Search

  1. Sweden
  2. Kunskap
  3. Blogg
  4. Threat Management
  5. Cyberutpressning (Cy-X): aktörer och offer

Cyberutpressning (Cy-X): aktörer och offer

Blogg Threat Management

Share

En ny definition av cyberkriminologi

Ransomware har blivit ett begrepp i media och vi läser dagligen om det i tidningarna. För att motverka hotet från ransomware måste vi göra en viktig distinktion som ofta inte beskrivs närmare i artiklarna. Ransomware i sig är slutet på en attack. En attack görs inte av ransomware, utan ni blir utsatta för ransomware. Ransomware beskriver en form av malware, inte en form av brott.  

Ransomware är bara ett sätt att utöva utpressning. När organisationer ökar sitt säkerhetsskydd kan det vara svårt för motståndarna att få tillgång till en organisation. Men angripare kan sätta en organisation under utpressning genom en DDos-attack med enkel datastöld. 

Vi föreslår att termen "cyberutpressning" används, förkortat "Cy-X" (uttalas "sigh ex"):

"Cy-X är en form av datorbrott där säkerheten för ett företags digitala tillgångar (konfidentialitet, integritet eller tillgänglighet) äventyras och utnyttjas i någon form av hot för att pressa fram en betalning." 

En närmare titt

Nu när vi har fastställt terminologin för denna kriminologi kan vi ta en närmare titt på hotbilden och dess aktörer och offer. Vilka är aktörerna på det här området och i vilka branscher eller länder orsakar de störst skada?

Cy-X är en unik form av cyberbrottslighet eftersom vi kan observera och analysera en del av de kriminella handlingarna via läckta sajter som "victim shaming". 

Genom vår egen forskning, analys och berikning av data från de olika Cy-X-operatörerna och marknadssajterna, kan vi ge direkta insikter i offerologin ur detta specifika perspektiv. Vi kommer att referera till listningen av en komprometterad organisation på en Cy-X läckt sajt som ett "läckt hot".  

Sedan början av januari 2020 har vi identifierat och dokumenterat 3 027 unika "läckta hot" av detta slag från 67 olika aktörer. Eftersom den mörka webben per definition inte är indexerad kan vi bara registrera de hot som vi ser. Men vi ser en betydande ökning, med en nästan sexfaldig ökning av läckta hot från det första kvartalet 2020 till det tredje kvartalet 2021.

Aktörerna

Som i alla andra verksamheter som visar sig vara lönsamma börjar konkurrensen komma. Det är därför inte konstigt att antalet distinkta aktörer har fortsatt att växa. Intressant att notera här är att ökningen av hot och aktörer inte är linjär, vilket framgår av diagrammet nedan.

Det finns också en stor skillnad i "storlek" på fältet. Nästan 50% av alla hot kan hänföras till endast fem "alfa"-aktörer - Conti, REvil, Maze, Egregor och LockBit 2.0. Ur ett annat perspektiv kan de övriga 50% av alla hot tillskrivas en andra nivå med 58 olika grupper, av vilka 30 har gjort mer än 10 hot under de senaste två åren.

Offren

Om vi nu återgår till de 3 027 posterna i våra hotdata för läckta webbplatser, låt oss ta en titt på de branscher och länder som offren är verksamma i. 

När vi tittar på de olika länderna kan vi dra slutsatsen att det relativa antalet offer i ett land helt enkelt är en funktion av antalet onlineföretag i det landet, vilket kan spåras tillbaka till landets relativa BNP. Ju större ekonomi, desto troligare att det finns fler offer.

Denna slutsats innebär dock inte att företag i andra länder inte är måltavlor. Globalt sett är sannolikheten för att ett företag i ett visst land kan bli ett offer. Ju fler företag ett land har, desto fler offer kommer vi logiskt sett att se. 

På samma sätt som spridningen över olika länder kan offer för läckta hot hittas i alla branscher. Vi kan dock identifiera två branscher som rankas högst, nämligen tillverkningsindustrin och organisationer inom professionella, vetenskapliga och tekniska tjänster. 

Det finns flera förklaringar till denna ranking. Kanske tror kriminella att dessa sektorer är mer benägna att betala, eller så tror de att deras övergripande cybersäkerhetsställning inte är lika robust som andra.  

Om aktörerna riktade in sig på specifika branscher skulle vi förvänta oss att se åtminstone en viss grad av specialisering. Det faktum att vi inte gör det tyder på att dessa mest framträdande branscher inte är specifikt inriktade, utan snarare har något annat gemensamt. Vi föreslår att den gemensamma nämnaren helt enkelt är att de är mindre förberedda på att avvärja attacker.

 

Slutsats

Cy-X hotaktörslandskap är komplext och dynamiskt. Det totala antalet aktörer ökar stadigt, även om enskilda aktörer kommer och går över tid. Medan en handfull "alfaaktörer" står för ungefär hälften av alla brott, finns det dussintals andra "mindre" aktörer att tampas med. 

Cyberutpressning fortsätter att utvecklas, inte bara när det gäller den teknik som används utan även genom sin affärsmodell. I takt med att nya former av utpressning blir allt vanligare bör vi förbereda oss på att anpassa våra tekniska försvar och andra motåtgärder i enlighet med detta. 

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.