Sikkerhet

Slik truer de kriminelle finansinstitusjoner over hele verden – også i Norge

Distribuerte tjenestenektangrep prøver å ta ned nettsteder slik at andre ikke får tilgang til tjenester som din organisasjon tilbyr via Internett.

Hos TSOC stopper de daglige DDoS-angrep

Cyberkriminelle bevæpner seg med enorme mengder båndbredde for å angripe virksomheter. Slik risikerer bedriftene kostbar nedetid etter distribuerte tjenestenektangrep og DDoS-angrep. Heldigvis er det mulig å sikre seg.

Slik truer de kriminelle finansinstitusjoner

– I den siste tiden har stadig flere bedrifter over hele verden blitt utsatt for DDoS-angrep – altså distribuerte tjenestenektangrep, sier sikkerhetsanalytiker Jan Roger Wilkens ved Telenors Sikkerhetssenter (TSOC), og forklarer:

– Dette er angrep som sender store mengder «søppeltrafikk» mot en internett-tjenester eller systemene til en bedrift, slik at disse blir utilgjengelig for brukerne.

Selve angrepsformen distribuerte tjenestenektangrep er velkjent og mye brukt gjennom mange år.

– Tidligere har målet med angrepet gjerne «bare» vært å gjøre offeret utilgjengelig, ved å bombardere dem med slik uønsket nett-trafikk. Det nye nå er at angriperne også forsøker å tjene raske penger gjennom utpressing, sier Wilkens. Slik beskytter vi bedriften din mot DDos-angrep, fortsetter han.

Ønsker du å bedre sikkerheten i din bedrift hjelper vi deg gjerne. Våre sikkerhetseksperter kan finne ut om det finnes sikkerhetshull og tette disse, slik at du og dine ansatte kan konsentrere dere om det dere er best på, drift av kjernevirksomheten.

Kontakt oss nå for en uforpliktende sikkerhetsprat!

Kjører test-angrep som en forsmak

Dette kan typisk skje ved at større bedrifter får en e-post om at de snart vil bli utsatt for et stort tjenestenektangrep – som en liten forsmak på det de kan ha i vente, forklarer Wilkens:

– Angrepet som deretter kommer er gjerne så stort at bedriften mister kontakten med internett så lenge det pågår, typisk i 20 minutter. Bedriften blir så truet med nye angrep med mindre de betaler løsepenger.

De kriminelle ber som regel om løsepenger utbetalt via kryptovaluta, og beløpene kan ifølge Wilkens ligge på en million kroner – eller mer.

Han nevner to slike store angrep som nylig har funnet sted internasjonalt:

  • Nett-tilbydere (ISP-er) i Belgia, Frankrike og Nederland opplevde i august en bølge av flere avanserte DDoS-angrep med DNS-tjenerne som mål. DNS (Domain Name System) er et kritisk system for en ISP, og dersom denne tjenesten ikke er tilgjengelig, kan ikke kundene benytte internett. Noen av angrepene varte i flere timer, med angrepstrafikk på over 300Gbps. Nederlandske NCSC bekreftet at angrepene var et ledd i utpressing av ISP-ene.

  • Det var også DDoS-angrep med påfølgende forsøk på utpressing av flere store finansinstitusjoner som børsen i New Zealand, PayPal, Moneygram og Braintree. Angrepet mot børsen i New Zealand var så stort at også andre kunder av børsens internettleverandør gikk ned. Handelen på børsen ble stoppet flere ganger over en firedagersperiode på grunn av angrepene – og fortsatt er børsens nettside tidvis nede, flere uker etter det første angrepet.

Hos TSOC stopper de daglige DDos-angrep og distribuerte tjenestenektangrep
Ifølge sikkerhetsanalytiker Jan Roger Wilkens (nr. 2 fra høyre) har det i det siste vært registrert et oppsving i antall distribuerte tjenestenektangrep, også mot norske bedrifter. Samtidig benytter de kriminelle seg av nye virkemidler for å presse ofrene sine for store summer.

Også norske bedrifter rammes

Heller ikke norske bedrifter er blitt skånet for denne typen trusler, som er internasjonale av sin natur.

– Det man ser, er at spesielt finansinstitusjoner er attraktive mål – ettersom nedetid som følge av et DDoS-angrep kan ha enorme økonomiske konsekvenser. Dette setter stor makt bak utpressingskravet, sier Wilkens.

Alle organisasjoner som er avhengig av internett bør ifølge sikkerhetsanalytikeren ha systemer på plass for å oppdage distribuerte tjenestenektangrep – samt planer for hva en skal gjøre dersom et angrep oppdages.

– For de fleste moderne bedrifter tar det ikke lang tid før fraværet av internett-forbindelsen kan defineres som en krise, sier Wilkens.

På Telenors sikkerhetssenter monitoreres nettrafikken 24/7. Oppstår det tegn til distribuerte tjenestenektangrep mot en kunde, kan denne varsles umiddelbart – samt at angrepet kan stoppes.

Angrep må stoppes utenfor bedriften

Distribuerte tjenestenektangrep er vanligvis umulig å stoppe for organisasjonen som blir angrepet, forteller han:

– De fleste angrep er volumetriske, som vil si at det kommer inn så mye trafikk på Internett-linjen at ingen annen trafikk får plass. Det hjelper lite å prøve å filtrere trafikken i bedriftens egne brannmurer, når Internett-linjen inn uansett er full. 

Angrepet kan imidlertid stoppes av bedriftens ISP idet trafikken kommer inn fra andre deler av verden ute på grenserouterne:

– På disse routerne er kapasiteten flere Gbps, og angrepstrafikken kan enkelt filtreres ut. Det kan derfor lønne seg å ha på plass en avtale med sin ISP om DDoS-overvåking og filtrering av angrep.

Telenor har installert utstyr fra markedslederen Arbor Networks i sitt nettverk. Dette utstyret samler kontinuerlig inn informasjon om trafikkflyten i nettverket og flagger ifølge Wilkens potensielle angrep:

– Dette er informasjon som igjen blir presentert til våre analytikere, som er på vakt døgnet rundt i operasjonssenteret. Telenors nettkunder som abonnerer på DDoS-beskyttelse, er definert som et eget objekt i dette systemet – og vil da få en egen varsling om noe skulle oppstå, og angrepet vil deretter bli stoppet i samråd med kunden.

Hvem angriper?

Det er mange forskjellige grupperinger som kan stå bak distribuerte tjenestenektangrep. Noen av de mest aktuelle er:

  • Fremmede makters etterretning, som ønsker å sette nasjonale aktører ut av spill og skape ubalanse i samfunnsstrukturer.

  • Hacktivist-grupper. Dette er grupperinger av «hackere» som gjerne kjemper for en eller annen sak. I Norge har for eksempel politiske partier blitt angrepet etter upopulære politiske vedtak. Denne typen angrep er gjerne den som får mest oppmerksomhet, da angriperne ofte annonserer angrepet offentlig for å få mest mulig oppmerksomhet.

  • Konkurrenter. Det er mange eksempler på at bedrifter utfører angrep mot konkurrenter for å ramme dem økonomisk. Dette skjer ofte i forbindelse med lanseringer eller andre hendelser som fra før medfører mye nettverkstrafikk.

  • Cyberkriminelle. Det finnes grupperinger som tjener penger ved hjelp av trusler om DDoS. De utfører gjerne et mindre angrep først for å vise at de mener alvor og forlanger deretter «beskyttelsespenger».

Lær mer om cyberangrep og distribuerte tjenestenektangrep

Ønsker du å lære mer om hvem som står bak cyberangrepene, hvorfor de gjør det og hvordan du kan beskytte deg? Da anbefaler vi deg å ta en titt på e-boken "Lær mer om cybersikkerhet". Del den gjerne med dine ansatte slik at de også kan være obs på farene som lurer på nettet.

Her finner du e-boken!