Ny rapport: Sverige är det fjärde mest drabbade landet

Ny rapport visar att ryska cyberattacker prioriterar angrepp på svenska myndigheter och banker. Bild: Thales

Under tredje kvartalet 2022 märktes en vändpunkt i cyberattacker relaterade till konflikten i Ukraina, enligt Thales Cyber Threat Intelligence Report, som undersökt det senaste årets cyberincidenter och attacker i hela Europa.

Rapporten visar på en tydlig övergång från ett cyberkrig med fokus på Ukraina och Ryssland till ett högintensivt hybrid-cyberkrig riktat mot i synnerhet Polen samt de baltiska och nordiska länderna. Där ett växande antal nyckelsektorer i det civila samhället, inklusive luftfart, energi, hälso- och sjukvård, bank och offentliga tjänster fått känna av cyberattackerna.

Attackerna har fått nytt focus
Från fokus på riktade attacker med syfte att förstöra har attackerna ändrat inriktning till cybertrakasserier som använder pro-ryska hacktivister i DDoS-attacker för att tillfälligt göra servrar otillgängliga och störa deras tjänster. Attackerna är en del av Rysslands strategi att via informationskrigföring nöta ned både offentliga och privata verksamheter.

Attackerna har uppvisat en ny geografisk bild under de senaste 12 månaderna. I början av konflikten drabbade majoriteten av incidenterna bara Ukraina (50,4 procent jämfört med 28,6 procent under tredje kvartalet 2022). Samtidigt har EU-länderna har upplevt en kraftig ökning av konfliktrelaterade incidenter under det senaste halvåret (9,8 procent jämfört med 46,5 procent av de globala attackerna).

I somras inträffade nästan lika många konfliktrelaterade incidenter i EU-länderna som i Ukraina (85 mot 86), och under första kvartalet 2023 har den överväldigande majoriteten av incidenterna (80,9 procent) drabbat EU-länderna.

Vissa europeiska länder varit relativt förskonade
EU-kandidater som Montenegro och Moldavien blir också allt viktigare måltavlor (0,7 procent av attackerna under första kvartalet 2022 jämfört med 2,7 procent i slutet av 2022). Polen har utsatts för ständiga trakasserier, med 114 incidenter i samband med konflikten under det senaste året. Hacktivister (hackande aktivister) har riktat in sig särskilt på de baltiska länderna (157 incidenter i Estland, Lettland och Litauen)  och de nordiska länderna (95 incidenter i Sverige, Norge, Danmark och Finland). Tyskland hade 58 incidenter under det senaste året, medan andra europeiska länder varit relativt förskonade, såsom Frankrike (14 attacker), Storbritannien (18 attacker), Italien (14 attacker) och Spanien (4 attacker).

"Under tredje kvartalet 2022 drogs Europa in i ett högintensivt hybrid-cyberkrig, med en massiv våg av DDoS-attacker, särskilt i Norden och Baltikum och Östeuropa. Cyberkrigföring är numera ett avgörande vapen i modern krigföring, tillsammans med desinformation, manipulation av den allmänna opinionen, ekonomisk krigföring, sabotage och gerillaaktiviteter. Med utbredningen av konflikten från Ukraina till resten av Europa bör västra Europa på kort sikt vara beredda på attacker mot kritisk infrastruktur om konflikten fortsätter att eskalera", säger Pierre-Yves Jolivet, ansvarig för Cyber Solutions på Thales.

Från krigshacktivister till cybertrakasserier
Av alla cyberattacker som rapporterats över hela världen sedan konfliktens början begicks 61 procent av pro-ryska hacktivistgrupper, i synnerhet av Anonymous Russia, KillNet och Russian Hackers Teams. De dök upp som en reaktion på de ukrainska militära hacktivisternas aktiviteter i början av kriget och är mer strukturerade med samma tillvägagångssätt som organiserade it-brottsgrupper, inklusive botnet-as-a-service-resurser som Passion Botnet. Mönstret är att de cybertrakasserar västländer som stöder Ukraina. Grupperna består av oberoende, civila hacktivister och har dykt upp som en ny komponent i konflikten. De kan likställas med en cyberkriminell grupp med specifika politiska mål och intressen, som agerar av övertygelse men inte direkt sponsras av någon regering. Medlemmar i dessa grupper består av ett brett spektrum av personer i fråga om ursprung, tekniska färdigheter och bakgrunder.

Det tredje kvartalet 2022 markerade en övergång till en våg av DDoS-attacker, i motsats till första kvartalet 2022, som såg en rad olika typer av attacker, fördelade mer eller mindre lika mellan dataläckage och stöld, DDoS-attacker, spionage, påverkanskampanjer, intrång, ransomware, phishing, wiper och infostealer-attacker. Cyberangripare har sedan dess fokuserat på DDoS-attacker (75 procent) mot företag och myndigheter. Dessa systematiska trakasserier har ofta en låg operativ påverkan men etablerar ett läge av förhöjd oro bland säkerhetsteam och beslutsfattare.  Deras mål är inte att få någon större operativ effekt utan att trakassera avskräcka från att stödja Ukraina.

I andra änden av spektrumet kan wiperattacker förstöra system och långvarigt spionage kan undergräva säkerhetssystemen hos de attackerade, Men sådana tekniker tar mycket lång tid att förbereda och kräver mycket resurser.  Destruktiva cybermilitära operationer, tillsammans med spionage, står för endast 2 procent av det totala antalet incidenter och är främst riktade mot ukrainska organisationer inom den offentliga sektorn.

Ryska myndigheter använder regelbundet cyberattacker för att trakassera motståndare utan att direkt delta i konfrontation.

Ett växande antal civila sektorer i Europa har angripits

Under första kvartalet 2022 riktades de flesta cyberattackerna mot Ukrainas försvarsindustriella bas och landets offentliga förvaltningar. Men fokus har gradvis flyttats till Europas offentliga förvaltningar (30 incidenter), finanssektorn (162), transportsektorn (132), telekommunikation (90), medier (89) och energisektorn (66). Även om den europeiska hälso- och sjukvårdssektorn, myndigheterna, industrin, IT-tjänstesektorn och luftfartssektorn inte påverkades tidigare i konflikten  blir de alltmer måltavlor i ett försök att utöva påtryckningar på det västeuropeiska civila samhället.

Cyberkrigföringsattacker mot Ukraina pågår fortfarande. Särskilt då attacken mot flera ukrainska offentliga organ på årsdagen av konflikten den 23 februari 2023. Men nyheter om detta drunknar i flödet av krigsnyheter.

Källa: Thales, Media Relations Security