Af Eskil Sørensen, 11/12/20
FBI, CISA og MS-ISAC (Multi-State Information Sharing and Analysis Center) har udsendt en fælles advarsel om cyberaktører, der målrettet går efter at angribe uddannelsesinstitutioner.
Det sker på baggrund af rapporter, som de tre organisationer har modtaget om ransomwareangreb, som er målrettet mod computersystemer på skoler i USA. Hvilket begrænser adgangen til og - i nogle tilfælde - gør systemerne utilgængelige for bl.a. fjernundervisning.
Aktørerne bruger samme metoder, som tidligere er brugt mod virksomheder, dvs. ransomware-aktørerne stjæler og truer med at lække fortrolige oplysninger til offentligheden, medmindre institutioner betaler en løsesum.
Strategien falder dermed i tråd med den trusselsvurdering, som netop er udkommet i dag fra Center for Cybersikkerhed ”Kriminelle spænder den digitale trommelskrue”. Heri beskrives det bl.a., hvordan dobbeltafpresning har udviklet sig til at være ”The New Normal” inden for ransomwareaktiviteter.
Gamle ransomware-kendinge
Ifølge data fra MS-ISAC steg procentdelen af rapporterede ransomware-hændelser mod skoler i begyndelsen af skoleåret 2020. I august og september involverede 57% af de rapporterede ransomware-hændelser skoler sammenlignet med 28% af alle rapporterede ransomware-hændelser fra januar til juli.
De fem mest almindelige ransomware-varianter, der er identificeret i hændelser på skolerne mellem januar og september 2020 er Ryuk, Maze, Nefilim, AKO, og Sodinokibi / REvil. Nogle varianter, vi har set i andre sammenhænge gennem året. Data er baseret på open source-information samt rapporter om offer og tredjeparts hændelser, der er rapporteret til MS-ISAC.
Med denne advarsel har CISA udsendt 36 alene i år. I 2019 var der fem.