Splittelse blant cyberkriminelle grupper
Østeuropeiske hackergrupper er blitt mer politisk og mindre økonomisk motivert etter at krigen brøt ut i Ukraina. Noen støtter Russland, andre Ukraina. Likevel har kartlegging av sårbarheter i norske banker økt.
Hackergruppene har gjerne hvert sitt spesialfelt og samarbeider om å angripe en bedrift eller offentlig organisasjon. Enkelte grupper utvikler virus, andre skaffer tilgang i sårbare datasystemer mens noen utfører selve angrepene. Målet kan være løsepengevirus eller digitale bankran.
DNBs Cyber Defence Center jobber kontinuerlig med å oppdage, stoppe og håndtere cyberangrep. Leder i senteret Lars Arne Sand sier at de nå ser splittelse innad i de østeuropeiske gruppene som gjerne har medlemmer i flere land. De ser også mindre samarbeid mellom gruppene.
Motivasjonen for en del hackergrupper har skiftet fra å være økonomisk motivert til å bli politisk motivert
Lars Arne Sand, Cyber Defence Center, DNB
– Motivasjonen for en del hackergrupper har skiftet fra å være økonomisk motivert til å bli politisk motivert. En del av hackergruppene som vi har sett har angrepet tidligere, og som har hatt økonomisk vinning som mål, er nå engasjert i konflikten, sier han.
DNB har ikke opplevd noen endring i antall angrep etter krigen brøt ut. Siden mange av hackergruppene er opptatt på annet hold, skulle en vente at det ble en reduksjon, men Sand sier det er for tidlig å si noe om det i dag.
Derimot har banken sett en økning i antall kartleggingsforsøk. Det vil si at en hackergruppe skanner bankens datasystemer for å finne sårbarheter der hackerne kan komme inn på et senere tidspunkt.
HVOR KOMMER DE FRA?
DNB har sensorer i sine datanettverk som varsler når noen prøver å kartlegge sårbarheter eler går til angrep. Men det er ikke enkelt å se hvem som står bak.
De cyberkriminelle er gode til å skjule hvor de sitter. De utfører angrepene via datanett og servere i andre land, slik at de tilsynelatende er et helt annet sted.
Sand sier det i flere tilfeller likevel er mulig å se hvor kartleggingsforsøkene kommer fra. Ved å analysere hvilke verktøy og systemer som er brukt og hvilke tekster som er brukt, kan senteret sirkle inn hvilken gruppering det er snakk om.
NORDISK SAMARBEID
En av kildene til å vite hvilken hackergruppe som står bak de ulike metodene er Nordic Financial CERT med hovedkontor i Oslo. Denne organisasjonen ble startet i 2017 for å styrke finanssektoren i kampen mot cyberkriminelle grupper.
Bankene utveksler erfaringer med cyberangrep og med vurderinger av trusselbildet.
– Her deler vi informasjon på tvers som gjør at vi står bedre sikret mot et felles trusselbilde. En viktig del av arbeidet er å dele informasjon om angrepene slik at de andre medlemmene er klar over fremgangsmåten til spesielle hackergrupper, sier Sand.
Sand understreker at cyberangrep ikke gjelder bare finanssektoren, men er blitt et økende samfunnsproblem som kan treffe alle. Det er ikke lenger et spørsmål om å bli angrepet, men når.
– Man må i større grad forberede seg på å oppdage og håndtere et angrep for å redusere skadekonsekvensen, i stedet for å legge alt fokus på å stoppe et angrep, sier han.
Det holder ikke lenger å ha planer og systemer for å oppdage og stoppe et cyberangrep, bedriften må også å ha planer for hvordan tjenestene skal komme i drift igjen.
Uavhengig av krigen i Ukraina venter DNB og andre banker flere angrep fra cyberkriminelle i 2022 enn i 2021.
– De primære trendene er fortsatt løsepengevirus og leverandørkjedeangrep, sier Sand.
<Faktaboks>
Fakta: KRITISK SÅRBARHET
DNB har opplevd et jevnt økende antall cyberangrep de siste årene. Årsrapporten fra Cyber Defence Center 2021 viser at banken var utsatt for 14470 hendelser i fjor. En hendelse er alt fra mistenkelige e-poster som ansatte melder fra om til reelle angrep på datasystemene med høyt skadepotensial. 27 av hendelsene ble klassifisert som å ha høy alvorlighet.
En av dem var en kritisk sårbarhet i et javabasert system, Log4j. Da Cyber Defence Center ble klar over sårbarheten, overvåket de trafikken og oppdaget snart at en kriminell gruppe skannet DNBs tjenester på internett for å finne sårbare punkter. Den kriminelle gruppen fant sårbarheten, men senteret fikk fikset sårbarheten før angrepet kom i gang.
Flere hackergrupper retter seg direkte mot de ansatte ved å bruke sosiale medier, e-post og telefon. En av disse gruppene er TA505 som er en typisk løsepenge-gruppe. Den har spesialisert seg på en kombinasjon av phishing-e-poster og løsepengevirus. Når gruppen har kommet på innsiden, bruker den informasjonen til enten å selge tilgang til offerbedriftens datasystem eller den krever løsepenger av offerbedriften. En rekke porteføljeforvaltere i DNB ble utsatt for angrep fra gruppen høsten 2021, men det ble stoppet før noen skade var skjedd.