BROTTEN MOT FÖRETAGEN

Så byggs hackar-arméerna upp – tipsen som skyddar dig

Säkerhetsexperten Martin Lindgren varnar för en massiv uppbyggnad av hackarorganisationer som kan slå till mot svenska företag. Risken har ökat betydligt med kriget. Nu ger han konkreta tips om hur företagare kan skydda sig mot attackerna.

Flera bedömare har under Ukrainakriget varnat för ökad cyberbrottslighet. Även Martin Lindgren, som är Sverigechef för it-säkerhetsföretaget WithSecure ser en ökad aktivitet.

Han märker också att kunderna efterfrågar mer hjälp:

– Vi får allt fler förfrågningar. Intresset fanns redan innan, men det har eskalerat till en högre nivå. Nu är det inte bara it-arkitekter på bolagen som vill ha information. Nu går det hela vägen till ledningsnivå som vill ha en brief om nuläget, säger han.

– Rent statistiskt ser vi också att aktiviteten ökar från de cyberkriminella.

Vanligast är trojaner och phishingattacker, det vill säga att brottslingar fiskar efter personlig och känslig information som lösenord för att exempelvis kunna ta över mejlkonton eller kortnummer. Det kan göras genom så kallade keyloggers, vilket innebär att hackarna spelar in när du gör tangenttryckningar.

Mindre uppmärksammat är virus som nästlar sig in via mobiltelefoner. Ofta får mottagaren ett sms som man tror är från DHL eller Posten. När man klickar på länken uppmanas man att ladda ned en app.

– Vi ser en stor ökning på mobilsidan. Det blåser kalla ryska vindar, säger Martin Lindgren.

Det skulle krävas en artikelserie för att lista all alla sabotageprogram som finns. Men gemensamt för de flesta varianter som idag infekterar företagens system är att de inte är så lätta att upptäcka.

För tio år sedan var det väldigt tydligt vad som hände när viruset slank förbi brandväggen, till exempel kunde en pop-up dyka upp på datorskärmen. Många minns säkert viruset som ledde till att en porr-popup spred sig världen över.

Detta gäller förstås inte alla varianter, som ransomware, eller utpressningsprogram, vars syfte är utpressning, ofta genom att ta filer som gisslan via kryptering. Det märker den som drabbas med en gång.

Men de ”osynliga” varianterna är lömska och det är desto svårare att upptäcka attacken.

– 90 procent av alla attacker börjar med ett mejl. Det kanske inte handlar om enkla spam utan om spoofade mejl, eller övertagna Microsoft 365-konton. Hackarna får ofta access till kalendrar, vilket gör att de vet vilka möten du har haft. De vet också hur du formulerar dig i ett mejl och när det är rimligt att du får ett mejl, säger Martin Lindgren (spoofade mejl innebär att e-postdomänen förfalskas så att det ser ut som att mejlet kommer ifrån en trovärdig avsändare).

När mejlet kommer från bedragaren är det med andra ord oerhört lätt att bli lurad. Uppmaningen att uppge ett nytt konto för löneutbetalningen kan te sig som fullt rimlig om mejlet ser ut att komma ifrån en kollega internt.

Dessutom är de flesta yrkesroller i dagens organisationer beroende av att skicka filer och länkar i mejl. Det betyder att man, hur försiktig man än är, kan luras att klicka på en länk som aktiverar viruset.

En helt ny profession

Precis som många andra säkerhetsexperter så pekar Martin Lindgren på hur svårt det är att veta attackernas ursprung. Vid en phising-attack kan det se ut som om att den som mejlar kommer från till exempel en Microsoft 365-miljö, det vill säga från en server som till exempel är placerad i USA, men analyserar man den skadliga koden så kan den innehålla exempelvis ryska ord. Med andra ord, de cyberkriminella kan ha sitt ursprung i Ryssland, men döljer det väl.

– De är inte dumma, hackarna. De har både hängslen och livrem för att dölja sin identitet, säger Martin Lindgren.

Han målar upp bilden av en ljusskygg industri som har växt fram det senaste decenniet, där de brottsliga organisationerna arbetar med sofistikerade metoder och har stöd i en egen HR-avdelning.

Dessutom säljer de tjänster till andra kriminella organisationer. De paketerar erbjudanden, som ”10 000 e-postkonton hos ett företag för 5 000 dollar”, eller ”en riktad ransomware-attack mot 40 svenska mindre börsnoterade bolag för 100 000 dollar”.

Cyberbrottslingarna tar sedan en procent av utpressningssiffran. Det är en helt egen ekonomi, en slags outsourcad kriminalitet, menar Martin Lindgren.

En av de mest ökända ransomware-grupperna heter Conti, vars interna chattloggar har läckts av ukrainska forskare. Loggarna avslöjar en obehaglig värld för en utomstående betraktare.

– I loggarna ser man hur hackarna pratar internt med varandra. Det handlar om hundratals utvecklare som skriver ny skadlig kod, andra grupper som testar och administrerar eller är specialister på utpressning, säger Martin Lindgren som menar att om dessa vinstmaskiner hade verkat i ett seriöst sammanhang hade de kunnat bli betraktade som unicorns.

Conti hade access till över fyra hundra sjukhussystem i USA och de övervägde en massiv ransomware-attack på över fyra hundra faciliteter. Ifall planerna hade realiserats hade det fått förödande konsekvenser för amerikansk sjukvård.

När en liknande attack gjordes mot sjukvården i Irland tog det fyra månader månader att återställa skadorna, det kostade den irländska staten 600 miljoner euro.

Detta är bara två exempel. Nästan dagligen drabbas företag och organisationer av olika typer av attacker. Och det kan få så allvarliga konsekvenser att företaget går i konkurs.

Martin Lindgren tar en startup, ett techbolag, som exempel. Företaget drabbades av en ransomware attack.

– Allt blev krypterat, inklusive alla back-uper. Men allvarligast var att deras källkod blev krypterad. För ett techbolag innebär det game over.

Det lilla bolaget hade startats av ett kompisgäng och hade 20 anställda.

– De tog in externa experter för att försöka rädda alla data, men det var för sent. Så de stod inför valet att antingen lägga ned eller betala. De betalade.

Hur många väljer att betala?

– Det är svårt att säga hur många som betalar, men det är alldeles för många. Den enda anledningen till att dessa cyberbrottslingar finns är för att det är företag som betalar.

Men hur skyddar man sig? På ett övergripande plan är Martin Lindgrens tips att företaget måste odla en kultur där man utgår från att man redan är attackerad. Det skapar en sense of urgency och blir också ett sätt att involvera den egna personalen att vara försiktig. Även de kan rapportera in om de misstänker att något slunkit förbi brandväggarna.

– Det kan vara att man sätter upp information vid kaffemaskinerna där man ber de anställda att rapportera om de ser ett phishingmejl. Små saker gör skillnad, det är vetenskapligt bevisat, säger Martin Lindgren.