Invasionen i Ukraina visar världen vad ett "hybridkrig" innebär. Termen skapades av Frank Hoffman för att beskriva ett krig som utspelar sig på flera fronter: konventionell krigföring, irreguljära metoder, t.ex. uppdrag, och cyberattacker. När denna skrämmande uppvisning av aggressioner utspelar sig kommer de digitala aspekterna av det moderna kriget att påverka många företag världen över.
När sirenerna ljuder i Ukraina måste även organisationer slå larm om sina cybersäkerhetsåtgärder. Här är vad organisationer står inför i detta hybridkrig.
En ondskefull historia: "Var rädd och förvänta dig det värsta"
Ryssland har en lång historia av att använda cyberattacker som en taktik för att utöva påtryckningar och föra ett ombudskrig. Ryska statsstödda hackergrupper är kända för massiva cyberattacker mot västerländska organisationer. Ett av de största under de senaste åren var 2021 års ransomware-attack mot den amerikanska Colonial Pipeline som utfördes av hackergruppen REvil.
Nyligen har 70 ukrainska regeringswebbplatser blivit vanställda i en cyberattack med ett varningsmeddelande på skärmen där det stod "vara rädd och räkna med det värsta". Vid en analys av attacken hittades signaler om att rysk underrättelsetjänst var inblandad, men Ryssland har sedan dess förnekat inblandning.
Förnekelse och felaktig information är typiska krigstaktiker som används för att förvirra för att "splittra och erövra". Bevisen hopar sig dock: 74 % av de pengar som pressades ut från attacker med utpressningstrojaner under 2021 skickades till hackare med rysk anknytning. I efterhand måste vi fråga oss om dessa pengar sedan lades undan som en krigskassa.
I takt med att invasionen av Ukraina har utspelat sig har ytterligare cyberattacker mot den ukrainska regeringen genomförts. Ett uttalande på Microsofts blogg från den 28 februari ger ytterligare information:
"Den 24 februari upptäckte Microsofts Threat Intelligence Center (MSTIC) en ny omgång offensiva och destruktiva cyberattacker riktade mot Ukrainas digitala infrastruktur. " Bloggen nämner att en ny malwarevariant "FoxBlade" har hittats som en del av dessa attacker.
En sak är mycket trolig, invasionen av Ukraina är ett hybridkrig och cyberattacker kommer inte att begränsas inom Ukraina.
Varningssignaler om ytterligare cyberattacker
Varningar och råd har publicerats över hela världen och företag har blivit varnade för ett ökat hot om cyberattacker:
I Storbritannien har National Cyber Security Centre (NCSC) publicerat ett meddelande på sin webbplats där man uppmanar brittiska företag att stärka sin "cybersäkerhet som svar på de skadliga cyberincidenterna i och omkring Ukraina". "
I USA har CISA (Cyber Security and Infrastructure Security Agency) publicerat en varning under sin 'Sköldar upp' om en ny grupp av utpressningstrojaner, Conti, som har kopplingar till den ryska underrättelsetjänsten:
"Conti Ransomware-aktörerna hotar med "vedergällningsåtgärder" mot kritisk infrastruktur som svar på "en cyberattack eller krigsaktiviteter mot Ryssland". "
I Australien har beredskapsstatusen för en cyberattack höjts till HIGH och regeringen uppger att företagen "uppmuntras att omedelbart anta en förbättrad cybersäkerhetsposition".
På samma sätt varnar regeringarna i de europeiska länderna organisationer och medborgare för att förbereda sig för en cyberattack.
En av farhågorna om hur lätt det är att genomföra dessa cyberattacker är att ryskstödda cyberkriminella har ägnat åratal åt att bygga upp sin kunskap om skadlig kod och att utföra spaning om framgångsrika attacktaktiker.
Ny skadlig kod, framgångsrik taktik
Flera nya varianter av skadlig kod som är kopplade till ryska hackergäng har redan identifierats. Dessa verkar vara baserade på dataskrotning och/eller utpressningsprogram och är extremt skadliga. Exempel är HermeticWiper och WhisperGate malware, som förstör och/eller raderar data helt och hållet. Ett annat, HermeticRansom, använder sig av utpressningsteknik för att förstärka skadlig inverkan av det skadliga programmet.
Ytterligare forskning har också visat att det används "maskar" som är skadliga program. Maskar är särskilt farliga eftersom de, när de väl har kommit in i ett system, kopierar sig själva och sprider sig över nätverket, infekterar maskiner och orsakar förstörelse i hela nätverket. En av de senaste upptäckterna kallas HermeticWizard, en mask som används för att leverera HermeticWiper malware.
Maskar tar sig in i ett nätverk på olika sätt, till exempel via e-post, USB-minnen, skadliga länkar i sociala medier, osäkra IoT-enheter och så vidare.
Fler varianter av skadlig kod kommer troligen att dyka upp i hotbilden i takt med att kriget fortsätter.
CISA och FBI har publicerat ett gemensamt råd som förklarar farorna med några av de senaste varianterna av skadlig kod. I rådgivningen uppmanas organisationer att:
"...öka vaksamheten och utvärdera sin förmåga att planera, förbereda, upptäcka och reagera på en sådan händelse."
Dessa nya varianter av skadlig kod kommer fortfarande att vara beroende av etablerade och framgångsrika taktiker, som phishing och social ingenjörskonst, för att ta sig in i ett nätverk. Så hur kan ett företag förbereda sig för detta hybridkrig?
Åtgärder för att skydda ditt företag och dina anställda
De cyberkriminella som ligger bakom denna mängd skadlig kod för cyberkrig kommer att använda beprövade metoder för att snabbt och effektivt sprida smitta. Organisationer måste använda säkerhetsbranschens kunskaper för att hålla sig borta från detta. Åtgärder för att minska skadorna bör omfatta följande:
- Se till att du har insyn i alla dina IT-tillgångar, inklusive alla slutpunkter, datalagring och dataflöden, servrar och andra enheter.
- Se till att ditt utökade nätverk har robusta säkerhetsåtgärder för enheter, personer och platser. Till exempel ska du se till att autentisering är robust och använda principer om minsta möjliga privilegier med hjälp av PAM (privilegierad åtkomsthantering) för att kontrollera åtkomsten.
- Testa dina system för patchhantering för att se till att de når alla slutpunkter och servrar.
- Skapa eller testa ett befintligt, säkert säkerhetskopieringssystem.
- Sätt ditt företag i en förhöjd beredskap och stöd detta med utbildning i säkerhetsmedvetenhet som fokuserar på hotet: komplettera utbildningen med en kontinuerlig bedömning av situationen och använd phishing-simuleringar för att utbilda personalen om troliga phishing-kampanjer i samband med invasionen.
- Övervaka aktiviteten i ditt nätverk och dina åtkomstpunkter och kontrollera tillgången till portar för att upptäcka eventuella sårbarheter.
- Ta bort eller inaktivera oanvända appar.
- Kontrollera, uppdatera och förbättra din planering och strategi för katastrofåterställning.
Ovanstående är några av de nyckelområden som behöver stärkas under denna tid av ökat hot.
Var beredd på repressalier
Det finns nu också en varning om att en cyberattack mot en Nato-medlem skulle leda till att artikel 5 i Natos klausul om kollektivt försvar utlöses. Det digitala kriget och det konventionella kriget kan mycket väl sluta med att konvergera när upptrappningen börjar. Det är mycket troligt att vedergällningsattacker kommer att äga rum, och det bästa försvaret är medvetenhet och beredskap.
