Ransomware-attacker inom den offentliga sektorn har blivit allt vanligare under de senaste åren, och statliga myndigheter, hälso- och sjukvårdsorganisationer och utbildningsinstitutioner är vanliga måltavlor. Den offentliga sektorn har dock alltid varit ett mål för cyberkriminella som är ute efter datastöld och brottslig skada. Detta bekräftas av Verizon i deras Data Breach Investigations Report 2020 (DBIR), där offentlig förvaltning är en av de mest målinriktade branscherna och utpressningstrojaner är den vanligaste angreppstypen. I en rapport från Darktrace bekräftas detta, där det anges att 2020 var "lokala myndigheter det största målet för attacker med utpressningstrojaner".
Ransomware är en farlig och försåtlig typ av skadlig kod som blir allt vanligare i alla branscher. De ondskefulla aktörerna bakom skadlig kod blir också allt skickligare på att utkräva en lösensumma, inte bara genom att kryptera data utan också genom att stjäla dem. Här tittar vi på hur utpressningstrojaner påverkar den offentliga sektorn och vad som kan göras för att mildra denna påverkan.
Varför den offentliga sektorn löper risk att drabbas av Ransomware-attacker
Det kan vara svårt att få information om den verkliga omfattningen av cyberattacker på offentliga kontor. Men redan 2019 genomförde säkerhetsleverantören SolarWinds en begäran om informationsfrihet. De uppgifter som returnerades innehöll några intressanta insikter: Medan omkring en tredjedel av de svarande inte hade upplevt några cyberattacker, upplevde ett ökande antal över 1 000 riktade attacker.
De flesta av dessa attacker skedde i form av nätfiske och skadlig kod. Detta trots att de hade traditionella cybersäkerhetsåtgärder, som brandväggar och antivirusprogram, på plats. Forskningen visar tydligt att den offentliga sektorn är på cyberkriminellas radar och att utpressningstrojaner, som är en aktuell favorit bland skadlig kod, är ett allvarligt hot mot sektorn.
Nyligen genomförda attacker med hög profil, t.ex. attacken med utpressningstrojaner mot energibolaget Colonial Pipeline i USA, visar hur långt utpressningstrojanergrupper går. I denna cyberattack gjordes data inte bara otillgängliga genom kryptering, vilket störde verksamheten, utan de stals också och användes som påtryckningsmedel för att öka trycket på att betala lösensumman.
En rapport från IBM X-Force visar att 59 % av alla incidenter med utpressningstrojaner innebar att data exfiltrerades innan krypteringen inträffade. Colonial Pipeline var ett bra mål för utpressningstrojaner eftersom den har en kritisk infrastrukturfunktion. På samma sätt är offentliga serviceföretag en kritisk infrastruktur som tillhandahåller viktiga medborgartjänster som är databeroende: detta är något som inte går förlorat för utpressningsgrupperna.
Offentliga tjänster som skoldistrikt, sjukvårdsinstitutioner och till och med lokala råd är alla mål för angripare av utpressningstrojaner. En attack nyligen gällde Irlands hälsovårdssystem. Attacken, som misstänks ha utförts av ett hackergäng känt som Wizard Spider, gjorde att sjukhusen blev utan datorer i över en vecka.
På samma sätt som i Colonial Pipeline-attacken krypterade hackarna data och stal stora mängder information för att öka trycket på att betala lösensumman på 20 miljoner dollar (14 miljoner pund). År 2020 slutade en ransomware-attack som drabbade Redcar and Cleveland Council med att kosta rådet uppskattningsvis 10 miljoner pund: de kostnader som uppstått omfattade driftstopp och minskade inkomster från verkställighet.
Ransomware-as-a-service inom den offentliga sektorn
Den offentliga sektorn omfattar ett stort antal olika typer av organisationer, från hälso- och sjukvård till lokala råd, politiska beslutsfattare och skolor. Den offentliga sektorn erbjuder därför hotbildare en mängd olika möjligheter att inte bara störa och utpressa utan också stjäla data.
Lindy Cameron, vd för Storbritanniens National Cyber Security Centre (NCSC), sade nyligen i ett tal vid Royal United Services Institute (RUSI) Annual Security Lecture att ökningen av utpressningstrojaner berodde på en "kumulativ effekt" när organisationer misslyckades med att hantera de allt mer sofistikerade utpressningsattackerna.
Organisationer inom den offentliga sektorn riskerar att drabbas av mer sofistikerade attacker som inkluderar "Ransomware-as-a-Service (RaaS)". Dessa "kit" för utpressningstrojaner gör det mycket lättare att skapa utpressningstrojaner-kampanjer. Alla som vill delta i ransomware-aktionen kan göra det mot en månadsavgift och en del av lösensumman.
I sitt tal konstaterar Cameron att RaaS bidrar till ökningen av attacker med utpressningstrojaner. Vissa av dessa RaaS-kit är särskilt utformade för att rikta sig mot regeringen och den offentliga sektorn. Ett exempel är Eking RaaS, som av Darktrace har identifierats som ett verktyg som används för att rikta sig mot statliga tjänster i APAC-regionen.
Hur man skyddar den offentliga sektorn från attacker med Ransomware
I DBIR påpekas att 85 % av alla dataintrång är mänskliga handlingar. Den mänskliga faktorn är uppenbar i många typer av cyberattacker, inklusive utpressningstrojaner; ett felaktigt klick på ett skadligt e-postmeddelande är ofta början på utpressningstrojanernas mardröm.
Eftersom angripare av utpressningstrojaner fokuserar på datastöld och kryptering blir "människan i maskinen" allt viktigare som en väg in i en organisation. Phishing är en av hackarnas favoritattacker eftersom det fungerar. I den senaste DBIR för 2021 påpekar Verizon att nätfiske och utpressningstrojaner återigen var vanligt förekommande. När det gäller attacker mot offentliga förvaltningar är social ingenjörskonst den föredragna metoden som används i 69 % av överträdelserna.
Ransomware levereras och infekteras på flera olika sätt, men som nämnts är nätfiske en av de vanligaste. En undersökning med hjälp av data från hanterade tjänster visade att 54 % av angreppen med utpressningstrojaner började med ett phishing-e-postmeddelande: dåliga användarpraktiker (27 %) och bristande säkerhetsutbildning (26 %) var de näst vanligaste problemen som ledde till infektion med utpressningstrojaner.
Förebyggande av Ransomware-attacker inom den offentliga sektorn
Att förebygga utpressningstrojaner i den offentliga sektorn handlar om att minska riskerna. Säkerhetsrisken minskas med hjälp av en socioteknisk strategi, på samma sätt som hackare angriper den offentliga sektorn och andra branscher med hjälp av social ingenjörskonst och tekniska sårbarheter.
Att lindra de viktigaste orsakerna till infektion med utpressningstrojaner börjar med en exceptionell säkerhetskultur. Detta drivs av effektiv utbildning i säkerhetsmedvetenhet för all personal. Detta förstärks genom att man använder de bästa säkerhetsverktygen som uppfyller kraven i säkerhetsstandarder och föreskrifter som ISO27001.
Ransomware-attacker inom den offentliga sektorn kommer att finnas kvar tills organisationer slutar smittas och slutar betala lösensumman. I databaserade sektorer som offentlig sektor och myndigheter kan det sistnämnda vara ett svårt val att göra. Detta innebär att strukturer måste införas för att minska chanserna för en lyckad infektion med ransomware.
