2024 vil bli husket som året da dataangrep mot kritisk infrastruktur hos myndigheter og offentlige organer eskalerte ut av kontroll.
Vi har sett løsepengevirusangrep mot vannverk, nedstengning av sykehus og at helsedataene til en tredjedel av USAs innbyggere ble eksponert for ondsinnede aktører.
Løsepengevirus og cyberspionasje har forstyrret viktige tjenester, eksponert sensitive data og kostet milliarder av kroner i skadeerstatning.
Cyberkriminelle grupper og statssponsede angripere har demonstrert stadig mer sofistikerte taktikker, og bruker sårbarheter som ikke er lappet, dårlig cybersikkerhetspraksis og store nettverk til å bryte seg inn i kritiske systemer.
Fra American Water til Seattle havn og flyplass til UnitedHealth – samfunnsverktøyene vi er avhengige av, er under angrep.
Gjennom 10 eksempler, både i USA og i utlandet, undersøker vi hvorfor vi må ta infrastrukturangrep mer på alvor før de blir verre.
Nøkkelpunkter
- Cyberangrep på kritisk infrastruktur skjøt i været i 2024, og avslørte systemiske sårbarheter i mange nasjoner og tjenester.
- Vannverk, helsevesen og transportsektorer var hovedmål for løsepengevirus og spionasje.
- Over 100 millioner amerikaneres helsedata ble eksponert i et enkelt UnitedHealth-brudd.
- Russiske og kinesiske statsstøttede aktører ser ut til å være de største kreftene bak sofistikerte angrep på globale systemer.
- Alle myndigheter og offentlige virksomheter trenger sikre systemer og cybersikkerhetsstrategier – angrep kan utgjøre en eksistensiell trussel mot samfunnet.
-
- 10. Løsepengevirus tvinger Arkansas City Water til å gå manuelt
- 9. Amerikansk vann: Hacking av USAs største vannforsyningsselskap
- 8. Løsepengevirus skaper kaos i havnen og på flyplassen i Seattle
- 7. UnitedHealth Ransomware eksponerer «en tredjedel av amerikanernes data
- 6. Crowdstrike-oppdatering blir historiens største globale IT-avbrudd
- 5. Kinesisk salttyfon bryter seg inn i USAs telekom- og avlyttingssystem
- 4. Data om ministre i Storbritannia og EU lekket i valgtider
- 3. Cyberangrepene på Filippinene og den bredere konflikten i Sørishavet
- 2. Løsepengevirus i London stenger sykehus og medisinske prosedyrer
- 1. Europa rammes av Kreml i Russlands hybridkrig mot allierte i Ukraina
-
- 10. Løsepengevirus tvinger Arkansas City Water til å gå manuelt
- 9. Amerikansk vann: Hacking av USAs største vannforsyningsselskap
- 8. Løsepengevirus skaper kaos i havnen og på flyplassen i Seattle
- 7. UnitedHealth Ransomware eksponerer «en tredjedel av amerikanernes data
- 6. Crowdstrike-oppdatering blir historiens største globale IT-avbrudd
- 5. Kinesisk salttyfon bryter seg inn i USAs telekom- og avlyttingssystem
- 4. Data om ministre i Storbritannia og EU lekket i valgtider
- 3. Cyberangrepene på Filippinene og den bredere konflikten i Sørishavet
- 2. Løsepengevirus i London stenger sykehus og medisinske prosedyrer
- 1. Europa rammes av Kreml i Russlands hybridkrig mot allierte i Ukraina
- Se hele listen
10 cyberangrep mot kritisk infrastruktur i 2024
Trusselaktør | Trusselaktør | Motivasjon | Konsekvenser | Antall berørte personer | |
---|---|---|---|---|---|
Ransomware tvinger vannforsyning i Arkansas til manuell drift | Ukjent | Ransomware |
|
|
≈ 11,000 |
American Water: Største vannforsyningsangrep i USA | Ukjent nasjonalstatstrussel | Uautorisert tilgang |
|
|
≈ 14 millioner |
Ransomware på havn og flyplass i Seattle skaper kaos | Rhysida | VPN ransomware |
|
|
≈ Hundretusener |
UnitedHealth ransomware eksponerer data om «en tredjedel av amerikanere» | BlackCat (ALPHV) | Ransomware & datalekkasjer |
|
|
≈ 100 Millioner |
Den globale Crowdstrike-nedetiden | N/A | Automatisk Windows-oppdatering |
|
|
≈ Hundrevis av millioner mennesker over hele verden |
Kinesisk Salt Typhoon-breach på amerikanske telekommunikasjonssystemer og myndighetsavlytting | Salt Typhoon (kinesisk trusselaktør) | Uautorisert tilgang |
|
|
|
U.K. og E.U. ministre får data lekket under valgperioder | – Ukjent | Datascraping og datalekkasjer |
|
|
– Ukjent |
London ransomware stanser sykehus og medisinske prosedyrer | Tilskrevet russisk statsstøttet gruppe Qilin | Ransomware, datalekkasjer, utpressing |
|
|
|
Europeiske regjeringer rammet av Kreml
|
|
Nasjonalstatlig sabotasje, desinformasjon, spionasje |
|
|
|
Filippinske cyberangrep og Sør-Kinahavet-konflikten | Kina-tilknyttede trusselaktører | Nasjonalstat, sabotasje, desinformasjon, cyberspionasje |
|
|
|
10. Løsepengevirus tvinger Arkansas City Water til å gå manuelt
Den 22. september 2024 ble byen Arkansas City rammet av et ransomware-angrep. Anlegget ble tvunget til å gå over til manuell drift «av forsiktighetshensyn». Trusselaktøren bak angrepet ble aldri offentliggjort.
Hendelsen utløste imidlertid en ny etterforskning fra FBI og Homeland Security, og Arkansas City føyde seg til den bekymringsfullt lange listen over amerikanske vannleverandører som ble rammet av trusselaktører i 2024.
Eksperter sier at den amerikanske vannsektoren har et skrikende behov for investeringer og modernisering. Vanlige sikkerhetsproblemer i sektoren omfatter eldre utstyr, segmentering av IT- og driftsteknologi (OT) og sikkerhet i forsyningskjeden.
9. Amerikansk vann: Hacking av USAs største vannforsyningsselskap
Den 3. oktober 2024 ble USAs største vann- og sanitærselskap, American Water, rammet av et dataangrep.
American Water betjener 14 millioner mennesker i 24 stater og 18 amerikanske militærinstallasjoner. Vannkvaliteten og -distribusjonen ble ikke påvirket. Kundeportalene og faktureringstjenestene ble imidlertid stengt.
Eksperter mener at angriperne er støttet av en nasjonalstat og har skaffet seg uautorisert tilgang til American Waters nettverk og systemer. Motivet for angrepet, og hvorvidt data eller systemer ble kompromittert, er fortsatt uklart.
Alan DeKok, administrerende direktør i InkBridge Networks, en leverandør av avansert nettverkssikkerhet, snakket om sikkerhet i industrielle nettverk, som for eksempel vannsystemer.
“Mange industrielle nettverk krever ikke engang autentisering – de stoler rett og slett på at hvis du kan nå nettverket, må du være autorisert til å bruke det. Denne naive tilnærmingen er en relikvie fra fortiden som vi ikke lenger har råd til.”
8. Løsepengevirus skaper kaos i havnen og på flyplassen i Seattle
Den 13. september 2024 ble havnen i Seattle og Seattle-Tacoma International Airport (SEA) utsatt for et angrep med løsepengevirus knyttet til den kriminelle organisasjonen Rhysida.
Angrepet stengte flyplassens wi-fi, bagasjetjenester, terminalskjermer, innsjekkingskiosker, billettering og nettbaserte apper. Det tok myndighetene tre uker å få alle systemene tilbake på nett.
Rhysida-gjengen antas å være knyttet til den russiske løsepengevirusindustrien.
Det sofistikerte misbruket av VPN-erog teknikker knyttet til cyberspionasje som «Living-off-the-Land» (bruk av legitime innfødte verktøy for å iscenesette et angrep), sammen med den strategiske nasjonale sikkerhetsrollen til Seattle havn og flyplass, gjør at dette angrepet skiller seg ut som noe mer enn klassisk løsepengevirus.
Angrepet førte til forsinkelser for millioner av reisende og bedrifter, og de totale kostnadene for økonomiske skader er ukjente.
Anand Oswal, Senior Vice President og GM i Palo Alto Networks, det California-baserte cybersikkerhetsfirmaet, uttalte seg til Techopedia.
«Mer enn noensinne må organisasjoner med kritisk infrastruktur ta i bruk proaktive sikkerhetsstrategier for å forbedre synligheten og robustheten i moderne og eldre miljøer – en utfordring som kompliseres ytterligere av fjernstyrte operasjoner og ny teknologi som 5G.»
7. UnitedHealth Ransomware eksponerer «en tredjedel av amerikanernes data
Den 25. oktober 2024 avslørte UnitedHealth at et BlackBasta ransomware-angrep i februar resulterte i brudd på person- og helsedata fra omtrent en tredjedel av den amerikanske befolkningen – over 100 millioner amerikanere.
Angrepet mot UnitedHealth forstyrret også helsevesenet, førte til betydelige forsinkelser i helsesektoren og resulterte i milliarderstatninger for UnitedHealth.
BlackCat (også kjent som ALPHV) fikk tilgang gjennom usikrede påloggingsprotokoller ved hjelp av stjålet legitimasjon som ikke hadde multifaktorautentisering (MFA).
UnitedHealth betalte angivelig 22 millioner dollar i løsepenger, men dataene ble likevel lekket etter at BlackCat ble stengt ned av FBI og deres partnere.
6. Crowdstrike-oppdatering blir historiens største globale IT-avbrudd
Den 19. juli stoppet verden opp da sykehusene innstilte driften, flyplasser ble forvandlet til kaos, tusenvis av fly over hele verden ble satt på bakken, og millioner av enheter og selskaper ble stengt ned av Microsofts ødelagte automatiske Windows-oppdatering fra CrowdStrike.
Selv om dette angrepet ikke var ondsinnet, tar vi det med her fordi det avslører farene ved en svært sammenkoblet verden som opererer i en sentralisert sky – la oss huske at «enhver tilstrekkelig avansert inkompetanse ikke kan skilles fra ondskap».
Cyberangrepet rammet også banker, hoteller, produksjonsbedrifter, aksjemarkeder, kringkasting, bensinstasjoner, butikker og mange andre verden over, inkludert offentlige tjenester.
Audian Paxson, Principal Technical Strategist hosn IronScales, et AI-drevet sikkerhetsfirma for e-post i skyen, sa til Techopedia:
“Hvis 2024 har lært oss noe, så er det at USAs kritiske infrastruktur er ute på tynn is når det gjelder cybersikkerhet. Dette året har vært en mesterklasse i ‘hvordan man blir tatt uforberedt’.
«De skyldige? Ikke bare sofistikert skadelig programvare og løsepengevirus, men en blanding av utdatert programvare og sløv passordpraksis, krydret med et lag av «det fikser vi senere».»
«Vi må slutte å behandle cybersikkerhet som et IT-problem og begynne å se på det som et menneskelig og organisatorisk problem», sier Paxson.
5. Kinesisk salttyfon bryter seg inn i USAs telekom- og avlyttingssystem
I november 2024 fikk den kinesiske nettspionasjeaktøren Salt Typhoon tilgang til store amerikanske telekomselskaper som AT&T, Verizon og T-Mobile – og brøt seg også inn i den amerikanske regjeringens avlyttingssystem og -data.
Under den amerikanske presidentvalgkampen kunngjorde FBI at de etterforsket en mulig kinesisk hacking av telefonene som ble brukt av president Trump og visepresident JD Vance.
Tekniske mangler som førte til at dette cyberangrepet lyktes, var blant annet mangel på privat 5G, avhengighet av tredjeparter, sårbarheter i skyen og manglende segmentering.
Antonio Sanchez, Principal Evangelist hos Fortra, snakket med Techopedia om problemet og sikkerhetsløsninger.
“Organisasjoner må sørge for å segmentere nettverket. Det vil også være klokt å få en tredjepart til å utføre penetrasjonstesting og motstandersimulering for å finne hull i dekningen som må forsterkes.”
4. Data om ministre i Storbritannia og EU lekket i valgtider
30. mai 2024 fant en etterforskning på det mørke nettet at offisielle regjeringsdata om ministre fra det britiske parlamentet, Europaparlamentet og det franske parlamentet hadde blitt eksponert på det mørke nettet.
Lekkasjen skjedde noen uker før valget til Europaparlamentet og valget i juli i Storbritannia. Data fra over 1000 offentlige tjenestemenn, inkludert e-post, passord, fødselsdatoer og andre sensitive opplysninger, ble eksponert på nettet.
Ukjente trusselaktører utnyttet den dårlige cybersikkerhetspraksisen som myndighetspersoner hadde, spesielt gjenbruk av offisielle offentlige data til offentlige kontoer.
Angrepet, som skjedde i valgtider, gjorde myndighetspersoner sårbare for filløse angrep, identitetstyveri, phishing, utpressing, deepfakes, kontoovertakelser og feilinformasjonskampanjer.
3. Cyberangrepene på Filippinene og den bredere konflikten i Sørishavet
I april 2024 fant cybersikkerhetsforskere ut at antallet cyberangrep rettet mot Filippinene hadde økt med 325 %.
Cyberangrepene på Filippinene omfattet blant annet Mustang Panda-angrepet, som var rettet mot myndighetene, DDoS-angrepene fra Exodus Security og uautorisert tilgang til systemer.
Det amerikanske cybersikkerhetsfirmaet Resecurity fant ut at selv om noen av cyberangrepene ble utført innenlands, var det tydelige koblinger til grupper som angivelig samarbeidet med Kina.
Bølgen av dataangrep skjedde samtidig som spenningen mellom de to landene i Sør-Kinahavet tilspisset seg. Andre land som har opplevd lignende kinesiske cyberoperasjoner, er Vietnam, Taiwan og andre land i regionen.
2. Løsepengevirus i London stenger sykehus og medisinske prosedyrer
I begynnelsen av juni 2024 førte et løsepengevirusangrep mot Synnovis – et britisk patologitjenesteselskap – til at flere sykehus i London, inkludert St. Thomas, Royal Brompton og Evelina London Children’s Hospital, måtte innstille driften.
Trusselaktørene antas å ha fått tilgang til Synnovis’ IT-system via phishing.
Den russiske statsstøttede løsepengevirusgruppen Qilin antas også å stå bak dette angrepet.
NHS beskrev hendelsen som en «kritisk hendelse». Den påvirket blodtransfusjoner og førte til at en rekke medisinske operasjoner, akuttmedisinske tjenester og avtaler måtte avlyses.
1. Europa rammes av Kreml i Russlands hybridkrig mot allierte i Ukraina
Den 3. mai 2024 avslørte den tyske innenriksministeren at ATP 28, en trusselaktør som antas å være en del av den russiske militære etterretningstjenesten (GRU), hadde fått tilgang til det sosialdemokratiske partihovedkvarteret, forsvars- og romfartssektoren, samt luftfartsindustrien.
Fem dager senere rapporterte Polen at ATP 28 hadde gått til angrep på landets offentlige nettverk. Kosovo rapporterte også om cyberangrep mens de var i Frankrike i forkant av OL, og under arrangementet ble tilliten til OLs sikkerhet og integritet svekket av bølger av ondsinnede, angivelig russisk-koordinerte desinformasjonskampanjer.
Disse angrepene er en del av en bredere russisk hybridkrigføring i Europa. Hovedmålet med denne hybridkrigen er å fremme Russlands agenda i valgkampen og sabotere NATO-alliertes støtte til Ukraina.
Konklusjon
Angrepene mot myndigheter, nasjonale sikkerhetssystemer, logistikk og transport, helsevesen og vannforsyning er en klar advarsel: Nasjonalstatlige trusselaktører, nettkriminelle bander og hacktivister har kritisk infrastruktur i siktet.
Selv om det finnes tekniske løsninger for å gjøre sektoren for kritisk infrastruktur tryggere, er spørsmålet om organisasjoner og myndigheter vil reagere i tide, eller om de vil fortsette å slukke branner helt til en menneskelig tragedie som kunne vært unngått, ryster verden.
Som Christopher Warner, senior sikkerhetskonsulent i GuidePoint Security , konsulent- og serviceselskapet innen cybersikkerhet, fortalte oss:
«Vi har sett vannsystemer bli kompromittert, transportnettverk lammet, elektriske transformatorstasjoner utsatt for angrep som truer med omfattende strømbrudd, og matforsyningskjeder satt i fare.
«Fra havner til flytrafikk, disse forstyrrelsene gjør én ting klart: Disse angrepene er ikke bare tekniske brudd; de er eksistensielle trusler mot hele nasjoner og regioner.»