Karlstads universitets lektor i cybersäkerhet om hackerattacken
2024-01-25Efter den senaste tidens hackerattacker där bland annat universitetets IT-leverantör Tietoevry utsatts blir det tydligt hur snabbt organisationer kan bli måltavlor. Meiko Jensen, lektor i cybersäkerhet vid datavetenskap hjälper oss reda i områdena hacking och cybersäkerhet.
Hej Meiko Jensen. Vad är egentligen en ransomware-attack som dessa angrepp benäms som?
– "Ransomware" syftar på en specifik typ av skadlig programvara som används av hackare för att tjäna pengar. Den krypterar filer på din dator så att du inte kan öppna dem igen om du inte betalar hackarna. I de senaste fallen lagrar hackarna först en kopia av alla dina filer på sina servrar, så att de kan utpressa dig genom hotet att offentliggöra känslig och konfidentiell information. För att köra sin ransomware måste hackarna dock hitta ett sätt att komma in i offrens datorsystem, vilket är det vi kallar "hacking". Dessa kallas för "dubbel utpressnings" attacker - precis som vad Akira ransomware gjorde mot Tietoevry.
– Eftersom hacking har varit ganska enkelt de senaste åren har det inträffat många fall av ransomware-infektioner, de flesta av dem har aldrig publicerats i media. Med större och mer framstående offerorganisationer och med vardagliga IT-system hos kunder som påverkas, har allt fler sådana fall blivit offentliga. Det innebär att medvetenheten om dessa typer av attacker har ökat. Idag har försvar av IT-system mot ransomware blivit högsta prioritet för de flesta organisationer världen över.
Hur kan vanliga användare av IT-system och organisationer skydda sig mot hackingattacker?
– En av de bästa skyddsåtgärderna är att ha en kopia av dina filer, till exempel på en USB-enhet. Där kan inte ransomware kryptera dem (så länge enheten inte är ansluten) och du kan få tillbaka dina data efter infektionen. Detta tillvägagångssätt, känt som "offline-backup", fungerar dock inte på samma sätt för större organisationer med många databaser och stora datavolymer. Även om offline-backuper fortfarande är den mest effektiva branschåtgärden mot ransomware-infektioner, behöver organisationer gå vidare och införa starka säkerhetsmekanismer i sina IT-nätverk, såsom applikationsbrandväggar och intrångsdetekteringssystem. Dessutom är medvetenhetsträning kring säkerhet för alla anställda relevant för att förhindra att hackarna överhuvudtaget kan köra sin ransomware.
Är det svårt att utföra dessa typer av attacker eller är det något många hackare kan göra?
– Att ladda ner och köra ransomware på vilken dator som helst är enkelt, men moderna antivirusprogram kommer att identifiera och avvärja sådana försök i nästan alla fall. Trots det är det möjligt, även för enskilda personer med lite mer avancerad kunskap, att ändra ransomware till något mindre lätt att upptäcka.
– Det vi ser nuförtiden är dock ett annat hot, eftersom hackarna bakom sådana storskaliga attacker är heltidsarbetare som ägnar sig åt hacking som sitt dagliga jobb. Dessa grupper, kända som APT-grupper (Advanced Persistent Threat) opererar vanligtvis som moderna företag, men med affärsmodellen att hacka sig in i andra organisationers system. De får betalt från sina utpressningar eller från regeringar som explicit definierar deras mål och medfinansierar deras verksamhet. Dessa personer är experter på hacking, och att försvara sig mot dem kan vara en riktigt utmanande uppgift för din organisation.
Det är hackergruppen Akira som är ansvarig för den senaste attacken, känner du till dem?
– Även om det ofta är svårt att fastställa den verkliga ursprunget av en ransomware-attack är det känt att många APT-grupper opererar i länder som Ryssland och Kina och angriper mestadels västerländska organisationer. Akira ransomware, uppkallad efter informationen som visas vid kravet på lösen, är en relativt ny variant av ransomware som ännu inte har kunnat kopplas till någon känd APT-grupp. Därför fick gruppen bakom dessa attacker sitt namn från sin ransomware. Det finns indikationer på att det är hackare som opererar från Ryssland, men vi vet ännu inte säkert vilka dessa aktörer var och vilken agenda de kan ha följt utöver pengar. Det vi kan observera och definitivt förutse för kommande år är att hotet från ransomware kommer att bli värre, med allt allvarligare konsekvenser för alla IT-system som används i våra dagliga liv.
Hur testar ni cybersäkerheten här på universitetet?
– Bland annat arbetar vi med Mobile Malware Lab (MoMaLab). Där vi tar reda på vad som verkligen händer när du klickar på den e-postbilagan alla varnade dig för att inte öppna. Skulle du köra ett datavirus på din egen dator, hemma eller på jobbet bara för att se vad det gör? Inte vi heller. Det skulle vara alldeles för farligt, eftersom viruset kan ta bort dyrbart innehåll eller spridas via nätverk till andra datorer på universitetet. Men för att förstå vilken skada en modern skadlig programvara kan göra på ett datorsystem så testar vi det här för att köra det på en realistisk dator. Precis som ett forskningslabb för biologiska virus så har MoMaLab en speciell hårdvara som är designad för att innehålla ett datavirus. Det skapar en säker miljö och förhindrar att den sprids till andra datorer i de lokala nätverken. Här kan vi köra skadlig programvara i en säker inneslutning, analysera deras beteende och forska om sätt att bekämpa dem eller för att ångra den skada de orsakar – utan att äventyra våra datorer, nätverk och IT-system. MoMaLab-datorerna är mobila, så vi kan ta dem till alla miljöer du behöver för att köra skadlig programvara till exempel vid utbildning för dina anställda.
– Om du är intresserad av att lära dig mer om MoMaLab får du gärna kontakta oss, avslutar Meiko Jensen.
Hackingklubben vill förhindra framtida cyberattacker
Vid ämnet datavetenskap invigs snart ett hackerspace där studenter uppmanas att utvecklas inom just hacking. Jonathan Magnusson som driver the KAUotic Hacking Club förklarar:
Hur går det här ihop med de kriminella attacker som vi kan läsa om i media just nu?
– Detta angrepp är definitivt ett exempel på något som vi hoppas att våra medlemmar kan förhindra i framtiden. Vi brukar delta på så kallade Capture-the-Flag (CTF)-evenemang där vi använder våra kunskaper inom datavetenskap för att lösa pussel och utmaningar för att hitta dolda flaggor. Vi har kommit långt i flera tävlingar, ibland bland de tio bästa. KAUotic hackerspace kommer att vara en samlingsplats där vi kan ha föreläsningar, workshops och en plats att få vara kreativa och umgås. Vi stöder studenter intresserade av cybersäkerhet i vår klubb och alla är välkomna att delta, säger Jonathan Magnusson.