SIKKERHET | Månedens etterretning

SENTRALT VERKTØY: BYOVD har etablert seg som et sentralt verktøy for cyberkriminelle. Metoden går ut på at angriperen laster inn en legitim, men sårbar driver, som deretter utnyttes til å omgå, og i noen tilfeller helt deaktivere, virksomhetens endepunktsikkerhet, skriver Thomas Havdal Rydland..

Skjulte nettverk og KI-angrep holder trusseltrykket oppe

Kina- og Russland-tilknyttede aktører trapper opp bruken av proxy-nettverk, mens cyberkriminelle utnytter kunstig intelligens og stjålne tokens for å omgå sikkerhetsmekanismer.

Thomas Havdal Rydland Thomas Havdal Rydland leder for Etterretning i Advania Cyber Defense Center.
Publisert

Aktiviteten i april viser at det fiendtlige trykket vi observerte i forrige måned, ikke avtar, men øker svakt.

Trusselaktørene bygger videre på strategien om lynraske angrep, men vi ser nå en tydelig utvikling i metodene som benyttes.

  • Teknologisk samspill: Det er registrert en økende bruk av skjulte proxy-nettverk i kombinasjon med kunstig intelligens (KI).
  • Effektivisert sårbarhetsjakt: KI benyttes aktivt for å skalere oppdagelsen av sårbarheter, noe som gjør kartleggingen mer omfattende.
  • Akselerert tempo: De nyeste KI-modellene bidrar til at prosessen fra identifikasjon til angrep går betraktelig raskere enn tidligere.

Dette stiller ekstreme krav til hvor raskt vi klarer å oppdage og håndtere angrep, før de rekker å utvikle seg til fullskala hendelser.

Thomas Havdal Rydland

Thomas Havdal Rydland er leder for etterretning i Advania Cyber Defence Center. Han rapporterer månedlig til Computerworld om hva som beveger seg på sikkerhetsfronten for norske virksomheter. 

LES OGSÅ:

Fakta: Token-tyveri (Pass-the-Cookie)

I takt med at flere virksomheter aktiverer flerfaktorautentisering (MFA), finner angriperne nye veier rundt. Vi ser i angrep mot SaaS-miljøer at token-tyveri (session hijacking eller pass-the-cookie) er en av de mest brukte og effektive metodene.

Hvordan fungerer det?

Når en bruker logger inn på en skytjeneste (for eksempel Microsoft 365) med passord og MFA, oppretter tjenesten et digitalt «session token» (en informasjonskapsel) som lagres i nettleseren. Det fungerer som et adgangskort som bekrefter at brukeren allerede er verifisert.

Laster en ansatt uforvarende ned en infostealer (som for eksempel den falske «PCAppStore»), vil skadevaren lete spesifikt etter disse tokenene. Angriperen henter ut tokenet, legger det inn i sin egen nettleser og får full tilgang til brukerens konto – uten at verken passord eller MFA trigges på nytt.

Hvordan beskytte seg?

Fordi tokenet omgår standard MFA, kreves andre sikkerhetslag:

● Betinget tilgang (Conditional Access):

Etabler regler som krever ny autentisering dersom tokenet brukes fra en ny IP-adresse, et uvanlig land, eller en ukjent enhet.

● Kortere sesjonslevetid:

Sørg for at innloggingssesjoner utløper raskere slik at stjålne tokens får en kortere verdi-periode.

● Overvåking av SaaS-miljøet:

Følg nøye med på unormale nedlastinger, e-postvideresendinger og mistenkelige innlogginger i skytjenestene deres.

Ferske funn fra sikkerhetssenteret

Sikkerhetssenteret (SOC) ser at angripere jobber systematisk for å omgå etablerte sikkerhetsbarrierer, ofte hjulpet av ny teknologi.

Det er spesielt tre trender som skiller seg ut denne måneden:

1. AI-drevet phishing og nye infostealere

Vi har den siste tiden sett en tydelig økning i phishing-kampanjer som bruker falske fakturaer som lokkemiddel. Cyberkriminelle bruker i økende grad kunstig intelligens (AI) til både «phishing» og «vishing» (stemmebasert phishing), noe som gjør svindelforsøkene mer skreddersydd og overbevisende.

I tillegg observerer vi uønsket programvare, som «PCAppStore», som utgir seg for å være legitime applikasjoner, men som egentlig fungerer som informasjonstjelere (infostealers) i bakgrunnen. Dette øker risikoen for datalekkasjer, misbruk av tilganger og direkte økonomisk tap for virksomheter.

2. Målrettede angrep mot SMS-pålogging i Entra ID 

Vi har den siste tiden sett aktivitet der angripere forsøker å omgå passordbasert autentisering ved å utnytte SMS-baserte påloggingsmetoder i Entra ID.

Alle de observerte forsøkene har heldigvis vært mislykkede, fordi riktig konfigurert flerfaktorautentisering (MFA) har stoppet dem.

3. BYOVD (Bring Your Own Vulnerable Driver) 

BYOVD har etablert seg som et sentralt verktøy for cyberkriminelle. Metoden går ut på at angriperen laster inn en legitim, men sårbar driver, som deretter utnyttes til å omgå og i noen tilfeller helt deaktivere virksomhetens endepunktsikkerhet (EDR).

Denne angrepsmetoden gir angriperen økt kontroll over enheten og åpner for både skjult datatyveri og langvarig tilstedeværelse i virksomhetens miljø.

Geopolitikk: Skjulte nettverk og vedvarende operasjoner mot Norden

I forrige måned advarte nordiske etterretningstjenester om et risikofylt sikkerhetspolitisk landskap i vårt nabolag. Utviklingen vi har sett i april underbygger denne vurderingen.

Kina-tilknyttede aktører fortsetter å bruke skjulte nettverk basert på kompromitterte enheter til storskala cyberoperasjoner, og det vurderes med høy grad av sikkerhet at flere av disse nå prioriterer IT-driftsleverandører (MSP-er) i vår region.

Samtidig pågår det vedvarende operasjoner fra russiske statsaktører mot europeiske virksomheter, ofte gjennom bruk av proxy-nettverk i hjemmenett. Det er blant annet registrert en aktiv kampanje rettet mot store e-postleverandører som Microsoft og Google, i tillegg til mindre e-postleverandører og regionale ISP-er i Norden og Danmark.

Energi- og industrisektoren står fortsatt overfor et særskilt høyt trusselnivå, der løsepengevirus, innsidetrusler og utnyttelse av sårbarheter mellom IT- og OT-miljøer utgjør den største risikoen.

Hva bør du tenke på fremover?

Trusselaktører effektiviserer kontinuerlig metodene sine, men det finnes konkrete grep som reduserer risikoen og styrker motstandskraften i et uforutsigbart trussellandskap.

Vi anbefaler å særlig prioritere disse tiltakene:

Kartlegg og sikre eksponert infrastruktur i nettverkskanten 

For å stå imot skjulte nettverk fra statlige aktører er det særlig viktig for større virksomheter og driftsleverandører å ha oversikt over, og sikre, utstyr som står i nettverkskanten. Dette inkluderer brannmurer, rutere, VPN-gatewayer og andre enheter som er direkte eksponert mot internett.

Sørg for løpende overvåking, sporing og blokkering av uvanlig trafikk mot disse systemene.

Vær kritisk til AI-forbedrede henvendelser 

Når phishing med falske fakturaer øker og AI gjør språk og innhold mer troverdig, må det settes opp tydelige rutiner for å verifisere betalingsinformasjon i alternative kanaler.

Legg særlig vekt på kontroll før endring av kontonumre eller utbetalinger utenom normale mønstre.

Stram inn MFA og fjern usikre påloggingsmetoder 

Angripere forsøker aktivt å utnytte SMS-pålogging i Entra ID. Gå over til sikrere MFA-løsninger som autentiseringsapp eller maskinvarenøkler (FIDO2), og slå av SMS-baserte metoder der det er mulig.

Beskytt endepunktsikkerheten (EDR) mot å bli slått av 

BYOVD-angrep utnytter sårbare drivere til å deaktivere endepunktsikkerhet (EDR – løsninger som overvåker og stopper angrep på klienter og servere).

Bruk blokkeringslister for kjente, sårbare drivere, og sørg for at EDR-løsningen er konfigurert slik at den ikke enkelt kan stoppes eller omgås av en angriper med forhøyede rettigheter.

månedens etterretning cybersikkerhet computerworld advania thomas havdal rydland sikkerhet