Omvärldsbevakning

Category Added in a WPeMatico Campaign

Finsk polis: Kina bakom dataintrång mot finska riksdagen

Under 2020 mottog polisen i Finland en brottsanmälan från finska motsvarigheten till Säpo, Skyddspolisen, om ett dataintrång mot den finska riksdagens datasystem. Brottet misstänks ha begåtts under hösten 2020 och början av 2021. Finska Centralkriminalpolisen har utrett det som grovt spioneri, grovt dataintrång och grov kränkning av kommunikationshemlighet.

Nu meddelar Centralkriminalpolisen att förundersökningen bekräftar att hackargruppen APT31 ligger bakom det misstänkta brottet och att en brottsmisstänkt identifierats. APT31-gruppen är kopplad till Kinas säkerhetstjänst och Skyddspolisen har redan tidigare haft underrättelseuppgifter om att gruppen legat bakom intrånget.

– Förundersökningen har varit omfattande och tidskrävande, eftersom det har varit fråga om en exceptionellt utmanande utredning och bakom den finns en invecklad brottslig infrastruktur, säger utredningsledaren, kriminalkommissarie Aku Limnéll vid Centralkriminalpolisen, i ett pressmeddelande.

Centralkriminalpolisen skriver att förundersökningen av situationen fortsätter. Tidigare i veckan pekade USA och Storbritannien ut bland annat APT31 för att ha genomfört cyberattacker mot amerikanska verksamheter och kinesiska dissidenter i USA och mot det politiska systemet i Storbritannien. Även Nya Zeelands säkerhetstjänst pekade häromdagen ut statsstödda kinesiska hackare som ansvariga för ett dataintrång mot parlamentet som skedde i augusti 2021.

Security

Finsk polis: Kina bakom dataintrång mot finska riksdagen Read More »

Dell har sagt upp betydligt fler anställda än tidigare känt

I början av februari kom rapporter om att den amerikanska datortillverkaren Dell skulle säga upp fem procent av sin globala personalstyrka, motsvarande 6 650 jobb.

Nu avslöjar företaget i ett offentligt dokument till amerikanska SEC, som utövar tillsyn över handeln med värdepapper, att i själva verket så har 13 000 personer lämnat företaget. Det hela uppmärksammades först av The Register.

Dokumentet visar att den 2 februari i år hade Dell 120 000 anställda, medan företaget hade 133 000 anställda den 3 februari 2023.

“Under räkenskapsåret 2024 fortsatte vi att vidta vissa åtgärder för att minska kostnaderna, inklusive att begränsa extern rekrytering, omorganisation av anställda och andra åtgärder”, skriver Dell i dokumentet och fortsätter.

“Trots dessa svåra beslut fortsätter vi våra fokuserade insatser för att stärka våra anställda och attrahera, utveckla och behålla talang.”

Industry

Dell har sagt upp betydligt fler anställda än tidigare känt Read More »

Undersökning: Anställda gillar hybridarbete – men vill ha bättre kontor

En ny studie från Cisco visar att 72 procent av anställda är positiva till att återvända till kontoret, åtminstone under några dagar i veckan. Samtidigt vill de anställda ha utrymmen som är bättre utrustade för samarbete och för att hålla i brainstorming.

Enligt studien säger 81 procent av de medverkande arbetsgivarna att de antingen redan designat om sina arbetsplatser eller planerar att designa om dem inom 24 månader. Det vanligaste ska vara att designa om en arbetsplats teknik och infrastruktur.

Europa ska vara den region i världen som är mest positiv gällande distansarbete. Enbart 27 procent av arbetsgivarna i Europa kräver att de anställda ska återvända helt och hållet till kontoret, medan i USA ligger siffran på 35 procent.

Ciscos studie visar också att arbetsgivare planerar att använda AI i sin organisation, men att få har strategier för det och att de upplever utmaningar vad gäller säkerhet, integration och kostnader.

Studien är baserad på svar från 14 050 anställda och 3800 arbetsgivare i 19 länder.

Remote Work

Undersökning: Anställda gillar hybridarbete – men vill ha bättre kontor Read More »

Vem vinner när tillsynsmyndigheter tar sig an Apple? Förmodligen ingen

Vem vinner när tillsynsmyndigheter tar sig an Apple? Förmodligen ingen Read More »

Trots polistillslagen – ingen enkel lösning på ransomware-problemet

I takt med att ransomware-attackerna ökar kraftigt och 2023 nådde en rekordhög nivå på 1,1 miljarder dollar i lösenbetalningar, intensifierar de amerikanska och brittiska regeringarna och ett stort antal internationella brottsbekämpande partner sina ansträngningar för att störa, ta ner eller på annat sätt störa hotaktörer inom ransomware. I januari 2023 meddelade USA:s justitiedepartement att man stoppat ransomware-gruppen Hive. I samarbete med tysk polis och Nederländernas nationella enhet för högteknologisk brottslighet tog departementet kontroll över Hives servrar och webbplatser för att kommunicera med dess medlemmar, vilket avbröt Hives förmåga att angripa och utpressa offer.

I augusti 2023 tillkännagav justitiedepartementet en multinationell operation som omfattade åtgärder i USA, Frankrike, Tyskland, Nederländerna, Storbritannien, Rumänien och Lettland för att störa botnätet och gisslanprogrammet som kallas Qakbot och slå ut dess infrastruktur.

På senare tid har brottsbekämpande myndigheter vidtagit samordnade åtgärder för att hantera hotet från ransomware och riktat in sig på två av de mest produktiva och skadliga grupperna. I december 2023 tillkännagav det amerikanska justitiedepartementet en störningskampanj mot ransomware-gruppen ALPHV/BlackCat och erbjöd ett dekrypteringsverktyg från FBI till 500 offer.

Förra månaden meddelade brittiska National Crime Agency, i samarbete med amerikanska justitiedepartementet, FBI och andra internationella polismyndigheter, att de hade stoppat ransomware-gruppen Lockbits verksamhet genom att beslagta ett stort antal offentliga webbplatser. De gjorde också dekrypteringsfunktioner tillgängliga för att göra det möjligt för hundratals offer att återställa system.

Cybersäkerhetsexperter är överens om att dessa åtgärder, även om de är nödvändiga, sannolikt inte kommer att minska frekvensen av ransomware-attacker permanent. De är också överens om att det inte finns några enkla lösningar för att effektivt hantera det pågående ransomware-hotet på kort sikt.

Vad ligger bakom nedtagningarna?

Precis som all organiserad brottslighet har ransomware-attacker uppmärksammats av brottsbekämpande myndigheter. De senaste åtgärderna för att ta ner stora ransomware-grupper som ALPHV/BlackCat och LockBit utgör dock en utveckling av brottsbekämpningens förmåga att ta itu med ransomware-epidemin.

– Antalet högprofilerade nedtagningar verkar ha accelererat, säger Ciaran Martin, ledare för SANS CISO Network och grundare av Storbritanniens National Cyber Security Centre.  

– Det finns två förklaringar till det. En är att de lägger ner mycket mer arbete på det. Den andra är att de har varit lite mer framgångsrika än tidigare.

Utöver det finns det två anledningar till att nedtagningar som görs av brottsbekämpande myndigheter är mer frekventa, säger Martin. 

– Det ena är cyberbrottslighet. Ransomware är ett mycket mer påtagligt hot mot oss och orsakar verkliga skador, särskilt inom områden där människors säkerhet är i fara, som hälso- och sjukvård. För det andra är nedtagningar något vi kan göra. Vi kan inte gripa dem. Vi kan prata om att detta är ett brott och skicka polisen efter dem, men vi kan inte göra det. Nedtagningar är något vi faktiskt kan göra.

– De brottsbekämpande åtgärderna blir definitivt snabbare, säger Jon DiMaggio, chefsstrateg för säkerhet på Analyst1.

– Jag tror att en del av det beror på att de börjar förstå de statiska stegen, det vill säga de aspekter som inte förändras, som infrastruktur och sådant som är relaterat till det. De har också haft mycket kontakt med den privata sektorn under det senaste året eller två. Det har hjälpt dem oerhört mycket eftersom det i slutändan är den privata sektorn som har de flesta uppgifterna och informationen om dessa grupper.

Bob Kolasky, senior vice president för kritisk infrastruktur på Exiger och grundare av CISA:s National Risk Management Center, tillskriver Biden-administrationens ökade fokus på att sätta dit ransomware-aktörer för den senaste tidens ökade aktivitet. 

– Jag tror att kan säga att regeringen har blivit mer aggressiv när det gäller att gå efter förövare och ransomware-gäng, säger han. 

– Regeringen har försökt att använda hela sin kapacitet för att ta itu med risken för utpressningstrojaner, avskräcka från utpressningstrojaner och sätta dit brottslingar. Och jag tror att administrationen har gjort en strategisk förändring för att vara mer aggressiv i hanteringen av den här frågan och för att försöka motverka trenden med ökad ransomware.

Hur effektiva har störningarna varit?

Trots nedtagningarna och störningarna är ransomware-grupper motståndskraftiga och kan snabbt anta nya skepnader även efter betydande nedtagningar av brottsbekämpande myndigheter. ALPHV/BlackCat återhämtade sig efter sin nedtagning i december och attackerade Change Healthcare och fick sannolikt 22 miljoner dollar i lösensumma, och blåste samtidigt en affiliate på pengarna.

Även efter Lockbits nedtagning i februari, som de brottsbekämpande myndigheterna gjorde särskilt förödmjukande genom att ersätta läckagesajten med en ”wall of shame”, skapade gänget, eller åtminstone dess ledare Lockbitsupp, en ny läckagesajt och försökte utan framgång pressa ett av sina offer, Fulton County, Georgia, i USA, på en lösensumma.

Trots dessa till synes återupplivade grupper tror DiMaggio att dessa grupper har drabbats av en ”psykologisk påverkan” och står inför allvarliga ryktesskador, särskilt bland affiliates. Med Lockbit gick brottsbekämpande myndigheter ”faktiskt igenom all data, gjorde om hela webbplatsen för att skicka ett meddelande till dem som loggar in, och varje affiliate-hacker som loggade in på panelen skulle få sitt eget personliga meddelande med det alias de använde för att komma åt panelen, där brottsbekämpande myndigheter berättade att de har spårat deras loggar, sett deras kommunikation med offer och med Lockbit och att de kommer att se dem snart”, säger han. 

– I bakhuvudet tänker de: Ska jag fortsätta att arbeta med Lockbit när de sätter upp en ny server om en vecka?

DiMaggio har kommunicerat med Lockbit-ledaren Lockbitsupp. Han säger att Lockbitsupp rutinmässigt postar små kattklistermärken i sina chattar. När rättsväsendet tog ner Lockbit publicerade de en kattklistermärkesikon på beslagssidan. Det skickade ett meddelande till affiliates att ”inte bara har vi varit här, inte bara har vi sett dina loggar, men vi vet vem du pratar med, och vi känner till konversationerna, och vi läser dem. Allt detta har haft en effekt eftersom LockBitSupp är tillbaka, men hans rykte är betydligt skadat.”

Även med denna typ av ryktesskada kommer ransomware-grupperna att återuppstå förr eller senare så länge deras ryska ledare förblir fria och skyddade från utlämning av Kreml. Adam Meyers, senior vice president för counter adversary operations på Crowdstrike, säger: 

– Den stora utmaningen som jag tror att vi börjar se är en, hur effektiva är dessa störningar när de inte också är kopplade till ett gripande? Om du går tillbaka historiskt har vi sett vissa störningar utan gripanden, och botnätoperatören, hotaktören, har i princip återuppstått. Kelihos är ett bra exempel, där det skedde en nedtagning av Kelihos varannan månad. Men det fortsatte att komma tillbaka fram till 2017, då Kelihos stördes och huvudoperatören för botnätet, greps. Och det var då du såg att botnätet slutligen försvann.

Så länge Ryssland, där många ransomware-grupper finns, skyddar hotaktörerna är det osannolikt att de någonsin kommer att gripas. 

– Det finns två strategiska problem som vi måste ta itu med när det gäller ransomware, säger Martin. 

– Det ena är nästan olösligt så länge Putin sitter vid makten, eller åtminstone så länge det inte sker någon politisk förändring i Ryssland, och det är att Ryssland är en säker tillflyktsort. Så länge ett stort land med många smarta hackare som Ryssland är villigt att vara värd för detta brott, kommer du att ha ett problem. Det andra problemet, som jag tror att du kan hantera, är affärsmodellen för ransomware. Den gynnar brottslingarna ganska ofta. Folk betalar och sedan kommer de tillbaka för att få mer.

Att angripa affärsmodellen

I sitt personliga ställningstagande om ransomware, som inte är kopplat till SANS eller någon annan grupp, förespråkar Martin ett totalförbud mot betalningar för ransomware som det bästa alternativet för att komma till rätta med problemet. 

– Vi tillåter människor att betala eftersom de får panik och befinner sig i en mycket svår situation. De förstår inte vad som pågår. Jag tycker att regeringarna har varit mycket snabba med att införa mycket stränga regler för lösensummor för kidnappning av terrorister och så vidare för att se till att Al-Qaida och ISIS och alla dessa hemska grupper inte får tillgång till medel. Men de fortsätter att säga utan någon seriös analys, åtminstone i det offentliga rummet: ”åh, ett förbud mot ransomware skulle vara för svårt”, säger han.

Vissa cybersäkerhetsexperter håller dock inte med om att det är ett bra alternativ att förbjuda betalningar för utpressningstrojaner. 

– Jag tror inte att ett förbud kommer att få den effekt som folk tror, säger Meyers. 

– Jag har pratat med många företag som drabbats av ransomware, och det var deras enda alternativ. De skulle antingen ha gått i konkurs, och människor skulle ha blivit arbetslösa och saknat de tjänster de behövde på grund av att de inte kunde betala lösensumman. Vår vägledning är vanligtvis att inte betala lösensumman, men ibland har organisationer inget val.

DiMaggio tror att ett förbud skulle fungera, men hävdar att det skulle innebära enorma ekonomiska förluster eftersom det skulle gå från en ransomware-attack till en sabotageattack eftersom du inte längre ens har möjlighet att dekryptera dina system eller betala för att stulna data inte ska publiceras. 

– Vi skulle förblöda ett tag, men sedan skulle det bara sluta eftersom du inte kommer att vilja arbeta 40 timmar i veckan för att göra vad du anser vara ditt jobb, oavsett om det är ett brott eller inte, om du inte får betalt.

Martin tror att ett förbud mot ransomware i morgon på egen hand skulle vara för svårt men att det är ett politiskt val som en ordentlig statlig mekanism bör stödja. 

– Brittisk sjukvård drabbas mycket mindre av ransomware än amerikansk sjukvård. Varför är det så? För att den brittiska sjukvården är offentligt driven och statliga organ kommer inte att betala. Varför har National Health Service råd att inte betala? Därför att om den drabbas av ransomware får den ett bredare stöd från staten.

God cybersäkerhet är alltid ett försvar

Förutom att helt förbjuda utbetalning av lösensummor är den enda lösningen för att avvärja ransomware-attacker att tillämpa god riskhantering och hygienrutiner för cybersäkerhet. När det gäller utpressningstrojaner är det viktigaste säkerhetskopior och möjligheten att använda säkerhetskopior. 

– För om det bara är tillgången till tjänster som de utpressar dig för, om du kan få säkerhetskopior och köra från ett backupsystem, då är det värdelöst för angriparen, säger Martin. 

– Jag tror att varje organisation måste lösa särskilt kritiska frågor, som vad som skulle hända om jag förlorade åtkomsten till systemet och vad jag kan göra för att relativt snabbt komma tillbaka.

– De andra områden där vi kan bli bättre är att förebygga, försvara och ha en proaktiv inställning till det, säger DiMaggio. 

– Visst, det kommer inte att stoppa det, men om den dag du först drabbas av ransomware är första gången du har en plan för hur du ska agera, kommer du att få problem. Och så är det med många företag.

– Så länge människor inte tar säkerhet på allvar och inte investerar i det här kommer de att fortsätta att få samma resultat, säger Meyers. 

– Dessa hotaktörer gör detta för att det är lättförtjänta pengar. Tills vi höjer trösklarna och kostnaderna för dessa hotaktörer och det inte längre är lika lätt för dem att tjäna pengar på detta som det är i dag, kommer de att fortsätta göra det, och om de blir störda kommer de att bygga upp det igen.

Ransomware

Trots polistillslagen – ingen enkel lösning på ransomware-problemet Read More »