Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Ransomware udgør en digital pandemi.
Organisationer, der har været udsat for et ransomwareangreb, ved, hvor dyrt, ubehageligt og ødelæggende, det kan være.
Det har konsekvenser for omdømme, lammer den daglige drift og resulterer i betydelige økonomiske tab.
Cyberkriminalitet står ikke stille, og vi bevæger os ind i et 2024 med nye taktikker og mål inden for ransomware.
Dette sker dels på grund af vedvarende økonomisk usikkerhed og dels på grund af stadig mere omfattende lovgivning inden for data og cybersikkerhed. EU’s NIS2-direktiv, som træder i kraft i år, er med til at drive udviklingen fremad.
Vi har for nyligt set det først eksempel på en ransomwaregruppe, der udnytter compliance-lovgivning som en del af deres afpresningstaktik.
Fintech-virksomheden MeridianLink blev angrebet af BlackCat, men valgte ikke at imødekomme gruppens krav om løsesum.
Som reaktion klagede gruppen til det amerikanske finanstilsyn (SEC) over, at MeridianLink ikke rapporterede databruddet i tide.
Det er et godt eksempel på, at ransomware-operatører følger udviklingen tæt og har fingeren på pulsen i forhold til risikostyring.
I USA kræves det, at alle børsnoterede virksomheder rapporterer cyberangreb inden for fire dage.
NIS2 indfører endnu strengere krav til rapportering i EU. Når en organisation opdager en sikkerhedshændelse, har den 24 timer til at rapportere en tidlige advarsel til myndighederne, 72 timer til at forelægge en hændelsesmeddelelse og en måned til at udarbejde en detaljeret endelig rapport.
Danske virksomheder bør derfor være opmærksomme på compliance-afpresning i deres risikovurderinger. Tidligere risikerede organisationer nedetid, datatab og betaling af løsesummer, men nu lægges bøder for manglende compliance oveni.
Ransomware-økonomien bliver mere kommerciel
Ransomwaregrupper er organiseret som moderne teknologivirksomheder.
De investerer i forskning og udvikling af deres teknologi og praksis med henblik på at forfine deres taktikker og maksimere deres udbytte.
Dog oplever ransomware-økonomien øget pres. Dette pres kommer for det første fra globale myndigheder, som i større omfang infiltrerer og nedbryder deres operationer.
Ransomware-økonomien er også påvirket af globale økonomiske usikkerhed. Der er allerede tegn på, at Initial Access Brokers oplever et pres på prisen for deres uautoriserede adgang til systemer og netværk.
Disse tendenser vil presse ransomware-opertørerne til at gøre deres metoder mere kommercielle end før, hvilket vil føre til en yderligere spredning af Ransomware-as-a-Service (RaaS).
Mindre organisationer oplever større pres
I løbet af 2024 vil det intense ransomware-pres, som hidtil primært har været et grundvilkår for store virksomheder, for alvor begynde at sive ned til små og mellemstore organisationer.
Med udbredelsen af RaaS kan personer med minimal teknisk forståelse udføre ransomwareangreb, og generativ kunstig intelligens hjælper dem også på vej ved at producere overbevisende phishing-emails og ondsindet kode.
Automatisering vil give Initial Access Brokers mulighed for at identificere huller i organisationers forsvar hurtigere, hvilket vil øge deres udbud.
Disse faktorer vil føre til en stigning i angrebsfrekvensen, hvilket især vil påvirke små og mellemstore organisationer som følge af deres begrænsede sikkerhedsforanstaltninger.
SMV’er kan ikke undgå behovet for cybersikkerhed, men udfordringen ligger i de ressourcer, der kræves for at håndtere det internt og opnå tilstrækkelig beskyttelse.
Derfor er det en god ide at se mod Managed Detection and Response (MDR) services for at afværge angreb.
Færre ransomwareangreb mod offentlige institutioner
Ransomware-angreb mod den offentlige sektor ser ud til at aftage.
På dark web kan man se, at ransomware-operatører ofte fejlvurderer budgetterne i den offentlige sektor.
For eksempel kan det på papiret se ud som om en uddannelsesinstitution er i stand til at udbetale en stor løsesum, men til stor frustration for trusselsaktørerne viser det sig gang på gang, at det ikke er tilfældet.
Desuden er offentlige institutioner næsten selvforsikrede, da de er immune over for konkurs. Derfor er de mindre tilbøjelige til at imødekomme krav om løsepenge.
Som følge heraf vil ransomware-operatører i højere grad rette deres angreb mod private organisationer, hvor de kan udnytte compliance og bruge deres eksisterende afpresningsmetoder til større udbetalinger.
Det betyder dog ikke, at offentlige institutioner går fri. Initial Access Brokers vil sælge adgang til offentlige enheder til nationale aktører i stedet for ransomware-aktører.
Vi ser allerede et begyndende samarbejde mellem kriminelle grupper og statslige aktører.
2024 tegner sig som et år, hvor indflydelsen af ransomware og cyberafpresning vil vokse markant i kompleksitet.
Det kræver en konstant indsats at være et skridt foran og beskytte digitale værdier.
Organisationer bør sikre, at de har mulighed for at opdage ransomwaretruslerne i systemet og håndtere dem proaktivt, inden værdifulde data eksfiltreres eller krypteres.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.