Detta är en kortare sammanfattning Crowdstrikes Global Threat Report för 2021.
Nyckelinsikter
- Statliga aktörer fortsätter att drivas av sina respektive länders politiska målsättningar men skiftar fokus när så anses nödvändigt (eg. forskning avseende Covid-19).
- Cyberkriminella är opportunister och vänder sig dit pengarna troligen finns; alla organisationer som inte tar sin cybersäkerhet på allvar kan utsättas.
- Mycket är same-same; säkerställ att du inte har kända sårbarheter i publika tjänster och använd flerfaktors-autentisering.
Statliga aktörer
På sidan 16 gör Crowdstrike en övergripande genomgång av Solarwinds-angreppet som är värd att läsa, den är bra. Intressant i sammanhanget är att Crowdstrike väljer att inte attribuera angreppet till Ryssland som många andra gjort. De väljer stiället att hänvisa till ett aktivitetskluster de benämner StellarParticle.
Mycket aktiva aktörer är Kina, Ryssland, Iran och Nordkorea. Utöver dessa hittar vi även Pakistan, Indien och Vietnam som aktiva men i mer begränsad omfattning.
Kina framhävs som den absolut mest aktiva aktören i cyberdomänen genom Wicked Panda (APT41, Winnti). Flertalet av de intrång som knutits till kinesiska aktörer har kunnat kopplas till tydliga mål avseende 5-årsplanen. Det är således av vikt att börja studera den kommande och nästa 5-årsplanen.
Ryssland är också aktiva och har observerats vid flertalet tillfällen angripa VPN-anslutningar. Dock skrivs ganska lite om Ryssland i rapporten, men skall tydligen fortsätta på mer traditionell underrättelseinhämtning.
Iran har fortsatt med traditionell underrättelseinhämtning med vissa skiftningar mot Covid-19-relaterad aktivitet. Iran har i mellanöstern och afrika gett sig på telekom-sektorn, särskilt framhävs Irak som målnation. Bedömningen är att förhållandena i Iran kommer att fortsättningsvis vara… tillåtande för cyberaktörerna.
Nordkorea fortsatt sitt fokus på att generera inkomster för landet, samtidigt som Covid-19-relaterad forskning också varit av intresse för landets grupperingar. Givet de socioekonomiska förhållanden som råder, besvärligt väder och stängda gränser har svälten varit betydligt mer påtaglig än på flera decennier. Bedömningen är att Nordkorea eventuellt kan bli mer agressiva som konsekvens av detta avseende cyberaktivitet.
eBrott och de cyberkriminella
Inom ramen för cyberbrottslighet fortsätter utpressningstrojaner att dominera. Aktörer har även fortsatt i allt större utsträckning hota om att publicera information. Flera aktörer har anammat detta således blivit ett allt vanligare inslag i utpressningsattackerna.
Industri och tillverkning är enligt rapporten de mest utsatta sektorerna för utpressningsangrepp. Det är dock viktigt att i princip samtliga sektorer är utsatta.
Generella anteckningar och noteringar
Crowdstrike introducerade ett koncept som de kallar eCrime index . Tanken är att detta genom ett antal mätpunkter ska försöka ta “tempen” på hur aktiv brottsligheten.
Under de senaste två åren har andelen intrång med “händer-på-tangentborden” fyrdubblats och av detta står eCrime för 79% av alla attribuerbara intrång. Detta tyder på att allt fler aktörer engagerar sig direkt i intrången för att försöka säkerställa och öka sanolikheten för ett framgångsrikt intrång.