Denne artikkelen er et utdrag av rapporten «Nasjonalt digitalt risikobilde 2021».

Digital utpressing har blant annet som formål å hindre virksomheten i å bruke sitt eget IT-system, slik at virksomheten presses til å betale angriperen for å kunne opprettholde ordinær virksomhet. Internasjonalt rapporteres det om at aktører benytter flere ulike metoder i sin utpressing av virksomheten. Særlig utbredt er de fire metodene kryptering, publisering, trakassering og tjenestenektangrep (RDDoS). Felles for metodene er at de brukes som pressmiddel for å få betalt løsepenger. Ved kryptering krever aktøren løsepenger for å dekryptere virksomhetens systemer, og ved publisering kan aktøren true virksomheten med å publisere data som er hentet ut fra virksomheten. Ved trakassering kan aktøren presse eller trakassere den rammede virksomhetens kunder eller interessenter. Ved tjenestenektangrep kan aktøren utsette virksomheten for et tjenestenektangrep med krav om løsepenger (RDDoS). NCSC har den siste tiden mottatt flere innrapporteringer av trusler om tjenestenektangrep med krav om løsepenger, men ønsker likevel å påpeke at det er få eksempler på at angrepene faktisk realiseres, noe som også gjenspeiles internasjonalt.

NSM vurderer at det er svært høy risiko for at flere norske virksomheter vil utsettes for digital utpressing av begrenset omfang i løpet av 2022. Det er også mulig at norske virksomheter vil utsettes for løsepengevirus med omfattende konsekvenser.

Det er gjennom året sett flere eksempler på at digital utpressing rammer tjenesteleverandører. Dette gir en ytterligere skadedimensjon til krypteringsangrep – nemlig at flere rammes gjennom hele kundesegment hos en virksomhet. Norske virksomheter trenger altså ikke nødvendigvis å være på en aktørs målliste, men kan rammes tilfeldig gjennom en leverandørkjede.

Globalt ser man at digital utpressing i større grad gjennomføres med bruk av «ransomware as a service» (RaaS), altså ondartet programvare som hyllevare. I en slik cyberoperasjon kan hovedaktøren gjennomføre krypteringen, og heller kjøpe tjenester som for eksempel utpressing og e-post-phishing fra andre tilbydere. Dette har medført en «forbedring» av enkelte tjenester fordi en aktør kan spesialisere seg på ett felt og kjøpe andre tjenester. Eksempelvis har metoder som e-post-phishing fått bedre språk og blitt bedre tilpasset mottakeren, noe som kan øke sjansene for at de lykkes.

I Norsk senter for informasjonssikring (NorSIS) sin rapport Trusler og trender i 2021 pekes det på at løsepengeangrep rammer norske bedrifter daglig, og det understrekes at det trolig også er en del mørketall. NCSC har observert flere ulike typer krypteringsvirus som har truffet en rekke ulike sektorer. Sektortilhørigheten til de ulike virksomhetene understreker et viktig poeng, nemlig at digital utpressing rammer bredt. Det er en risiko for at sektorer som er under økt press er mer sårbare for krypteringsvirus og trusler om datalekkasjer. Erfaring viser også at trusselaktører raskt tilpasser seg aktuell tematikk. Særlig har COVID-19-situasjonen skapt en økt risiko for cyberoperasjoner for helsesektoren. Eksempelvis ble et psykoterapisenter i Helsinki utsatt for datainnbrudd i oktober 2020, hvor både virksomheten og enkeltpasienter ble utsatt for løsepengekrav med trusler om datalekkasje. Det er en risiko for tilsvarende operasjoner, med trusler mot enkeltpersoner, også i Norge.

At virksomhetene betaler løsepenger er ingen garanti for at stjålne data ikke selges videre, eller at krypterte data igjen blir tilgjengelige. NSM anbefaler å ikke betale løsepengekravet fordi dette direkte finansierer alvorlig kriminalitet. I tillegg viser det at virksomheten er betalingsvillig, noe som har vist seg å bli utnyttet gjennom flere utpressingsrunder.

Internasjonalt har årets store løsepengehendelser skapt større samfunnskonsekvenser enn tidligere. Hendelsene mot Coop Sverige, amerikanske Colonial pipeline og JBS spredte frykt for varemangel og gjorde tjenester utilgjengelige. Cyberoperasjonen mot kjøttprodusenten JBS, som ble lagt til Memorial Day-helgen, er et eksempel på at aktører i større grad bruker merkedager til å gjennomføre slike operasjoner. Dette kan være i håp om å forbli uoppdaget lengre i systemene eller for å ramme på verst tenkelige tidspunkt.

Potensialet som ligger i det å kryptere offerets data gjør metoden attraktiv både for kriminelle grupper og avanserte aktører som stater eller statsstøttede grupper. De potensielle konsekvensene av bruk av slik ondartet programvare er store og kan i verste fall sette kritiske samfunnsfunksjoner ut av spill. Løsepengehendelser skaper mye støy og kan potensielt brukes i kombinasjon med annen aktivitet for å ta oppmerksomhet vekk fra en større operasjon, eksempelvis fra en statlig aktør. Internasjonalt har man tidligere sett flere såkalte «false flag» operasjoner, der statlige aktører har gjennomført operasjoner med løsepenger som i realiteten har hatt som formål å sabotere kritisk infrastruktur.

Mange virksomheter som rammes av digital utpressing er i liten grad forberedt. Veien inn i virksomhetens systemer er ikke nødvendigvis så avansert - et dårlig passord kan være nok. Gjennom dette kan aktøren utløse et potensielt lammende angrep med enorme kostnader. Virksomheter som ikke har gjort tilstrekkelig forebyggende tiltak må forvente å kunne bli rammet av ondartet programvare og løsepengekrav. Dersom man rammes er det viktig å sikre effektiv håndtering av selve hendelsen, men også hindre lekkasje av sensitive data. Gjenoppretting er både tid- og ressurskrevende, og komplisert. Full stans i virksomheten og tap av sensitiv informasjon kan vise seg å bli vesentlig mer kostbart enn å investere i forebyggende sikkerhetsarbeid. Det bør derfor stå høyt på agendaen hos alle å sikre seg mot dette.

NCSC har utarbeidet mange råd med tiltak for beskyttelse mot bl.a. digital utpressing.


 

Noen eksempler på digital utpressing


En erfaring fra norsk kommunal sektor

Østre Toten kommune ble i januar utsatt for digital utpressing med krav om løsepenger som satte store deler av kommunens tjenestenettverk tilbake til manuell styring i lang tid. Kommunen melder om at enkelte systemer fortsatt er ute av drift et halvt år senere.

Kommune-CSIRT rapporterte om at de lørdag 9. januar ble kontaktet av Østre Toten kommune som var rammet av skadevaren PYSA. Hele den virtuelle serverparken til kommunen ble kryptert og låst ned. Også de internettbaserte sikkerhetskopiene ble kryptert og utilgjengeliggjort. Aktøren hadde også stjålet betydelige mengder data, og dobbel utpressing fremstod som et mulig scenario. Kommunens operative evne ble sterkt redusert da de aller fleste av kommunens digitale tjenester var nede. Situasjonen ble ytterligere forverret den 29. mars, da PYSA offentliggjorde det man vurderer som deler av dataene som var stjålet fra kommunen på det mørke nettet. Kommunen måtte håndtere sensitive personopplysninger på avveie, og informere og støtte personer som ble rammet.

På NSMs sikkerhetskonferanse 11. mars fortalte Østre Totens ordfører Bror Helgestad at hendelsen i praksis blant annet medførte at de eldres alarmsystem på sykehjem ble erstattet med bjeller, låsesystemet på kommunens bygninger ikke fungerte, og at helsestasjonen for barn og unges journaler var utilgjengelige. Kommunen måtte operere manuelt i flere måneder uten fungerende IT-systemer.


Dataangrep stengte vital drivstoffledning til det nordøstlige USA – Colonial Pipeline

Colonial Pipeline ble tidlig i mai offer for digital utpressing, hvor angriperne overførte og krypterte store datamengder fra selskapet. Kompromittert innloggingsinformasjon på en VPN-løsning, som skulle gjøre det mulig for ansatte å logge seg på hjemmefra, samt fravær av bruk av multifaktorautentisering skal være årsaken til at angriperne fikk tilgang til selskapets IT-systemer. Hendelsen medførte fem dagers stans i selskapets drivstoffdistribusjon til store deler av USAs østkyst. Stansen skapte frykt for økte oljepriser og drivstoffmangel i de berørte områdene, noe som førte til hamstring av drivstoff.

Colonial Pipeline valgte å betale løsepengene kort tid etter hendelsen. Imidlertid skal amerikanske myndigheter har greid å gjenskaffe deler av beløpet.

Colonial Pipeline-saken har satt fokus på hackergrupper som ikke er direkte statssponsede, men som drar nytte av at staten de opererer fra ikke straffeforfølger dem for økonomisk kriminalitet i utlandet, herunder digital utpressing. Amerikanske myndigheter pekte etter kort tid på gruppen DarkSide som ansvarlig for hendelsen, og at Russlands mangel på sanksjoner mot gruppen gjør dem medansvarlig.