsleverandører (f.eks. Oracle, SolarWinds og senest Ingram Micro).
Zero-Day Exploits: Udnyttelse af sårbarheder, som endnu ikke er kendt af andre end angriberne.
Deepfake/Voice cloning – angreb der benytter disse metoder er i stærk vækst og de vanskeligste at opdage.

8. Husk grundlæggende cybersikkerhedshygiejne

Træn jeres opmærksomhed på mistænkelige forhold eller adfærd, – det der falder ud af reglerne, politikker eller normalen.
Vær ekstra opmærksom og skeptisk i ferieperioderne, uanset om man er almindelig bruger eller netværksadministrator. Dobbeltcheck henvendelsers ægthed.
Opdater software og systemer regelmæssigt (patch management)
Brug stærke, unikke adgangskoder og multi-faktor-autentificering (MFA)
Begræns administratorrettigheder til det absolut nødvendige og ikke flere brugere med samme password til samme system.
Segmentér netværket for at begrænse spredning.