Dette kommer frem i en rapport fra Cisco Talos, et av verdens ledende senter for IT-sikkerhet. I rapporten Year in Review 2022 oppsummerer de de største cybertruslene i året som gikk, og hva som vil fortsette å prege tiden vi er inne i.

Utga seg for å være helsemyndigheter
I løpet av fjoråret utnyttet kriminelle grupper USB-pinner til i en rekke ulike angrep. I januar avdekket FBI en stor kampanje der infiserte minnepinner ble sendt til en rekke selskaper. Avsenderen ga seg ut fra å være det amerikanske helsedepartementet, og hevdet at USB-enhetene inneholdt viktig informasjon om COVID-19. I stedet innehold de skadevare.

USB-pinnen oppførte seg som et ekstra tastatur som kunne sende skript til datamaskinen for å installere ulike former for ondsinnet programvare. Dette inkluderte løsepengevirus. Angrepet er tilskrevet FIN7, en kriminell gruppe som sies å operere fra Russland, men motivene skal være økonomiske og ikke politiske.

Sprer seg mellom kolleger
I løpet av våren, sommeren og høsten registrerte Talos en sterk spredning av andre former for skadevare via USB-pinner. Problemet er at skadevaren ikke nødvendigvis kommer direkte fra de kriminelle. Den er designet for å spre seg gjennom å infisere eksterne minner, og kan spre seg også når venner og kolleger deler USB-enheter mellom seg – så lenge en av brukernes datamaskin er rammet. Derfor holder det ikke å be folk om ikke å ta i bruk minnepinner fra ukjente avsendere.

– Unngå ekstern USB-lagring
En av de mest utbredte skadevarene er kjent som Raspberry Robin. Fra januar til april registrerte Talos en mer enn femdobling av antall saker knyttet til denne ormen, og angrepsnivået holdt seg høyt gjennom sommeren og høsten. I august offentliggjorde Talos hvordan skadevaren fungerer.

Den mest effektive måten å stoppe USB-angrepene på er å unngå å bruke ekstern USB-lagring. Cisco Talos oppfordrer derfor bedrifter og organisasjoner om å begrense, eller aller helst forby de ansatte å dele data på denne måten. I tillegg oppfordres de til å øke kunnskapen til de de ansatte om risikoen.

– Dette er et eksempel på nettkriminelle som er villige til å tilpasse taktikken sin for å dra nytte av mål som fokuserer mer på nye og fremvoksende former for trusler enn gamle. De vil fortsette å bruke teknologien så lenge det er mulig, skriver forfatterne bak rapporten.

Utnytter pålitelige programmer
En annen trend som trekkes fram i rapporten er at cyberangrep i økende rad bruker programvare som opprinnelig ble utviklet med formål om å stimulere og forhindre angrep. Det mest kjente eksempelet er penetrasjonstestprogrammet Cobalt Strike, men i løpet av 2022 økte også antallet hendelser med andre lignende programmer, som Brute Ratel og Sliver.

En lignende trend kan ser vi i veksten av såkalte LoLBins, som står for «Living-off-the-land-binaries». Dette er skadevare som angriper deler av operativsystemet som er forhåndsinstallert på datamaskinen. Disse programmene anses å være pålitelige og brukes til rutineoppgaver, og er derfor lett å overse når man leter etter trusler.

Årsrapporten fra Cisco Talos er basert på identifisert, telemetrisk informasjon og saker fra selskapets hendelsesberedskapsteam.