I en ny rapport konstateras en kraftig ökning av datastöldsincidenter mot företag, där kriminella grupper rör sig bort från ransomware för att genomföra mer traditionella utpressningsförsök.
I den nya rapporten Incident Response Trends Q2 2023 sammanfattar Cisco Talos, Ciscos avdelning för cyberhotanalys, vad som hänt på säkerhetsområdet under våren.
Statistiken bygger på säkerhetsincidenter där Cisco Talos deltagit i hanteringsarbetet.
Samtidigt som ransomware-attacker ökar något jämfört med föregående kvartal, finns det en annan, stark trend. Istället för att installera skadeprogram vid ett lyckat intrång, väljer allt fler kriminella grupper att hota med att läcka ut informationen till allmänheten om offret inte betalar för deras tystnad. Den typen av hot, benämnd ”data theft extortion”, stod för 30 procent av de registrerade incidenterna under andra kvartalet i år – en ökning med en fjärdedel jämfört med föregående kvartal – medan ransomware-attacker stod för 17 procent av attackerna.
Skyddet mot ransomware-programvara förbättras hela tiden, samtidigt som frågan prioriteras högt av polis och rättsvårdande myndigheter, vilket rapportförfattarna slår fast kan vara en anledning till att grupper byter taktik för att kunna arbeta mer i det fördolda.
Vissa av de kända kriminella hackargrupperna, som BianLian och Clop, uppges enligt FBI och USA:s cybersäkerhetscenter CISA ha slutat med ransomwareattacker till förmån för data theft extortion.
”Det finns fortfarande en tystnadskultur kring cyberattacker, och även om det kan framstå som att utpressning av det här slaget snarare sätter mer ljus på de kriminella grupperna, är mörkertalet stort. Verksamheter kan välja att försöka skydda sitt rykte på kort sikt och tysta ner att man drabbats, och hoppas på att utpressarna håller sin del av överenskommelsen – vilket naturligtvis inte alltid är fallet”, säger Henrik Bergqvist, cybersäkerhetsexpert på Cisco Sverige.
Rapporten uppmärksammar också att en stor andel av av attackerna ägde rum mot verksamheter som saknade eller begränsade tillämpningen av flerfaktorsautentisering (MFA) i sin infrastruktur.
”Talos Incident Response ser ofta attacker som skulle kunnat förhindras om MFA användes på kritiska tjänster, som till exempel VPN. I nästan 40 procent av incidenterna kunde angripare missbruka stulna inloggningsuppgifter för att få tillgång till aktiva konton, av vilka 90 procent inte hade MFA aktiverat”, skriver rapportförfattarna.
Henrik Bergqvist, cybersäkerhetsexpert Cisco Sverige
”Det här visar att det fortfarande finns ett stort behov av att förbättra arbetet med MFA, och att erksamheter behöver prioritera att implementera flerfaktorsautentisering för samtliga konton. Här behöver man också väga in en riskfaktor som ofta missas i säkerhetsarbetet. Det är nödvändigt att ha överblick över samtliga konton som har tillgång till en tjänst, även de som tillhör exempelvis konsulter och underleverantörer utanför organisationen”, säger Henrik Bergqvist.
