När ett företag drabbas av en cyberattack antar man ofta att den utförts av statligt sponsrade elit-hackare. Medierna fokuserar gärna på “statsstödda hot” eller “APT-grupper” (Advanced Persistent Threats). Men sanningen är långt mindre dramatisk — och mycket vanligare.
Många av dagens mest störande cyberattacker orkestreras inte av regeringsagenter eller erfarna proffs, utan av tonåringar och unga vuxna beväpnade med grundläggande verktyg, artificiell intelligens, social ingenjörskonst och färdiga skadeprogram.

Dessa unga hackare utnyttjar samma svagheter som professionella cyberbrottslingar: bristande åtkomstkontroller, svaga identitetskontroller och anställda som kan övertalas att lämna ut information. Organisationer måste inse att det verkliga hotet ofta inte kommer från en fientlig stat — utan från en uttråkad ung person som agerar från sitt sovrum.

 

Banners_WEB

 

Det är inte så komplicerat som det verkar

Även om hot från zero-day-exploits och APT-grupper existerar utgör de bara en bråkdel av de incidenter som drabbar företag och myndigheter världen över.

I de flesta fall bygger attacker inte på avancerad kod utan på mänskliga misstag, ouppdaterad programvara och osäkra nätverk. Social ingenjörskonst, nätfiske och stöld av inloggningsuppgifter är fortfarande de vanligaste metoderna för intrång. Det är tekniker som vem som helst kan lära sig — och med AI är de enklare att utnyttja än någonsin.

Den moderna cyberbrottsligheten är en industri med färdiga ransomware-kit, exploateringsverktyg och stulna inloggningsuppgifter som säljs som tjänster (ibland till och med med kundsupport). Vem som helst med nyfikenhet, självförtroende och vilja att bryta mot lagen kan köpa sig in i spelet.
För en generation som vuxit upp online, där information och anonymitet är rikliga, har steget från digitalt utforskande till brott aldrig varit kortare.

Under de senaste åren har polismyndigheter över hela världen gripit ett växande antal tonåringar kopplade till större dataintrång. Många av dessa individer är inga tekniska genier; de är opportunister som utnyttjar allmänt tillgängliga verktyg eller manipulerar människor snarare än kod.

Vissa har kopplats till löst organiserade grupper som Scattered Spider eller Lapsus$, kollektiva nätverk som har brutit sig in i globala företag genom att lura supportpersonal eller utge sig för att vara anställda. Dessa angripare använder sällan avancerade verktyg — de lyckas genom att rikta in sig på den svagaste länken i varje organisation: människan.

Deras metoder är enkla: övertala någon inom företaget att återställa ett lösenord, dela inloggningsuppgifter eller klicka på en skadlig länk. Därifrån kan skadan bli omfattande — datastöld, systemstörningar eller ransomware-infektioner — allt utan djup teknisk expertis.

Cyber AM_webinar_web header

 

Nyfikenhet, kultur och rekrytering

Hur blir en tonåring en hacker som kan orsaka miljonförluster? Resan börjar ofta med nyfikenhet. Många börjar experimentera med kod, spelmodifikationer eller hackingforum. För vissa utvecklas intresset till besatthet. Online-gemenskaper fungerar som acceleratorer och erbjuder bekräftelse och steg-för-steg-vägledning.

Spelplattformar och sociala medier används av kriminella rekryterare för att hitta unga talanger. En skicklig spelare eller programmerare som visar problemlösningsförmåga kan snabbt väcka uppmärksamhet. Det som börjar som samarbete eller tävling kan snabbt förvandlas till tvång eller rekrytering, där tonåringar lockas in i kriminella nätverk som lovar spänning, pengar eller berömmelse.

Enligt Storbritanniens National Crime Agency (NCA) är denna utveckling väl dokumenterad: spel leder till hackingforum, vidare till små cyberbrott och slutligen till allvarliga brott. Motivationerna är sällan ideologiska; de drivs av nyfikenhet, tristess och ekonomisk frustration.

Många unga hackare är begåvade, ambitiösa och desillusionerade. Med begränsade jobbmöjligheter och digitala färdigheter som inte värderas högt i traditionella karriärvägar kan cyberbrott verka som en genväg till status och inkomst. Vissa utnyttjas av organiserade grupper som lovar utbildning, pengar eller gemenskap — bara för att överge dem när polisen närmar sig.

Motivationerna varierar: vissa söker erkännande i nätkretsar, andra vill tjäna pengar i svåra tider. Många inser inte de juridiska konsekvenserna förrän det är för sent. Det de alla delar är tillgängligheten — den uppkoppling som driver digital innovation göder också digital brottslighet.

MDR2-4

Konsekvenserna

Stora återförsäljare, finansinstitut och vårdgivare har drabbats av driftstopp och dataintrång orsakade av personer som fortfarande går i skolan.

Verktygen är billiga eller gratis, men konsekvenserna enorma: skadat rykte, regleringsböter, driftavbrott och i vissa fall risker för fysisk säkerhet. Även när attacker verkar amatörmässiga kan deras påverkan vara lika stor som statsstödda operationer.

Det senaste angreppet mot förskolekedjan Kido visar hur långt problemet har spridit sig. Två 17-åringar greps i samband med en ransomware-attack som stal personuppgifter, namn och fotografier på 8 000 barn.

Hackarna krävde 600 000 pund i Bitcoin och började publicera barnens bilder på en darknet-sajt när lösen inte betalades. Efter stark kritik suddade de ut bilderna och påstod senare att de raderat alla data — en ovanlig handling av “självbevarelse” från brottslingar oroade över sitt rykte i hackingvärlden.

IR CTA

 

Organisationer måste fokusera på resiliens

För företag förändrar unga och lågutbildade angripare hur risker bör bedömas. Om ett företags försvar enbart är utformat för att stoppa komplexa exploateringar eller utländsk spionageverksamhet kan man lätt förbise de enklare, mänskligt drivna intrång som orsakar de flesta säkerhetsbrotten.

För att förbli resilienta:

  1. Fokusera på medvetenhet kring social ingenjörskonst. De flesta attacker börjar med bedrägeri, inte teknik. Utbilda personalen att ifrågasätta ovanliga förfrågningar och verifiera identiteter.
  2. Stärk identitets- och åtkomstkontroller. Multifaktorautentisering, rollbaserade behörigheter och regelbundna granskningar gör det svårare för angripare att få högre privilegier.
  3. Inför en zero-trust-arkitektur. Anta att varje användare, enhet och nätverksbegäran kan vara komprometterad. Verifieringen ska vara kontinuerlig.
  4. Investera i upptäckt och respons. Managed Detection and Response (MDR) och Incident Response (IR)-tjänster ger snabbhet och expertis för att begränsa skador innan de sprids.
  5. Stöd etisk cybersäkerhetsutbildning. Program, tävlingar och mentorskap kan styra ungas tekniska talang mot legitima cybersäkerhetskarriärer i stället för brott.

Om du är orolig för ditt företags cybersäkerhet, kontakta experterna på Integrity360.

 

Kontakta oss