Färdigköpta skadeprogram blir allt mer avancerade

Småskaliga attacker i stor skala

Den lättillgängliga och snabbt växande marknaden för ”commodity malware”, färdigbyggda skadliga program som säljs på nätet, ofta helt öppet, gör det också lättare för nya kriminella aktörer att ta sig in på marknaden.

Utanför blickfånget på internet finns en stor och växande svart marknad för digitala brottsverktyg, där professionella hackare säljer olika former av färdigbyggda skadliga program, som kan användas för intrång, stölder och sabotage. Marknaden fungerar precis som för den som köper ett vanligt datorprogram, och man har till och med ”supporttjänster” för att hjälpa köparen uppnå sina mål. Att på detta sätt inte bara själva mjukvaran utan även tjänster och expertis benämns ”cybercrime-as-a-service”.

Under de senaste månaderna har Talos, som är Ciscos avdelning för cybersäkerhets- och hotanalys, kartlagt nya och mer sofistikerade varianter som säljs på detta sätt, som bland annat kan ta sig runt flerfaktorsautentisering.

Småskaliga attacker i stor skala
2022 sattes nya trista rekord för cyberbrottsligheten globalt, visar FBI:s årsstatistik. Enligt myndighetens data kom kriminella över mer än 100 miljarder kronor i olika former av digitala bedrägerier, en summa som ökade med 48 procent jämfört med föregående år. Den vanligaste typen av cyberangrepp är nätfiskeattacker mot företag och privatpersoner, som stod för mer än 37 procent av de anmälda brotten. Statistiken kan dock bara behandla de brott som upptäcks.

”Nätfiskeattacker står för en relativt liten del av de kostnader som cyberbedrägerier omfattar, men de innebär också mycket mindre risk för upptäckt och har ett stort mörkertal. Man kan jämföra det med att stjäla 100 plånböcker istället för att genomföra ett väpnat bankrån”, säger Henrik Bergqvist, cybersäkerhetsexpert på Cisco Sverige.

Precis som ett bankrån får större uppmärksamhet än en plånboksstöld blir också småskaliga cyberbrott lätt nedprioriterade av polisen, och kräver ofta hög teknisk kunskap för att utreda effektivt. Och nya uppgifter tyder på att det kan bli väsentligt svårare i framtiden, och ge fler tillgång till kraftfulla brottsverktyg.

I maj kartlade Cisco Talos ett färdigbyggt kit för att genomföra nätfiskeattacker mot Office 365-användare, döpt till Greatness. Detta kit har redan dykt upp i flera angrepp, som drabbat industri-, vård- och teknikföretag i Europa, Nordamerika och Afrika. Det gör det enklare för även en amatör att genomföra en sofistikerad man-in-the-middle-attack och komma över lösenord och annan känslig information.
Kitet består av en fil- och länkbyggare och har flera avancerade funktioner som ökar trovärdigheten. Den falska inloggningssidan kan till exempel ha mottagarens e-postadress ifylld på förhand och siddesignen kan enkelt spegla verksamhetens riktiga inloggningssida, med korrekt logotyp och bakgrundsbild. Programmet använder det inmatade lösenordet för att logga in och kan även spegla flerfaktorsautentisering, om verksamheten har den funktionen påslagen, genom att återigen höra av sig till den angripne för att få tillgång till en SMS-kod eller svara på en pushnotifiering.

Bara under mars 2023 kopplades Greatness till fler än 80 cyberattacker, de flesta i USA. Men även brittiska, norska, franska och tyska verksamheter har utsatts.

”Det är allvarligt att de här programmen är lätt åtkomliga för vem som helst som vill utsätta medmänniskor, företag eller offentliga verksamheter för skada, och ger dem stora möjligheter att åstadkomma stora problem även om de inte har någon stor IT-kompetens. En annan försvårande faktor är att verktyg som Greatness är designade för att komma runt flerfaktorsautentisering, som är ett av de viktigaste och mest betydelsefulla motmedlen för att förhindra intrång”, säger Henrik Bergqvist.

För att skydda sig mot den här typen av attacker krävs säkerhetslösningar som på olika sätt blockerar skadliga websajter eller genomför djupare analys av all programvara som körs på datorn och kan upptäcka och stoppa program som uppför sig misstänkt. Den typen av tjänster finns ofta hos företag, men mer sällan hos privatpersoner.

”Det är skrämmande hur genomtänkt det här exemplet på phishing-as-a-service är. Det är extremt svårt för en användare att värja sig mot detta trots multifaktorautenticering. Den visar på vikten av säkerhet i flera lager- e-postskydd för att stoppa misstänkta mejl från att komma fram, klientskydd som inte tilllåter skadliga program att köras, och webskydd som stoppar tillgång till brottslingarnas server”, säger Henrik Bergqvist.

2023-06-20 - Industritorget