Analyser af de lækkede Black Basta-chatlogs giver os et sjældent indblik i hackernes arbejdsmetoder og viser, hvor meget moderne forsvar faktisk frustrerer dem. Værktøjer som Microsoft Defender for Servers og andre EDR-løsninger (Endpoint Detection & Response) gør angreb dyrere, langsommere og ofte direkte urealistiske for de cyberkriminelle.

For små og mellemstore virksomheder betyder det, at investering i avanceret antimalware-beskyttelse ikke bare er “nice to have” — det er et dokumenteret forsvar, der virker.

BlackBastaGPT – når vi kan læse over skulderen på angriberne

I 2024 blev der lækket store mængder interne chatlogs fra ransomware-gruppen Black Basta (over 1 mio. interne meddelelser). Dataene er blevet analyseret af flere sikkerhedsforskere og senere gjort søgbare via værktøjet BlackBastaGPT, udviklet af Hudson Rock. Det giver os alle mulighed for at studere, hvordan gruppen planlagde sine angreb, udvalgte ofre og forsøgte at omgå sikkerhedsforanstaltninger.

For første gang kunne vi se, hvordan de kriminelle tænkte og frustreredes. Mange samtaler handlede om tekniske barrierer — typisk, at deres malware blev opdaget eller blokeret af EDR-løsninger som Microsoft Defender, CrowdStrike eller SentinelOne. Flere hackere beskrev, hvordan deres “payloads” konstant blev taget i opløbet, og at de måtte bruge dyre, manuelle metoder i stedet for automatiske angreb.

Kort sagt:

når forsvarerne bruger avancerede værktøjer, stiger angribernes omkostninger dramatisk. Og det er netop pointen i moderne cybersikkerhed — at gøre det så dyrt og besværligt at angribe, at de går videre til et lettere mål.

Moderne EDR beskytter på helt nye måder

Hvor klassisk antivirus kigger efter kendte signaturer, arbejder EDR-systemer som Microsoft Defender for Endpoint/Servers med adfærdsanalyse og maskinlæring. De opdager mønstre, der ligner angreb, selv når malwaren er ukendt.

Et eksempel: hvis en proces pludselig begynder at kryptere hundredvis af filer, afbryder Defender straks processen og isolerer systemet. Kombinationen af lokalt agent-forsvar og cloud-baseret analyse gør det svært for angriberne at skjule sig.

Microsofts seneste Digital Defense Report dokumenterer, at netop denne kombination reducerer succesraten for ransomware-angreb betydeligt. Mange angreb stopper i “første fase”, før der overhovedet sker kryptering af eller eksport af data.

For virksomheder betyder det, at en korrekt konfigureret Defender-agent reelt kan være forskellen mellem en ubehagelig advarsel og en total nedlukning af forretningen.

Når hackere må give op

De lækkede Black Basta-chats viste tydeligt, hvor meget EDR-systemer ændrer kamppladsen. Flere angribere skrev, at Defender i block mode gjorde deres arbejde “umuligt”, og at de måtte finde alternative veje ind - men i mange tilfælde blev angrebene opgivet.

Det viser, at god grundsikkerhed stadig virker. Patch-management, identitetsstyring og EDR er ikke bare compliance-krav — de er reelle værktøjer, der flytter risikoen markant.

Hvordan små og mellemstore virksomheder bruger det i praksis

De fleste danske virksomheder er ikke oplagte mål for avancerede statslige aktører. De bliver i stedet ramt af automatiserede eller semi-målrettede kampagner, hvor hackeren prøver sig frem. Derfor virker gode basisforanstaltninger ekstremt effektivt.

Her er de vigtigste punkter som kan bruges som en tjekliste:

1. Installer og standardiser på EDR/EPP (fx Defender for Servers). Én fælles platform giver overblik, automatiske isolationer og central rapportering.
   

2. Aktivér EDR-funktionalitet og integrér med SIEM eller MDR. Sørg for central logning, så hændelser ikke bliver overset.
   

3. Segmentér netværket. Sørg for, at et kompromitteret system ikke giver adgang til hele netværket.
   

4. Brug stærk identitetsstyring og “least privilege”. MFA på alle administrative konti og gerne Just-in-Time-rettigheder.
   

5. Hold patch-rutiner skarpe. Angreb lykkes ofte via kendte sårbarheder — ikke primært zero-days.
   

6. Tag backup – og test den periodisk. 3-2-1-princippet (tre kopier, to medier, én offline). Test gendannelse jævnligt.
   

7. Lav beredskabsplaner og øv dem. En klar plan minimerer panik, når uheldet er ude.
   

8. Træn medarbejdere i phishing. Awareness-træning og tekniske mailfiltre inkl. DMARC, SPF, DKIM fanger de fleste forsøg.
   

9. Styr på leverandører. Få styr på din forsyningskæde, stil sikkerhedskrav og rapportering i kontrakter.
   

Disse 9 punkter udgør rygraden i et robust ISMS (information security management system) og dækker samtidig hovedkravene i både ISO-27001 og NIS2. Og du kan bruge Easy ISMS til at dokumentere det hele.

Hvad kan vi lære af det hele?

Black Basta-sagen minder os om, at cybersikkerhed ikke kun handler om at købe flere værktøjer – men om at bruge dem rigtigt. Mange danske SMB’er betaler allerede for avanceret Defender-beskyttelse – de har bare ikke slået det hele til.

Når virksomheder sørger for grundlæggende styring, logning og EDR-beskyttelse, rammer det direkte ind i hackernes forretningsmodel.

Jo mere komplekst og bøvlet et angreb bliver, jo større sandsynlighed for, at angriberen dropper det.

Oktober er den officielle Europæiske cybersikkerhedsmåned (European Cybersecurity Month), hvor fokus rettes mod at styrke vores digitale modstandskraft – både som privatpersoner og virksomheder.

Formålet er enkelt:

at gøre os alle bedre rustet til at håndtere de trusler, vi møder i den digitale hverdag.

For danske virksomheder – store som små – er truslen ikke længere et spørgsmål om hvis man bliver ramt, men hvornår. Angrebene bliver mere sofistikerede, og mange udnytter stadig den menneskelige faktor som det svageste led. Her er oktober en oplagt anledning til at tage temperaturen på jeres informationssikkerhed og få engageret hele organisationen.

Sikkerhed starter med mennesker!

De fleste sikkerhedshændelser begynder stadig med et klik på det forkerte link eller en for hurtig reaktion på en troværdig e-mail. Teknologi alene kan ikke forhindre det – træning og bevidsthed gør forskellen.

Et effektivt værktøj her er Nimblr Security Awareness, en dansk-udviklet platform der kombinerer korte e-learning moduler med realistiske phishing-simulationer. Med Nimblr kan virksomheder løbende teste og træne medarbejderne, så de lærer at spotte forsøg på svindel og social engineering – uden at det bliver tungt eller tidskrævende.

Resultatet er en mærkbart højere sikkerhedskultur og færre klik på de forkerte mails.

Gør det nemt for medarbejdere og borgere at reagere – Dit Digitale Selvforsvar

For den enkelte medarbejder – og for os alle som privatpersoner – er app’en Dit Digitale Selvforsvar et must-have. App’en, som drives af Forbrugerrådet Tænk i samarbejde med TrygFonden, giver advarsler om aktuelle svindelforsøg, falske hjemmesider og nye digitale trusler.

Den fungerer som et digitalt beredskab i lommen og er et fantastisk supplement til virksomhedens awareness-indsats. Mange organisationer vælger derfor at anbefale app’en direkte til deres medarbejdere som en del af den generelle sikkerhedskultur.

Oktober er derfor et godt tidspunkt til at handle. Brug cybersikkerhedsmåneden til at:

• gennemføre en awareness-kampagne med Nimblr,

• opfordre medarbejdere til at installere Dit Digitale Selvforsvar,

• afholde et kort sikkerhedsmøde om phishing, passwords og MFA,

• og måske få revideret jeres risikoregister og beredskabsplan.

Små tiltag kan gøre en stor forskel – og sender et tydeligt signal til kunder, partnere og medarbejdere om, at I tager informationssikkerhed alvorligt.

Et stærkt digitalt forsvar begynder med de rigtige vaner.

Cybersikkerhed er ikke en kamp mod teknologi, men mod uopmærksomhed. Det handler om kultur, viden og simple, sunde digitale vaner.

Så lad oktober være måneden, hvor I løfter jeres digitale forsvar – og skal du have hjælp, så ræk ud til os.

Der er af gode grunde stadig meget stor fokus på informationssikkerheden i disse usikre tider.

DORA, NIS2, ISO-27001, D-mærket er begreber som de fleste virksomheder skal forholde sig til. Og her er der behov for en struktureret og langvarig tilgang til informationssikkerhedsarbejdet.

Nem ISMS anvendes af flere og flere virksomheder til at opbygge deres ISMS (Information Security Management System) og efterhånden som disse kunder implementerer vores løsning kommer der gode idéer og ønsker til app'en.

Derfor er det en glæde at kunne informere om at version 12 nu er frigivet.

Denne version er udvidet på en række områder så det er endnu nemmere at skabe overblik og arbejde aktivt med virksomhedens ISMS - hvad enten virksomheden er lille eller stor.

De kunder der anvender Nem ISMS har nemmere ved at arbejde struktureret med deres informationssikkerhed, dette hvad enten de ønsker at blive D-mærket, opnå en ISO-27001 certificering eller bliver omfattet af NIS2.

En del virksomheder som anvender Nem ISMS er blevet ISO-27001 certificerede og alle auditorer vi har mødt har rost Nem ISMS's tilgang og uden tvivl gjort certificeringen nemmere og især det løbende arbejde med informationssikkerheden er en stor fordel.

Da Nem ISMS er fleksibelt, kan vores app nemt skalere fra en lille virksomhed til en stor organisation. Offentlig eller privat.

Blandt nogle af de mange nye features kan nævnes:

• Exitplaner på leverandører

• Udvidede muligheder for risikostyring

• KPI'er

• Årshjul tilpasset de typiske roller

Der er mange mindre forbedringer, og vi samarbejder løbende med vores kunder om at forbedre app'en.

Er du interesseret i at høre mere om Nem ISMS, eller måske er blevet interesseret i en demo, så ræk ud...