Danmark under ransomware angreb i 2024

2024-12-16

Ransomware har desværre også i 2024 vist sig fra den mest kedelige side, og er fortsat et stort problem for mange danske virksomheder.

At der er flere aktører, som aktivt laver angreb mod mål i Danmark, er ikke nogen stor overraskelse eller hemmelighed, men hvem er de og hvordan hacker de sig ind? Det har jeg kigget lidt nærmere på i det følgende.

Hvor kommer mit data fra?
Lidt baggrund for den viden som dette er baseret på. Allerførst skal man forstå at der er skyggetal gemt i antallet af ransomware angreb som bliver offentligt kendt. De virksomheder, som ikke ønsker at betale penge til disse bander, eller Ransomware as a Service platforme, ender med at blive udstillet på såkaldte leaksites (læksider).

Mit datagrundlag, som er fundamentet her, stammer primært fra virksomheder som har fået data, eller andet lækket, og som jeg derved har kunnet dokumentere som ofre for et vellykket ransomware angreb.

Jeg er bekendt med flere virksomheder som har været ofre for succesfulde angreb men som aldrig er kommet til offentlighedens kendskab da man har betalt de it-kriminelle løsepenge. De data er ikke medtaget her, men jeg kan afsløre at det drejer sig om hændelser som kan knyttes til de samme bander som jeg dækker i det følgende.

Derudover er min viden omkring modus og geografisk tilknytning relateret til de forskellige ransomware bander indsamlet igennem egen analyse eller OSINT.

Den russiske ransomware pandemi
Ransomware er et globalt problem. Det er vanskeligt konkret at adressere på grund af den geopolitiske situation, som har udfoldet sig i kølvandet på Ruslands angreb på Ukraine.

Helt forsimplet har russiske cyberkriminelle ideelle betingelser for at udføre angreb mod mål i vesten uden en reel risiko for retsforfølgelse eller udvisning med henblik på retsforfølgelse. Det skaber de bedst tænkelige vækstbetingelser for disse bander og af samme grund vokser dette problem i takt med krigen fortsætter.

Hvis vi ser nærmere på de grupper, som har lavet dokumenterede angreb på virksomheder i Danmark, så fordeler de sig således:

Lockbit indtager førstepladsen
Den mest aktive af alle ransomware banderne er Lockbit som har ramt 8 danske virksomheder i 2024.

Men hvem er de? Lad os se nærmere på det og lad os samtidig se nærmere på hvordan de opnår adgang til de virksomheder som de senere igangsætter deres ransomware payload i.

Hvad  betyder "distribution"?
Inden vi kommer dertil lige en hurtig forklaring på "distribution". Med distribution menes den metode der anvendes til at initiere en adgang. Det er den teknik, som bruges til at opnå adgang til en virksomhedsnetværk. Når der skrives e-mail er det f.eks. en ondsindet e-mail med en vedhæftning, eller link til brugeren, som der så klikkes på og eksekveres. DanaBOT, SystemBC og Smokeloader er typisk Malware as a Service, som netop droppes i den slags e-mail kampagner, og der så giver de it-kriminelle den nødvendige adgang til at kunne gennemføre lateral bevægelse.    


Navn:                           Distribution:                       Nationalitet:
8base                           e-mail                                   Maldovien / Rusland
                                      Smokeloader                      
                                      Exploitkit (Drive-by)


Navn:                          Distribution:                         Nationalitet:
Akira                            Password stuffing                 Rusland
                                     Cisco ASA FTPd / VPN
                                     Fortinet / FortiOS
                                     Sonicwall VPN
                                     ESXi


Navn:                         Distribution:                          Nationalitet:
BlackBasta                e-mail                                      Nordkorea
                                    ESXi


Navn:                          Distribution:                         Nationalitet:
BlackSuit                    ESXi                                         Rusland


Navn:                          Distribution:                          Nationalitet:
Cactus                         e-mail                                      Rusland
                                      Social Engineering
                                      Blackhat SEO
                                      DanaBOT


Navn:                           Distribution:                          Nationalitet:
LockBIT                       Netscaler ADC & Gateway    Rusland
                                      Log4j
                                      Fortinet / FortiOS
                                      Papercut
                                      F5 iControl
                                      Fortra GoAnywhere
                                      RDP


Navn:                          Distribution:                            Nationalitet:
Ransomhub                Apache ActiveMQ                   Rusland
                                      Atlassian
                                      Fortinet SSL-VPN
                                      F5 Big-IP
                                      ZeroLogin


Navn:                          Distribution:                            Nationalitet:
Ransomhouse           Buy-off / Affiliates                    Ukendt
                                     Leak gruppe


Navn:                          Distribution:                           Nationalitet:
INC ransomware       Fortinet / FortiOS                    Rusland
                                      Oracle Weblogic
                                      Log4j
                                      Struts


Navn:                           Distribution:                            Nationalitet:
PLAY                             e-mail                                        Ukendt / RaaS
                                      SystemBC
                                      Fortinet SSL-VPN
                                      Password stuffing
                                      Microsoft Exchange


Hvis du leder efter at grave dybere ned i de forskellige bander og TA (Threat Actor) data kan jeg varmt anbefale følgende Github repository, som samler en sværm af OSINT på ét sted:
https://github.com/crocodyli/ThreatActors-TTPs/tree/main/