En ny generation cyberkriminella, med rötter i brittiska och amerikanska ungdomsmiljöer, utgör ett växande hot mot svenska och nordiska företag.
Från tonåringar till cyberkartell: Så hotas svenska företag
Det menar Emil Olofsson, säkerhetsexpert på Integrity360.
Till skillnad från de aktörer som länge dominerat hotbilden saknar de nya digitala brottslingarna avancerad teknisk spetskompetens. Men kompenserar med social ingenjörskonst och ett affärsmodellstänk som sänker trösklarna för att begå cyberbrott.
“Jag brukade tidigare säga att det som man ska vara rädd för är inte ungdomar som sitter hemma i pojkrummen, utan avancerade statsfinansierade organisationer som funkar som bolag i främst öststater, säger Olofsson till Realtid.
”Men det som hänt de senaste åren är att väldigt unga personer i västvärlden, främst i Storbritannien och USA sluter ihop sig i grupper och lyckas framgångsrikt utföra olika cyberattacker”, tillägger han.
Så förbereder du ditt företag för en cyberattack
Cyberkriser sprider sig snabbt i dagens sammanlänkade ekosystem. Så bygger företag kollektiv resiliens och återhämtar sig snabbt.
Köper hacktjänster som underleverantörer
Grupperna, som bland annat går under namnen Scattered Spider och den bredare paraplyorganisationen Scattered Lapsus$ Hunters, har tagit ansvar för en rad uppmärksammade intrång. Det har bland annat varit riktade mot bland annat Marks & Spencer, Harrods, brittiska Coop samt Jaguar Land Rover.
Gruppen uppges också ha stulit 1,5 miljarder uppgifter om 760 företag från Salesforce.
Deras styrka är inte tekniken utan förmågan att utge sig för att vara IT-support, med trovärdiga brittiska eller amerikanska dialekter som får företagsanställda att sänka garden.
Efter att de tagit sig in i systemen använder sig av inköpt skadlig kod från specialiserade aktörer.
“De här Scattered Spider utvecklar inte själva den skadliga koden utan de köper det som en tjänst. Det sänker tröskeln för att komma in i det här, säger Olofsson, och jämför modellen med hur företag anlitar underleverantörer.
I Jaguar-attacken kombinerades flera grupper, där initialt tillträde skedde via ett SaaS-verktyg för processdokumentation. Ransomware-tjänsten köptes sedan in från gruppen Dragon Force.
Rekryterar nu i Sverige
Oron är inte längre begränsad till de anglosaxiska länderna. Polisen i Finland har redan varnat för att nätverket The Com. Det är ett kriminellt onlinecommunity kopplat till samma kretsar, aktivt rekryterat unga i landet. Där har offer hotats och utpressats med offer så unga som åtta år, enligt Yle.
Nu börjar liknande varningssignaler dyka upp i Sverige, uppger Olofsson.
“Risken är att det är väldigt lätt att applicera den brittiska modellen mot Sverige om man rekryterar svenskar som sköter den initiala accessen, säger han.
Det innebär att en angripare kan kontakta en svensk organisation på flytande svenska och låta precis som vilken IT-support som helst.
Cybersäkerhet är en ledningsfråga
Olofsson betonar att sårbarhet inte är en fråga om företagets storlek. Men att de kriminella grupperna naturligt söker sig dit pengarna finns.
Han lyfter också att finansbranschen länge haft ett försprång i sin säkerhetsmognad, men att hela marknaden nu behöver möta en helt annan volym av attacker.
“Man behöver inte se cybersäkerhet som en IT-fråga, utan mer som en ledningsfråga och en kontinuitetsfråga. Som med Jaguar, det påverkade hela produktionen, inte bara IT-systemen”, säger Olofsson.
Hans råd till företag är att börja med att kartlägga sin leveranskedja och förstå vilka tredjepartsleverantörer som har tillgång till känsliga system. Detta eftersom det ofta är den vägen in som angriparna väljer.
Scattered Lapsus$ Hunters publicerade nyligen ett avskedsbrev där de meddelade att de drar sig tillbaka, men experter och myndigheter bedömer att det snarare handlar om en omgruppering och möjligt namnbyte, enligt Panda Security.