Ransomware fortsätter vara ett av de vanligaste cyberhoten – men många framträdande cyberkriminella grupper har valt att ändra sin taktik under 2023, visar en ny rapport från Cisco Talos.
Ransomware-attacker, där kriminella grupper ”kidnappar” datorer och infrastruktur genom att installera ett program som låser ute användarna, har fortsatt vara i fokus under året – inte minst i Sverige. Bland annat ägde en omfattande och långvarig attack mot Svenska Kyrkans IT-infrastruktur rum under november, och även exempelvis Kramfors kommun och räddningstjänsten i Blekinge har drabbats under de senaste veckorna.
Kampen mot ransomware förs även på ett globalt plan, framhåller Cisco Talos. Exempelvis offentliggjordes det globala samarbetsprojektet International Counter Ransomware Initiative i november, där medlemsländerna, däribland Sverige, förbinder sig vid att inte betala lösensummor, och fortsätta fördjupa samarbetet. Detta kan vara en anledning till att flera framträdande grupper byter taktik för att kunna arbeta mer i det fördolda. Det konstaterar Cisco Talos, Ciscos avdelning för cyberhotforskning och analys, i årssammanfattningen Year in review 2023 som publicerades i december.
Istället för att installera skadeprogram som krypterar filer vid ett lyckat intrång, väljer allt fler utpressningsgrupper att använda den skadliga mjukvaran för att stjäla känsliga data och hota att läcka dem till allmänheten om offret inte betalar för deras tystnad, enligt Cisco Talos. Den typen av hot, benämnd ”data theft extortion”, stod exempelvis för 30 procent av de registrerade säkerhetsincidenterna under andra kvartalet i år, betydligt fler än antalet traditionella ransomware-attacker.
Bland de grupper som helt eller delvis fokuserar på datastöld och utpressning finns Babuk, Karakurt, RansomHouse, Lapsus$, Clop och BianLian.
Det finns flera faktorer som sannolikt bidragit till skiftet, skriver rapportförfattarna:
”Amerikanska och internationella rättsvårdande myndigheter har jagat ransomware-aktörer intensivt under de senaste åren och lyckats störa välkända grupper i stor omfattning. Förbättrade förmågor för spårning och hantering av incidenter har sannolikt också utgjort ett stort hinder för hotaktörer.”
Två internationella polisinsatser under året, i januari respektive augusti, lyckades stänga ner två av de mest ökända ransomwaregrupperna, Hive och Qakbot, som båda beräknas ha dragit in miljardbelopp i lösensummor under de senaste åren.
Nya ransomware-aktörer tillkommer hela tiden och en anledning till det är att det blivit allt vanligare att skadeprogram säljs eller läcker ut på internet:
”När ransomware-källkod eller programmeringsverktyg läcker blir det enklare för kriminella som saknar teknisk expertis att utveckla sina egna ransomware-varianter med endast små förändringar i den ursprungliga koden. Genom att använda läckt källkod kan hotaktörer också förvirra utredare eller leda dem på fel spår”, skriver rapportförfattarna.