Danmark under ransomware angreb i 2024
Ransomware har desværre også i 2024 vist sig fra den mest kedelige side, og er fortsat et stort problem for mange danske virksomheder.
At der er flere aktører, som aktivt laver angreb mod mål i Danmark, er ikke nogen stor overraskelse eller hemmelighed, men hvem er de og hvordan hacker de sig ind? Det har jeg kigget lidt nærmere på i det følgende.
Hvor kommer mit data fra?
Lidt baggrund for den viden som dette er baseret på. Allerførst skal man forstå at der er skyggetal gemt i antallet af ransomware angreb som bliver offentligt kendt. De virksomheder, som ikke ønsker at betale penge til disse bander, eller Ransomware as a Service platforme, ender med at blive udstillet på såkaldte leaksites (læksider).
Mit datagrundlag, som er fundamentet her, stammer primært fra virksomheder som har fået data, eller andet lækket, og som jeg derved har kunnet dokumentere som ofre for et vellykket ransomware angreb.
Jeg er bekendt med flere virksomheder som har været ofre for succesfulde angreb men som aldrig er kommet til offentlighedens kendskab da man har betalt de it-kriminelle løsepenge. De data er ikke medtaget her, men jeg kan afsløre at det drejer sig om hændelser som kan knyttes til de samme bander som jeg dækker i det følgende.
Derudover er min viden omkring modus og geografisk tilknytning relateret til de forskellige ransomware bander indsamlet igennem egen analyse eller OSINT.
Den russiske ransomware pandemi
Ransomware er et globalt problem. Det er vanskeligt konkret at adressere på grund af den geopolitiske situation, som har udfoldet sig i kølvandet på Ruslands angreb på Ukraine.
Helt forsimplet har russiske cyberkriminelle ideelle betingelser for at udføre angreb mod mål i vesten uden en reel risiko for retsforfølgelse eller udvisning med henblik på retsforfølgelse. Det skaber de bedst tænkelige vækstbetingelser for disse bander og af samme grund vokser dette problem i takt med krigen fortsætter.
Hvis vi ser nærmere på de grupper, som har lavet dokumenterede angreb på virksomheder i Danmark, så fordeler de sig således:
Lockbit indtager førstepladsen
Den mest aktive af alle ransomware banderne er Lockbit som har ramt 8 danske virksomheder i 2024.
Men hvem er de? Lad os se nærmere på det og lad os samtidig se nærmere på hvordan de opnår adgang til de virksomheder som de senere igangsætter deres ransomware payload i.
Hvad betyder "distribution"?
Inden vi kommer dertil lige en hurtig forklaring på "distribution". Med distribution menes den metode der anvendes til at initiere en adgang. Det er den teknik, som bruges til at opnå adgang til en virksomhedsnetværk. Når der skrives e-mail er det f.eks. en ondsindet e-mail med en vedhæftning, eller link til brugeren, som der så klikkes på og eksekveres. DanaBOT, SystemBC og Smokeloader er typisk Malware as a Service, som netop droppes i den slags e-mail kampagner, og der så giver de it-kriminelle den nødvendige adgang til at kunne gennemføre lateral bevægelse.
Navn: Distribution: Nationalitet:
8base e-mail Maldovien / Rusland
Smokeloader
Exploitkit (Drive-by)
Navn: Distribution: Nationalitet:
Akira Password stuffing Rusland
Cisco ASA FTPd / VPN
Fortinet / FortiOS
Sonicwall VPN
ESXi
Navn: Distribution: Nationalitet:
BlackBasta e-mail Nordkorea
ESXi
Navn: Distribution: Nationalitet:
BlackSuit ESXi Rusland
Navn: Distribution: Nationalitet:
Cactus e-mail Rusland
Social Engineering
Blackhat SEO
DanaBOT
Navn: Distribution: Nationalitet:
LockBIT Netscaler ADC & Gateway Rusland
Log4j
Fortinet / FortiOS
Papercut
F5 iControl
Fortra GoAnywhere
RDP
Navn: Distribution: Nationalitet:
Ransomhub Apache ActiveMQ Rusland
Atlassian
Fortinet SSL-VPN
F5 Big-IP
ZeroLogin
Navn: Distribution: Nationalitet:
Ransomhouse Buy-off / Affiliates Ukendt
Leak gruppe
Navn: Distribution: Nationalitet:
INC ransomware Fortinet / FortiOS Rusland
Oracle Weblogic
Log4j
Struts
Navn: Distribution: Nationalitet:
PLAY e-mail Ukendt / RaaS
SystemBC
Fortinet SSL-VPN
Password stuffing
Microsoft Exchange
Hvis du leder efter at grave dybere ned i de forskellige bander og TA (Threat Actor) data kan jeg varmt anbefale følgende Github repository, som samler en sværm af OSINT på ét sted:
https://github.com/crocodyli/ThreatActors-TTPs/tree/main/