Trots polistillslagen – ingen enkel lösning på ransomware-problemet

I takt med att ransomware-attackerna ökar kraftigt och 2023 nådde en rekordhög nivå på 1,1 miljarder dollar i lösenbetalningar, intensifierar de amerikanska och brittiska regeringarna och ett stort antal internationella brottsbekämpande partner sina ansträngningar för att störa, ta ner eller på annat sätt störa hotaktörer inom ransomware. I januari 2023 meddelade USA:s justitiedepartement att man stoppat ransomware-gruppen Hive. I samarbete med tysk polis och Nederländernas nationella enhet för högteknologisk brottslighet tog departementet kontroll över Hives servrar och webbplatser för att kommunicera med dess medlemmar, vilket avbröt Hives förmåga att angripa och utpressa offer.

I augusti 2023 tillkännagav justitiedepartementet en multinationell operation som omfattade åtgärder i USA, Frankrike, Tyskland, Nederländerna, Storbritannien, Rumänien och Lettland för att störa botnätet och gisslanprogrammet som kallas Qakbot och slå ut dess infrastruktur.

På senare tid har brottsbekämpande myndigheter vidtagit samordnade åtgärder för att hantera hotet från ransomware och riktat in sig på två av de mest produktiva och skadliga grupperna. I december 2023 tillkännagav det amerikanska justitiedepartementet en störningskampanj mot ransomware-gruppen ALPHV/BlackCat och erbjöd ett dekrypteringsverktyg från FBI till 500 offer.

Förra månaden meddelade brittiska National Crime Agency, i samarbete med amerikanska justitiedepartementet, FBI och andra internationella polismyndigheter, att de hade stoppat ransomware-gruppen Lockbits verksamhet genom att beslagta ett stort antal offentliga webbplatser. De gjorde också dekrypteringsfunktioner tillgängliga för att göra det möjligt för hundratals offer att återställa system.

Cybersäkerhetsexperter är överens om att dessa åtgärder, även om de är nödvändiga, sannolikt inte kommer att minska frekvensen av ransomware-attacker permanent. De är också överens om att det inte finns några enkla lösningar för att effektivt hantera det pågående ransomware-hotet på kort sikt.

Vad ligger bakom nedtagningarna?

Precis som all organiserad brottslighet har ransomware-attacker uppmärksammats av brottsbekämpande myndigheter. De senaste åtgärderna för att ta ner stora ransomware-grupper som ALPHV/BlackCat och LockBit utgör dock en utveckling av brottsbekämpningens förmåga att ta itu med ransomware-epidemin.

– Antalet högprofilerade nedtagningar verkar ha accelererat, säger Ciaran Martin, ledare för SANS CISO Network och grundare av Storbritanniens National Cyber Security Centre.  

– Det finns två förklaringar till det. En är att de lägger ner mycket mer arbete på det. Den andra är att de har varit lite mer framgångsrika än tidigare.

Utöver det finns det två anledningar till att nedtagningar som görs av brottsbekämpande myndigheter är mer frekventa, säger Martin. 

– Det ena är cyberbrottslighet. Ransomware är ett mycket mer påtagligt hot mot oss och orsakar verkliga skador, särskilt inom områden där människors säkerhet är i fara, som hälso- och sjukvård. För det andra är nedtagningar något vi kan göra. Vi kan inte gripa dem. Vi kan prata om att detta är ett brott och skicka polisen efter dem, men vi kan inte göra det. Nedtagningar är något vi faktiskt kan göra.

– De brottsbekämpande åtgärderna blir definitivt snabbare, säger Jon DiMaggio, chefsstrateg för säkerhet på Analyst1.

– Jag tror att en del av det beror på att de börjar förstå de statiska stegen, det vill säga de aspekter som inte förändras, som infrastruktur och sådant som är relaterat till det. De har också haft mycket kontakt med den privata sektorn under det senaste året eller två. Det har hjälpt dem oerhört mycket eftersom det i slutändan är den privata sektorn som har de flesta uppgifterna och informationen om dessa grupper.

Bob Kolasky, senior vice president för kritisk infrastruktur på Exiger och grundare av CISA:s National Risk Management Center, tillskriver Biden-administrationens ökade fokus på att sätta dit ransomware-aktörer för den senaste tidens ökade aktivitet. 

– Jag tror att kan säga att regeringen har blivit mer aggressiv när det gäller att gå efter förövare och ransomware-gäng, säger han. 

– Regeringen har försökt att använda hela sin kapacitet för att ta itu med risken för utpressningstrojaner, avskräcka från utpressningstrojaner och sätta dit brottslingar. Och jag tror att administrationen har gjort en strategisk förändring för att vara mer aggressiv i hanteringen av den här frågan och för att försöka motverka trenden med ökad ransomware.

Hur effektiva har störningarna varit?

Trots nedtagningarna och störningarna är ransomware-grupper motståndskraftiga och kan snabbt anta nya skepnader även efter betydande nedtagningar av brottsbekämpande myndigheter. ALPHV/BlackCat återhämtade sig efter sin nedtagning i december och attackerade Change Healthcare och fick sannolikt 22 miljoner dollar i lösensumma, och blåste samtidigt en affiliate på pengarna.

Även efter Lockbits nedtagning i februari, som de brottsbekämpande myndigheterna gjorde särskilt förödmjukande genom att ersätta läckagesajten med en ”wall of shame”, skapade gänget, eller åtminstone dess ledare Lockbitsupp, en ny läckagesajt och försökte utan framgång pressa ett av sina offer, Fulton County, Georgia, i USA, på en lösensumma.

Trots dessa till synes återupplivade grupper tror DiMaggio att dessa grupper har drabbats av en ”psykologisk påverkan” och står inför allvarliga ryktesskador, särskilt bland affiliates. Med Lockbit gick brottsbekämpande myndigheter ”faktiskt igenom all data, gjorde om hela webbplatsen för att skicka ett meddelande till dem som loggar in, och varje affiliate-hacker som loggade in på panelen skulle få sitt eget personliga meddelande med det alias de använde för att komma åt panelen, där brottsbekämpande myndigheter berättade att de har spårat deras loggar, sett deras kommunikation med offer och med Lockbit och att de kommer att se dem snart”, säger han. 

– I bakhuvudet tänker de: Ska jag fortsätta att arbeta med Lockbit när de sätter upp en ny server om en vecka?

DiMaggio har kommunicerat med Lockbit-ledaren Lockbitsupp. Han säger att Lockbitsupp rutinmässigt postar små kattklistermärken i sina chattar. När rättsväsendet tog ner Lockbit publicerade de en kattklistermärkesikon på beslagssidan. Det skickade ett meddelande till affiliates att ”inte bara har vi varit här, inte bara har vi sett dina loggar, men vi vet vem du pratar med, och vi känner till konversationerna, och vi läser dem. Allt detta har haft en effekt eftersom LockBitSupp är tillbaka, men hans rykte är betydligt skadat.”

Även med denna typ av ryktesskada kommer ransomware-grupperna att återuppstå förr eller senare så länge deras ryska ledare förblir fria och skyddade från utlämning av Kreml. Adam Meyers, senior vice president för counter adversary operations på Crowdstrike, säger: 

– Den stora utmaningen som jag tror att vi börjar se är en, hur effektiva är dessa störningar när de inte också är kopplade till ett gripande? Om du går tillbaka historiskt har vi sett vissa störningar utan gripanden, och botnätoperatören, hotaktören, har i princip återuppstått. Kelihos är ett bra exempel, där det skedde en nedtagning av Kelihos varannan månad. Men det fortsatte att komma tillbaka fram till 2017, då Kelihos stördes och huvudoperatören för botnätet, greps. Och det var då du såg att botnätet slutligen försvann.

Så länge Ryssland, där många ransomware-grupper finns, skyddar hotaktörerna är det osannolikt att de någonsin kommer att gripas. 

– Det finns två strategiska problem som vi måste ta itu med när det gäller ransomware, säger Martin. 

– Det ena är nästan olösligt så länge Putin sitter vid makten, eller åtminstone så länge det inte sker någon politisk förändring i Ryssland, och det är att Ryssland är en säker tillflyktsort. Så länge ett stort land med många smarta hackare som Ryssland är villigt att vara värd för detta brott, kommer du att ha ett problem. Det andra problemet, som jag tror att du kan hantera, är affärsmodellen för ransomware. Den gynnar brottslingarna ganska ofta. Folk betalar och sedan kommer de tillbaka för att få mer.

Att angripa affärsmodellen

I sitt personliga ställningstagande om ransomware, som inte är kopplat till SANS eller någon annan grupp, förespråkar Martin ett totalförbud mot betalningar för ransomware som det bästa alternativet för att komma till rätta med problemet. 

– Vi tillåter människor att betala eftersom de får panik och befinner sig i en mycket svår situation. De förstår inte vad som pågår. Jag tycker att regeringarna har varit mycket snabba med att införa mycket stränga regler för lösensummor för kidnappning av terrorister och så vidare för att se till att Al-Qaida och ISIS och alla dessa hemska grupper inte får tillgång till medel. Men de fortsätter att säga utan någon seriös analys, åtminstone i det offentliga rummet: ”åh, ett förbud mot ransomware skulle vara för svårt”, säger han.

Vissa cybersäkerhetsexperter håller dock inte med om att det är ett bra alternativ att förbjuda betalningar för utpressningstrojaner. 

– Jag tror inte att ett förbud kommer att få den effekt som folk tror, säger Meyers. 

– Jag har pratat med många företag som drabbats av ransomware, och det var deras enda alternativ. De skulle antingen ha gått i konkurs, och människor skulle ha blivit arbetslösa och saknat de tjänster de behövde på grund av att de inte kunde betala lösensumman. Vår vägledning är vanligtvis att inte betala lösensumman, men ibland har organisationer inget val.

DiMaggio tror att ett förbud skulle fungera, men hävdar att det skulle innebära enorma ekonomiska förluster eftersom det skulle gå från en ransomware-attack till en sabotageattack eftersom du inte längre ens har möjlighet att dekryptera dina system eller betala för att stulna data inte ska publiceras. 

– Vi skulle förblöda ett tag, men sedan skulle det bara sluta eftersom du inte kommer att vilja arbeta 40 timmar i veckan för att göra vad du anser vara ditt jobb, oavsett om det är ett brott eller inte, om du inte får betalt.

Martin tror att ett förbud mot ransomware i morgon på egen hand skulle vara för svårt men att det är ett politiskt val som en ordentlig statlig mekanism bör stödja. 

– Brittisk sjukvård drabbas mycket mindre av ransomware än amerikansk sjukvård. Varför är det så? För att den brittiska sjukvården är offentligt driven och statliga organ kommer inte att betala. Varför har National Health Service råd att inte betala? Därför att om den drabbas av ransomware får den ett bredare stöd från staten.

God cybersäkerhet är alltid ett försvar

Förutom att helt förbjuda utbetalning av lösensummor är den enda lösningen för att avvärja ransomware-attacker att tillämpa god riskhantering och hygienrutiner för cybersäkerhet. När det gäller utpressningstrojaner är det viktigaste säkerhetskopior och möjligheten att använda säkerhetskopior. 

– För om det bara är tillgången till tjänster som de utpressar dig för, om du kan få säkerhetskopior och köra från ett backupsystem, då är det värdelöst för angriparen, säger Martin. 

– Jag tror att varje organisation måste lösa särskilt kritiska frågor, som vad som skulle hända om jag förlorade åtkomsten till systemet och vad jag kan göra för att relativt snabbt komma tillbaka.

– De andra områden där vi kan bli bättre är att förebygga, försvara och ha en proaktiv inställning till det, säger DiMaggio. 

– Visst, det kommer inte att stoppa det, men om den dag du först drabbas av ransomware är första gången du har en plan för hur du ska agera, kommer du att få problem. Och så är det med många företag.

– Så länge människor inte tar säkerhet på allvar och inte investerar i det här kommer de att fortsätta att få samma resultat, säger Meyers. 

– Dessa hotaktörer gör detta för att det är lättförtjänta pengar. Tills vi höjer trösklarna och kostnaderna för dessa hotaktörer och det inte längre är lika lätt för dem att tjäna pengar på detta som det är i dag, kommer de att fortsätta göra det, och om de blir störda kommer de att bygga upp det igen.

Ransomware

Trots polistillslagen – ingen enkel lösning på ransomware-problemet Read More »

AI vapen mot invasivt gräs i jordbruket – 96 procent upptäcks

Skåne är extra drabbat av det invasiva gräset renkavle som slår hårt mot veteskördarna och för att bekämpa det används besprutning – för det är svårt att hitta. 

– Det är som att leta efter gräs bland gräs, säger Mattias Dahl, professor vid Blekinge Tekniska Högskola, BTH, i ett pressmeddelande. 

Renkavle minskar skördarna med 30 procent till en början och upp till 60–70 procent om det får riktigt fäste. 

Men nu har forskare vid BTH testat AI för att upptäcka renkalven och kunna rensa bort den. Projektet har nu kommit halvvägs och resultaten är lovande. 96 procent av renkalven har upptäckts på de fält där det används. 

– För att hitta renkavlen använder vi en drönare som bär på en kamera. Drönaren flyger över fälten och tar en mängd bilder med bra upplösning. Bilderna analyseras sedan med hjälp av AI och vi får på så sätt fram var på fälten renkavlen finns, säger Mattias Dahl.

Genom att kunna se exakt var renkavlen växer kan det bekämpas på andra sätt än genom besprutning. 

– Vi skulle kunna förse traktorerna med koordinater med hög precision som information om exakt var bönderna ska bespruta. Det skulle minska mängden besprutning och förhindra att renkavle får fäste, säger Mats Pettersson, professor vid BTH.

Artificial Intelligence

AI vapen mot invasivt gräs i jordbruket – 96 procent upptäcks Read More »

Swift planerar plattform för centralbankers digitala valutor

Det globala nätverket Swift planerar att lansera en plattform för att koppla samman de digitala valutor som olika centralbanker håller på att utveckla med det existerande finanssystemet, rapporterar Reuters.

Swift används i dag av stora finansiella institutioner och regeringar för att utbyta information om penningöverföringar. Nätverket är kritiskt för att genomföra globala affärer och finanser och ansluter över 11 500 banker och finansinstitut i mer än 200 länder.

Omkring 90 procent av världens centralbanker håller just nu på att utforska att införa en digital version av deras valuta. Digitala valutor existerar också redan i länder som Bahamas, Nigeria och Jamaica.

Swift genomförde nyligen ett sex månader långt test med 38 deltagare bestående av centralbanker, kommersiella banker och plattformar för omedelbara betalningar för att se till så att centralbankernas digitala valutor kan användas tillsammans, även om de inte använder sig av samma teknik.

Testet ska, enligt Swifts representanter, varit en framgång vilket lett till att det nu lämnar experimentstadiet och börjar utvecklas som en riktig produkt. Målet är att plattformen ska vara redo om ett till två år.

Emerging Technology

Swift planerar plattform för centralbankers digitala valutor Read More »

Apples AI-späckade WWDC startar den 10 juni

Apples AI-späckade WWDC startar den 10 juni Read More »

Test: Philips Kokoon – hörlurar för sömnlösa suger stortid

Test: Philips Kokoon – hörlurar för sömnlösa suger stortid Read More »

DEBATT: ”Bristande techundervisning är ett hot mot jämställdheten”

DEBATT. Andelen kvinnor som jobbar inom it/tech har knappt förändrats under de senaste tio åren. Få säger sig också har lärt sig om ämnet i skolan. Om inte skolans undervisning blir bättre riskerar det att få allvarliga konsekvenser för jämställdheten i samhället, skriver aktörer i it-branschen.

DEBATT: ”Bristande techundervisning är ett hot mot jämställdheten” Read More »

Stressad över EU:s AI-lag? Sätt på GDPR-glasögonen

Det flyger runt mycket om AI just nu konstaterar advokat Caroline Olstedt Carlström, specialiserad på dataskydd, och Gastón Fernández Palma som är compliance officer på advokatbyrån Cirio. 

Och AI Act, EU:s nya AI-förordning, adderar till stressen, inte minst hos cio:er. Men att detaljläsa den 458 sidor tjocka förordningen är inte vad advokatbyrån rekommenderar i första hand. 

– Det handlar egentligen inte om lagstiftningen för de flesta vanliga företag som inte är Microsoft eller så. För den vanliga cio:n är utmaningen snarare att se till att den egna organisationen till att börja med är tillräcklig förberedd. Att använda den internkontroll som kommit på plats efter GDPR, säger Caroline Olstedt Carlström. 

– Tipset till cio:er är att de ska ta på sina dataskyddsglasögon – hur ser processerna ut och vad finns redan på plats? 

Samma bedömningar som GDPR

I grunden handlar det nämligen om inledningsvis samma bedömningar som man måste göra redan i dag kopplat till GDPR – vilka kontroller ska göras, hur ska informationen behandlas, hur lång tid ska den användas, vad är syftet och så vidare. 

– Om man har de här processerna på plats så är AI-förordningen en förlängning av det för det handlar ofta om behandling av personuppgifter. Sedan måste man också ha kontroll över immateriella rättigheter och se till att inte företagshemligheter läcker också. Men har man dataskyddet under kontroll så lägger detta bara på ett extra lager. 

Gastón Fernández Palma tycker också det är viktigt att ha med sig att den nya förordningen bara är en pusselbit när det gäller AI. 

– Det finns redan mycket lagstiftning som träffar AI i dag, förutom GDPR också sekretesslagstiftning exempelvis. Det här är mer en struktur för it-folk har koll på hur data flödar in, förvaltas, avvecklas. 

Förutom att se till att de interna affärsprocesserna och strukturerna finns på plats, som de redan nu borde göra, så är det viktigt att fundera kring vad man faktiskt vill göra framåt. 

– Visst kan man ta sikte på att hantera ett kärnkraftverk men är det verkligen det som är avsikten? Allt måste passera samma process – på många företag finns en evangelist eller tre när det gäller AI och då gäller det att hugga tag i dem snabbt så de inte springer i väg på egen hand. 

Måste utbilda organisationen

För att lyckas hantera AI på ett sätt som både följer alla regler och också är gynnsamt för den egna verksamheten krävs också att man har kunskap så att man förstår vad AI är och vilka tillämpningar som finns – och här kanske cio:n har sin viktigaste roll enligt Gastón Fernández Palma. 

– Jag är compliance officer på Cirio själv och jag jobbar väldigt nära it-chefen – vi träffas varje dag. Cio:n måste ta ansvar för att utbilda organisationen och hantera förväntningar, så att alla vet vad som går att göra och inte, 

Inte minst verktyg som Chat GPT som demokratiserar AI gör att det krävs väldigt tydliga instruktioner för vad som är tillåtet. 

– Även om det inte direkt bryter någon lag så riskerar du att tappa värde om något som är guld värt läcker ut. 

Utbildning gäller alla i organisationen, från styrelse och ledning ner till golvet. I dag finns ofta ett gap mellan en styrelse som inte vet så mycket om AI men ligger på för att tekniken ska användas och verkligheten. 

Koppla kunskap till strategi

– Det finns en ”fear of missing out” där styrelsen är jättepå  och mån om att man inte ska tappa i förhållande till konkurrenter. Det går sedan vidare till en ledningsgrupp som ofta inte har den kunskapen – så det finns ett klart utbildningsbehov där, säger Caroline Olstedt Carlström. 

Risken är annars att det inte finns någon tydlig riktning från styrelsen samtidigt som det stoppar upp andra projekt för att prioritera AI medan organisationen inte vet vad de faktiskt ska springa på. Utbildning och tydlighet blir nyckeln här. När de finns mer kunskap kan det som görs kopplas till en strategi. 

– Det gäller att snabbt få ett internt ramverk där man definierar vilka behoven är, vad man får göra och inte och utbilda kring det. 

Många organisationer skapar AI-råd men Caroline Olstedt Carlström förordar också gärna att mandatet för en dataskyddskommitté kan vidgas till att inkludera AI för att inte missa något. 

Utbildning, kontroll och transparens

Så vad är då de viktigaste råden till en cio som funderar på hur AI och den nya förordningen ska hanteras? 

– Utbildning, utbildning, utbildning, säger Gastón Fernández Palma. 

Caroline Olstedt Carlström pekar på tre punkter. 

– Intern kontroll och utbildning är det första. Sedan att man arbetar på sin compliance genom dokumentation, att man sätter sina legala och etiska överväganden på pränt. Och så att man fortsätter jobba på transparensen – förklarar vad man gör och informerar. 

Regulation

Stressad över EU:s AI-lag? Sätt på GDPR-glasögonen Read More »