Invasionen af Ukraine viser verden, hvad en "hybridkrig" betyder. Udtrykket blev skabt af Frank Hoffman for at beskrive en krig, der foregår på flere fronter: konventionel krigsførelse, irregulære metoder, f.eks. assignationer, og cyberangreb. I takt med at denne skræmmende opvisning af aggression udspiller sig, vil de digitale aspekter af moderne krig påvirke mange virksomheder verden over.
Mens sirenerne lyder i Ukraine, skal organisationer også slå alarm om deres cybersikkerhedsforanstaltninger. Her er, hvad organisationer er oppe imod i denne hybridkrig.
En ondsindet historie: "Vær bange og forvent det værste"
Rusland har en lang historie med at bruge cyberangreb som en taktik til at lægge pres på og føre en stedfortræderkrig. Russiske statsstøttede hackergrupper er kendt for massive cyberangreb mod vestlige organisationer. Et af de største i de seneste år var ransomware-angrebet i 2021 på den amerikanske Colonial Pipeline , der blev udført af hackerbanden REvil.
For nylig blev 70 ukrainske regeringswebsteder ødelagt ved et cyberangreb med en advarselsmeddelelse på skærmen, hvor der stod "være bange og forvente det værste". En analyse af angrebet fandt signaler om, at russiske efterretningstjenester var involveret; Rusland har dog siden benægtet at være involveret.
Benægtelse og misinformation er typiske krigstaktikker, som de bruger til at "dele og erobre". Men beviserne hober sig op: 74 % af de penge, der blev afpresset ved ransomware-angreb i 2021, blev sendt til hackere med russiske forbindelser. Set i bakspejlet må vi spørge os selv, om disse penge så blev lagt til side som en krigskasse?
Efterhånden som invasionen af Ukraine har udspillet sig, er der blevet gennemført yderligere cyberangreb mod den ukrainske regering. En blogudtalelse fra Microsofts blog fra den 28. februar giver yderligere indsigt:
"Den 24. februar opdagede Microsofts Threat Intelligence Center (MSTIC) en ny runde af offensive og destruktive cyberangreb rettet mod Ukraines digitale infrastruktur. " Bloggen nævner, at en ny malware-variant "FoxBlade" er blevet fundet som en del af disse angreb.
En ting er meget sandsynligt, invasionen af Ukraine er en hybridkrig, og cyberangreb vil ikke blive begrænset i Ukraine.
Advarselssirener om yderligere cyberangreb
Der er blevet offentliggjort advarsler og advisories over hele verden for at advare virksomheder om at forvente en øget trussel om cyberangreb:
I Storbritannien har National Cyber Security Centre (NCSC) offentliggjort en meddelelse på sit websted, hvori britiske virksomheder opfordres til at styrke deres "cybersikkerhedsstyrke som reaktion på de ondsindede cyberhændelser i og omkring Ukraine". "
I USA har CISA (Cyber Security and Infrastructure Security Agency) offentliggjort en advarsel under sit 'Skjolde op' kampagne om en ny ransomware-gruppe, Conti, med forbindelser til den russiske efterretningstjeneste:
"Conti-ransomware-aktørerne truer med "gengældelsesforanstaltninger" rettet mod kritisk infrastruktur som svar på "et cyberangreb eller krigsaktiviteter mod Rusland". "
I Australien er alarmstatus for et cyberangreb sat til HIGH, og regeringen erklærer, at virksomhederne "opfordres til hurtigst muligt at indføre en forbedret cybersikkerhedsposition".
På samme måde advarer regeringerne i de europæiske lande organisationer og borgere om at forberede sig på et cyberangreb.
En af bekymringerne for, hvor let disse cyberangreb vil blive udført, er, at russisk støttede cyberkriminelle har brugt år på at opbygge deres viden om malware og udføre rekognoscering af vellykkede angrebstaktikker.
Ny malware, succesfuld taktik
Der er allerede blevet identificeret flere nye malware-varianter, der er forbundet med russiske hackergrupper. Disse ser ud til at være baseret på dataløsning og/eller ransomware og er ekstremt skadelige. Som eksempler kan nævnes HermeticWiper og WhisperGate malware, som ødelægger og/eller sletter data fuldstændigt. En anden, HermeticRansom, anvender afpresningsteknikker for at øge skadelige virkninger af malware.
Yderligere undersøgelser har også vist, at der anvendes malware-"orme". Orme er særligt farlige, da de, når de først er kommet ind i et system, selv reproducerer sig og spreder sig over et netværk, inficerer maskiner og forårsager ødelæggelse på hele netværket. En af de seneste opdagelser kaldes HermeticWizard, en orm, der bruges til at levere HermeticWiper-malware.
Orme kommer ind i et netværk ved hjælp af en række forskellige metoder, herunder e-mail, USB-sticks, ondsindede links i sociale medier, usikre IoT-enheder osv.
Der vil sandsynligvis komme flere malware-varianter ind i trusselslandskabet, efterhånden som krigen fortsætter.
CISA og FBI har offentliggjort en fælles rådgivningsmeddelelse, der forklarer farerne ved nogle af de nyeste malware-varianter. I rådgivningen opfordres organisationer til at:
"...øge deres årvågenhed og evaluere deres kapacitet, der omfatter planlægning, forberedelse, opdagelse og reaktion på en sådan hændelse."
Disse nye malware-varianter vil stadig være afhængige af etablerede succesfulde taktikker, såsom phishing og social engineering, for at komme ind i et netværk. Så hvordan kan en virksomhed forberede sig på denne hybridkrig?
Foranstaltninger til beskyttelse af din virksomhed og dine medarbejdere
De cyberkriminelle bag denne masse af cyberkrigsmalware vil bruge gennemprøvede metoder til at levere infektion hurtigt og effektivt. Organisationer skal bruge sikkerhedsbranchens viden til at lukke lugen. Afdæmpende foranstaltninger bør omfatte følgende:
- Sørg for, at du har overblik over alle dine it-aktiver, herunder alle slutpunkter, datalagring og datastrømme, servere og andre enheder.
- Sørg for, at dit udvidede netværk har robuste sikkerhedsforanstaltninger i forbindelse med enheder, personer og steder. Gennemfør f.eks. robust autentificering og brug principperne om mindste privilegier, der håndhæves ved hjælp af PAM (privileged access management) til at styre adgangen.
- Test dine patch management-systemer for at sikre, at de når ud til alle slutpunkter og servere.
- Opsæt eller afprøv et eksisterende, sikkert backup-system.
- Sæt din virksomhed i forhøjet alarmberedskab, og bak dette op med Security Awareness Training med fokus på truslen: Udvid din træning med en løbende vurdering af situationen, og brug phishing-simulationer til at uddanne dine medarbejdere om sandsynlige phishing-kampagner i forbindelse med invasionen.
- Overvåg aktiviteten på dit netværk og dine adgangspunkter, og tjek adgangen til porte for mulige sårbarheder.
- Fjern eller deaktiver alle ubrugte apps.
- Tjek, opdater og forbedr din planlægning og strategi for genopretning af katastrofer
Ovenstående er nogle af de nøgleområder, der skal styrkes i denne tid med øget trussel.
Vær forberedt på gengældelsesangreb
Der er nu også en advarsel om, at et cyberangreb på en NATO-medlemsstat vil medføre, at artikel 5 i NATO's kollektive forsvarsklausul vil blive udløst. Den digitale krig og den konventionelle krig kan meget vel ende med at konvergere, når optrapningen begynder. Der er stor sandsynlighed for gengældelsesangreb, og det bedste forsvar er bevidsthed og beredskab.
