Målrettede ransomware-angreb er en alvorlig trussel mod danske virksomheder og myndigheder. Hackere, der udfører målrettede ransomware-angreb, misbruger bl.a. kompromitterede fjernadgange i deres angreb.

CFCS vurderer, at der er flere underliggende faktorer, som har bidraget til, at nogle af de mest aktive kriminelle hackergrupper i øjeblikket bruger fjernadgange i deres ransomware-angreb.

I 2021 er der dukket flere mindre servicerede RaaS-platforme op. De hackere, der gør brug af disse mindre servicerede RaaS-platforme, vil oftest selv skulle finde og skaffe adgange til ofre. Det driver efterspørgslen efter kompromitterede fjernadgange.

Samtidigt fungerer hackerfora på dark web (det mørke net) som centrale
markedspladser. I flere år har de faciliteret en udveksling af ydelser og tjenester online. Disse fora gør det muligt for hackere, der er specialiseret i at kompromittere fjernadgange, at videresælge deres adgange. Det har skabt et stabilt udbud af kompromitterede fjernadgange.

Den tredje faktor, som har bidraget til den hyppige brug af kompromitterede
fjernadgange i ransomware-angreb, er COVID19-pandemien. Pandemien skabte et akut behov for at opretholde produktion og serviceniveau hjemmefra i de fleste myndigheder og virksomheder. Brugen af fjernadgange er siden blevet en integreret del af mange organisationers hverdag. Det har været med til at øge angrebsfladen for de hackere, der kompromitterer fjernadgange.

De hackere, der videresælger loginoplysninger til fjernadgange eller på anden vis etablerer adgang på vegne af andre hackere, bliver i it-sikkerhedskredse kaldt for Initial Access Brokers. De arbejder konstant med at finde huller og forsøger så at komme ind via usikre adgangskoder, såkaldte information-stealers, der stjæler loginoplysninger, eller kendte sårbarheder i fjernadgangsopsætningerne.