Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 2. september 2016

Oppsummering av nyhetsbildet innen datasikkerhet for august 2016

Etter en rolig måned for tjenesten sikkerhetsovervåking, med kun 61 håndterte alvorlige hendelser, var det tilbake til mer normalt drift i august. Denne måneden håndterte vi 134 hendelser. Vi ser fortsatt en dreining bort fra malware og over på svindel eller phishing. Tidligere ble mange maskiner infisert av f.eks. bank-trojanere. Nå virker det som om de kriminelle heller lurer til seg penger ved hjelp av CEO-svindel, i stedet for å bruke trojanere.

I august håndterte TSOC 85 DDoS-angrep, noe opp fra 72 i juli. Totalt ble det registrert 608 angrep. Månedens største angrep var på 8.5Gbps. Den mest populære angrepstypen er DNS-reflection, altså å sende data til feilkonfigurerte DNS-tjenere, som så sender svartrafikken til målet for angrepet.

En gruppering som kaller seg Shadow Broker slapp i august verktøy og exploits tihørende The Equation Group. Flere kilder bekreftet overfor Washington Post at Equation Group egentlig er NSAs hacker-team kalt Tailored Access Operations. Materialet som ble sluppet er over 3 år gammelt. Det inneholder blant annet exploits mot utstyr fra Cisco, Juniper, Fortigate og den kinesiske leverandøren Topsec. Et av verktøyene gjorde det mulig å bryte seg inn i en Cisco-router dersom en hadde tilgang til SNMP-porten. Cisco slapp etter få dager en patch som utbedret dette problemet. Det blir spekulert i hvem som stod bak angrepet og de to mest populære teoriene er Russland eller en utro tjener.

Apple slapp 25. august iOS v9.3.5 etter at det ble oppdaget tre alvorlige svakheter i operativsystemet. Til sammen gjør svakhetene at en angriper kan ta fullstendig kontroll over en sårbar mobil, dersom brukeren trykker på en lenke i f.eks. en SMS eller e-post. Svakheten ble oppdaget etter at en regimekritiker i United Arab Emirates fikk en SMS med en mistenkelig lenke. I stedet for å trykke på lenken, ga han den videre til sikkerhetsforskere. Verktøyet som ble brukt heter Pegasus og gis ut av det israelske sikkerhetsselskapet NSO Group. Etter infisering, sender verktøyet ut store mengder data fra mobilen og lar det også starte overvåking ved hjelp av GPS, mikrofon og kamera.

Sikkerhetsforskere fra Proofpoint og Trend Micro avslørte at kjente nettsteder har servert malware via exploit-kits til sine brukere. Over 1 million brukere ble daglig utsatt for angrepene som pågikk fra sommeren 2015 til sommeren 2016. 22 forskjellige annonsenettverk ble rammet. Angrepene var sofistikerte og brukte blant annet steganografi for å skjule den skadelige koden. Blant de rammede nettstedene var The New York Times, Le Figaro, The Verge, PCMag, IBTimes, ArsTechnica og Daily Mail.

Apple annonserte i løpet av måneden at de framover vil belønne sikkerhetsforskere som finner svakheter i deres produkter og tjenester med opptil 200 000 dollar. Andre store selskaper som Microsoft og Google har allerede lignende ordninger. Foreløpig er det bare en liten liste over kategorier hvor de vil belønne slike funn, men de ønsker å utvide denne listen med tiden. En slik belønningstjeneste vil hjelpe Apple å avdekke svakheter de selv ikke har oppdaget, samt å motvirke at noen utnytter eller selger informasjon om svakheter videre.

Symantec avslørte at en gruppe kalt Strider/Sauron har utført kyberspionasje mot et knippe organisasjoner og personer i Kina, Russland, Sverige og Belgia. Gruppen har vært aktive siden 2011, men holdt en svært lav profil inntil nå. Av de som skal være rammet er det blant annet et flyselskap i Kina og en ambassade i Belgia. Ut i fra målene og nivået på utførelsen av angrepene påpeker Symantec og at det kan være en statlig aktør som står bak.

Frankrike og Tyskland tok denne måneden initiativ til en lovendring som skal gjøre det mulig for en domstol å kreve dekryptering av data i forbindelse med kriminalsaker. Dersom loven blir vedtatt kan tjenesteleverandører bli tvunget til å legge inn bakdører i meldingssystemene sine. Dette kan for eksempel bli aktuelt for tjenester som WhatsApp, Signal og Telegram.

Nettstedet Motherboard avslørte i slutten av august at hackere i et datainnbrudd mot Dropbox i 2012, klarte å stjele brukernavn- og hashede passord til over 60 millioner Dropbox-brukere. Det har tidligere vært kjent at det hadde vært et innbrudd, men omfanget av det har ikke blitt kjent før nå.

tirsdag 2. august 2016

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2016

I sommermåneden juli var det som vanlig stor nedgang i alvorlige hendelser i forbindelse med tjenesten sikkerhetsovervåking. Kun 61 hendelser ble håndtert, mot 162 i juni. Det er vanlig at antall alvorlige hendelser går kraftig ned i juli. De fleste sikkerhetshendelser i dag krever at en bruker gjør noe aktivt for at det skal bli problemer. Dette kan for eksempel være å åpne et vedlegg i en e-post eller å besøke en nettside.

TSOC håndterte 72 DDoS-angrep i juli, noe ned fra 91 i juni. Total ble det registrert 761 angrep. Månedens største angrep var på 7.61Gbps, noe som er uvanlig lite.

Sikkerhetsforskeren Gal Beniamini har oppdaget flere svakheter som gjør det mulig å brutforce Androids Full-Disc Encryption i enheter med Snapdragon CPUer fra Qualcomm. Dette lar seg gjør ved å få tilgang til en del av CPUen kalt TrustZone ved hjelp av to svakheter. Forskeren har informert Google om svakhetene og den siste svakheten ble patchet i mai. Google har også betalt ut penger etter oppdagelsen.

Google slapp i begynnelsen av juli en stor sikkerhetsoppdatering til Android som utbedrer 108 svakheter. Også denne måneden er det flere kritiske svakheter i media-server komponenten av operativsystemet. Disse kan utnyttes ved å sende en MMS, e-post eller lure brukeren til å besøke en spesiell web-side. Det er ikke meldt om at noen av svakhetene blir aktivt utnyttet i angrep.

Apple slapp også en stor mengde sikkerhetsoppdateringer i juli for iTunes, Safari, tvOS, watchOS og iOS. Spesielt er det viktig å merke seg flere svakheter i håndtering av media-filer i denne oppdateringen, noe Android-plattformen også har slitt med de siste månedene. Blant annet er det mulig å ta kontroll over en sårbar iOS-enhet ved kun å se på et bilde i TIFF eller BMP-format. Det anbefales å oppdatere til versjon 9.3.3 så fort som mulig.

Google har i juli startet testing av en ny type kryptering som er designet for å være motstandsdyktig mot kvantedatamaskiner. Kvantemaskiner vil i framtiden ha muligheten til å dekryptere mye av dagens krypterte informasjon, siden de vil være mye kjappere på noen operasjoner enn dagens maskiner. Foreløpig blir testingen bare gjort i en liten prosentandel av maskiner med Chrome-nettleseren installert. Eksperimentet regnes likevel som den største lanseringen av en krypteringsmekanisme til forsvar mot kvantemaskinangrep.

I løpet av det siste året har det blitt utført minst fire hackerangrep mot jernbanenettverket i Storbritannia. En sikkerhetsekspert fra selskapet Kaspersky forteller at hackerne kan få tilgang til informasjon om billetter og lignende, men også til systemer som er knyttet opp mot styringen av togene. Slike svakheter vil kunne få katastrofale konsekvenser, men er heldigvis ikke blitt utnyttet enda.

I Taiwan oppdaget man i juli at noen har klart å hente ut tilsvarende over 2 millioner dollar fra minibanker i landet, uten bruk av betalingskort. Det mistenkes at man har klart å overføre skadelig kode til minibankene, men fortsatt er mye uklart. Den tyske produsenten av minibankene har sendt analytikere til Taiwan for å finnt ut hva som har skjedd.

WikiLeaks offentliggjorde i juli e-poster og andre stjålne filer fra Tyrkias regjerende parti AKP. Den kjente hackeren Phineas Fisher har nå tatt på seg ansvaret for innbruddet. Han er tidligere kjent for å ha hacket seg inn hos sikkerehtsselskapene FinFisher og Hacking Team.

En amerikansk ankedomstol, tilsvarende norsk lagmansrett, har bestemt at amerikanske myndigheter ikke skal få tilgang til data som er lagret i utlandet, selv om det er data fra amerikanske selskaper. Myndighetene mente at det ikke har noe å si hvor data ligger lagret så lenge selskapet er amerikansk, men domstolen mente at amerikanske lover ikke gjelder informasjon lagret i andre land. Dette betyr at amerikanske myndigheter må sende en forespørsel til landet som data er lagret i for å få innsyn. Myndighetene anker trolig dommen til høyesterett.

Et nytt samarbeidsprosjekt mellom Europol, nederlandsk politi, Kaspersky lab og Intel Security tar opp kampen mot utpressingsprogramvare. Nettportalen skal hjelpe ofre med å låse opp PCen og gi informasjon om hvordan man unngår å få kryptert filene dine. Dersom du blir rammet av denne trusselen er www.nomoreransom.org en nyttig side å besøke!

En kommende rapport fra NIST konkluderer med at to-faktor autentisering ved bruk av SMS ikke er sikkert nok, og anbefaler at det tas i bruk andre metoder. De har også laget retningslinjer for hvilke tiltak som bør tas om SMS skal brukes.

fredag 1. juli 2016

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2016

I juni håndterte vi 162 alvorlige hendelser i forbindelse med tjenesten sikkerhetsovervåking. Dette var en oppgang fra 146 i mai.

TSOC håndterte 91 DDoS-angrep i juni. Antallet detekterte angrep var 678, men mange angrep er små og kortvarige og blir dermed ikke mitigert. Et gjennomsnittlig angrep var på 2.20 Gbps og varte i 24 minutter. Det største angrepet var på hele 277 Gbps og varte i litt over en time.

14. juni meldte The Washington Post at russiske hackere, støttet av den russiske regjeringen, hadde hacket seg inn hos Demokratene i USA. Sikkerhetsselskapet CrowdStrike stod bak undersøkelsene etter angrepet. Under innbruddet ble det stjålet store mengder data og dokumenter. En hacker som kaller seg Guccifer 2.0 tok kort tid etter på seg skylden for angrepet, og hevdet at han handlet alene og ikke hadde noe med Russland å gjøre. Han publiserte også dokumenter fra angrepet, blant annet en detaljert analyse av Donald Trump ment til intern bruk i det demokratiske partiet. Eksperter analyserte siden tekst og metadata fra Guccifer 2.0 sin kunngjøring, samt tidslinjen rundt hendelsene. De konkluderte med at Guccifer 2.0-personen mest sannsynlig er laget av Russerne som stod bak det opprinnelige innbruddet. Dette gjorde de for å diskreditere sikkerhetsselskapet CrowdStrike, samt for å få offentliggjort dokumentene de stjal under innbruddet, uten at lekkasjen kan spores tilbake til Russland.

Angrepet som rammet Demokratene i USA, rammet også mange andre i politikken. Nesten 4000 Google-kontoer ble utsatt for målrettede phishing-angrep. Advokatkontorer, lobbyister, konsulenter, tenketanker osv. ble også rammet av innbruddsbølgen.

Sikkerhetseksperten John R. Schindler mener at Russland står bak hacker-angrep utført av det såkalte Cyber Caliphate. Dette underbygges med etterforskningen etter angrepet mot den franske TV-stasjonen TV5Monde i april 2015. En annen ekspert mener at Schindler har rett når det gjelder TV5Monde-saken, men at russerne ikke står bak alle operasjoner der Cyber Caliphate har tatt på seg skylden.

NorCERT meldte i juni at en ny bølge av CxO-svindel (direktørsvindel) e-post nå rettes mot Norske selskaper. Denne typen svindel går ut på å lure medarbeidere til å overføre store pengesummer til utlandet ved å gi seg ut for å være overordnede i selskapet. I slutten av juni var det mange tilfeller av dette.

Mange av kundene til Teamviewer opplevde at hackere tok kontroll over PCene deres i juni. Uvedkommende logget inn via fjernstyringsprogramvaren og overførte penger og stjal sensitiv informasjon. Lenge var det mistanke om et innbrudd hos Teamviewer selv. En talsperson for Teamviewer bekreftet også at et betydelig antall kontoer hadde blitt kompromittert. Selskapet fastholder at disse hendelsene skyldes gjenbruk av passord fra en rekke nylige lekkasjer av brukernavn og passord fra andre kilder som LinkedIn.

Sikkerhetsselskapet Fox-IT meldte at det nå blir sendt ut phishing-eposter i Nederland som henter informasjon fra LinkedIn. Sammen med navn, brukes rolle og firma vedkommende er ansatt i for å gjøre e-postene mer troverdige. Innholdet i e-postene er et obfuskert word-dokument som prøver å lure brukeren til å skru på kjøring av makroer. Dersom dette er vellykket, lastes det ned en bank-trojaner.

Twitter- og Pinterest-kontoene til Mark Zuckerberg, CEO hos Facebook, ble kompromittert denne måneden. Passordet til begge kontoene var i følge flere nettsteder "dadada". Det ble antakelig funnet i den nylige lekkasjen av passord fra LinkedIn.

De fleste store leverandører av PCer leverer disse med pre-installert programvare. Her følger det vanligvis også med et oppdateringsverktøy som skal ta jobben med å oppdatere denne programvaren for deg. DUO labs har sett på sikkerheten i oppdateringsverktøyene til flere forskjellige leverandører, og det viser seg at de inneholder flere alvorlige feil. Eksempler er alvorlige svakheter som gir mulighet for kodeeksekvering og manglende sikkerhet i kommunikasjonskanalen som opprettes mellom verktøyet og leverandørens servere. Leverandørene som var med i testen er Acer, Asus, Dell, HP og Lenovo. Alle leverandørene hadde svakheter.

Adobe meldte nok en gang om en kritisk svakhet i Adobe Flash. Svakheten ble allerede utnyttet til målrettede angrep ved offentliggjøringen. Dagen etter offentliggjøringen ble det utgitt en patch. Kaspersky meldte at svakheten ble utnyttet av en trusselaktør de har kalt ScarCruft. Dette er en gruppe som har angrepet mål i land som Russland, Nepal, Sør-Korea, Kina, India, Kuwait og Romania gjennom avanserte angrep.

FSB i Russland arresterte 50 medlemmer av en hacker-gruppe i starten av måneden. Gruppen skal ha drevet med svindel og angrep mot banker i Russland og skal ha kommet seg unna med over 1.7 milliarder rubler. De benyttet den avanserte trojaneren Lurk. Siden 7. juni har ikke det populære exploit-kittet Angler EK vært aktivt. Det spekuleres i at arrestasjonene kan være årsaken til nedetiden.

29. juni meldte sikkerhetsforskeren Tavis Omandy hos Google om flere kritiske svakheter i mange av Symantec sine produkter. Flere av svakhetene åpnet for kjøring av ondsinnet kode, og noen kunne til og med utnyttes av selvspredende malware. De fleste produktene, inkludert Norton-serien, ble automatisk oppdatert. Noen av produktene krevde også manuell oppdatering.

torsdag 9. juni 2016

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2016

Vi håndterte noe færre alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking i mai sammenlignet med forrige måned; ned til 146 mot 206 i april. Nedgangen kan skyldes alle fridagene i mai og dermed lavere aktivitet hos våre bedriftskunder.

Det ble varslet 195 DDoS-angrep i mai. 183 av disse ble håndtert av TSOC. Den vanligste angrepstypen er av typen DNS-reflection, deretter NTP og Chargen. Vi har også sett veldig kraftige angrep med store mengder veldig små UDP-pakker. Vi har registrert 411 angrep over 1Gbps i løpet av måneden.

I mai la plutselig utviklerne bak den kjente ransomware-varianten TeslaCrypt ned virksomheten. De beklaget og la også ut hovedkrypteringsnøkkelen. Denne kan brukes til å dekryptere alle rammede PCer. Programvaren TeslaDecoder er nå oppdatert slik at alle som er rammet kan få tilbake filene sine.

En hackeregruppe kalt OurMine tok kontroll over flere profilerte kontoer på sosiale medier. Det spekuleres i at de har brukt passordene som ble stjålet i det store LinkedIn-hacket tilbake i 2012. Disse passordene ble i mai gjort tilgjengelige på det mørke nettet på en markedsplass som heter The Real Deal.

Google fjernet i mai to bølger med malware fra Google Play. Den ene kalles Viking Horde og fantes i fem apper. Denne muliggjorde annonseklikk-svindel, SMS-svindel og utsending av spam-meldinger. Den andre varianten kalles Click-95 og ble funnet i 190 applikasjoner. Sistnevnte prøver å skremme brukeren til å laste ned sikkerhets-apper som egentlig ikke har noen annen funksjon enn å servere annonser og lure penger fra brukerne.

Amerikanske myndigheter er bekymret for manglende eller sen utgivelse av sikkerhetsoppdateringer til mobile enheter, og da særlig på Android-plattformen. Derfor har det amerikanske teletilsynet, Federal Communications Commission (FCC), i samarbeid med Federal Trade Commission (FTC) sendt brev til amerikanske mobiloperatører og utvalgte mobilleverandører. Her ber de om svar på spørsmål rundt prosesser og rutiner de måtte ha for vurdering og utgivelse av sikkerhetsoppdateringer. Samtidig truer Google med å offentliggjøre en liste over leverandører som er trege til å oppdatere mobilene sine.

I en pågående narkosak i Norge er tiltaltes mobiltelefon låst med fingravtrykk. Politiet mener at det kan ligge bevis for narkotikaomsetning på telefonen og at det å tvinge noen til å åpne en telefon ikke er veldig forskjellig fra å tvinge noen til å avlegge blodprøve. Den tiltalte har så langt fått medhold og kan dermed ikke tvinges til å åpne telefonen. I to andre nylige rettssaker har imidlertid politiet fått medhold i at tvang kan brukes til å låse opp telefonen. Sakene vil antakelig gå til høyesterett for å få en rettspraksis på dette nye omrdået.

Google vil fra Q4 begynne å fase ut Flash Player fra Chrome-nettleseren. Kun utvalgte sider vil være hvitelistet for å kunne kjøre Flash som standard: Facebook, Youtube, Yahoo, Twitch og Amazon. Flash skal kunne kjøre på andre nettsider, men først etter at brukeren har godkjent oppstart av Flash.

En svakhet i SAP Business Applications har blitt utnyttet under radaren i flere år. Flere titalls enterprise-bedrifter har blitt kompromittert de siste årene som følge av den kritiske svakheten. Angrepene pågår fortsatt. En trenger ikke å være innlogget i systemet for å utnytte svakhetene. SAP har patchet svakheten i nyere versjoner, men mange oppgraderer ikke systemene sine.

I mai kom det fram at Symantec sin programvare for virus-scanning inneholdt en kritisk svakhet. Dersom en .exe-fil inneholdt en spesielt utformet PE-header, kunne AV-programvaren lures til å kjøre tilfeldig kode. Denne koden ville ha kjørt med samme rettigheter som kjernen på systemet. Problemet ble oppdaget av en ansatt hos Google. Symantec har patchet problemet.

31. mai slo NRK på HTTPS-kryptering for hele nrk.no, tv.nrk.no, radio.nrk.no, nrkbeta.no og yr.no. Dette gjør at det blir lettere for deg som leser å se at du faktisk er på NRKs nettsider og ikke på en forfalskning, i tillegg til at det blir umulig å overvåke innholdet som utveksles mellom nettleser og nettsted.

fredag 6. mai 2016

Oppsummering av nyhetsbildet innen datasikkerhet for april 2016

Antall håndterte hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning gikk opp fra 142 i mars til 206 i april. Oppgangen skyldes i hovedsak stor utbredelse av malwaren Win32/Adposhel. Dette er en type adware/malware som viser annonser til brukeren både i nettleseren og utenfor. Den endrer også DNS-innstillingene på systemet og sender ut informasjon om besøkte nettsteder. Adware som Adposhel blir gjerne installert sammen med gratis nedlastet programvare, uten at brukeren er klar over det.

Det ble håndtert 211 DDoS-angrep i april, mot 125 i mars. Den mest vanlige angrepstypen var DNS-reflection, med chargen og NTP som nummer 2 og 3. Det ble registrert totalt 392 angrep over 1Gbps i april. Det største angrepet peaket på hele 163Gbps eller 40Mpps (pakker per sekund) og varte i ca 2,5 time. Angriper utførte flere ulike angrepstyper parallelt under angrepet.

Eldre Android-mobiler og nettbrett kan nå bli rammet av ransomware, kun ved å besøke en nettside. Dette rammer Android-versjoner eldre enn versjon 5.x. Malwaren installeres gjennom diverse annonsenettverk og oppnår root-tilgang til mobilen. Mobiler som rammes blir ubrukelige inntil løsepenger betales eller fabrikkinnstillinger gjenopprettes. Det anbefales å oppdatere eldre Android-mobiler!

Detaljene rundt Badlock-svakheten ble sluppet den 12. april. Denne svakheten ble forhåndsmeldt allerede 23. mars. Det dreier seg heldigivs ikke om en "remote execution"-svakhet, som manget fryktet på forhånd. Svakheten gjør det imidlertid mulig for en angriper å få tilgang til filer som han ikke skal ha, dersom han har tilgang til trafikkstrømmen i et nettverk. Svakheten åpner også for DoS-angrep mot servere som eksponerer SMB-tjenester. Microsoft patchet denne svavkheten i april og ga den viktigheten “important”, ikke den høyeste som er "critical". Samba har også patchet svakheten for Linux-maskiner. Det er ikke meldt om at svakheten enda blir utnyttet i reelle angrep. Svakheten var ikke så alvorlig som den var hauset opp til å være, men kan bli brukt i typiske APT-angrep for å oppnå utvidet tilgang internt i nettverk.

WhatsApp implementerte i april ende-til-ende kryptering på alle versjoner av applikasjonen. Alle meldinger, tekst eller video sendt med applikasjonen blir nå kryptert med Signal Protocol, som blir laget av Open Whisper Systems. Appen Signal bruker den samme teknologien, men har ikke like stor utbredelse som WhatsApp. Denne krypteringsprotokollen implementerer også "perfect forward secrecy". Dette gjør at selv om krypteringsnøkkelene skulle bli kompromittert via fysisk tilgang til enheten, kan disse ikke bli brukt til å dekryptere tidligere sendte meldinger.

Femte april ble en ny kritisk svakhet rapportert i Adobe Flash Player. Svakheten muliggjør kjøring av tilfeldig kode dersom en spiller av en spesiell Flash-fil. Svakheten ble allerede aktivt utnyttet til målrettede angrep da den ble annonsert av Adobe. Åttende april lanserte Adobe en ny versjon som utbedret svakheten.

Petya er en ny type ransomware som krypterer alle dataene på harddisken og gjør PCen helt ubrukelig inntil løsepengene blir betalt. I april satte noen opp en tjeneste for å dekryptere harddisker som har blitt kryptert av Petya. Alt som trengs er noe data fra den krypterte harddisken. Tjenesten bruker så noen få sekunder på å finne nøkkelen. Utviklerne bak malwaren hadde heldigvis gjort en feil i implementeringen av kryptografien slik at denne var forholdsvis lett å knekke.

Den andre helgen i april presenterte minst 288 nederlandske nettsteder annonser som sendte brukeren videre til exploit-kits. De fleste store nettavisene i landet var berørt. Disse prøvde igjen å utnytte svakheter for å installere ransomware på besøkende PCer. Det er dessverre ganske enkelt å bestille en annonse som kan infisere besøkende PCer.

Flere er siktet etter Norges største narkoaksjon på det mørke nettet. Det mørke nettet er en hemmelig del av Internett hvor blant annet kriminelle selger narkotika, gjerne gjennom markedsplasser. Det benytter seg av teknologien Tor (The Onion Router). Den mest kjente markedsplassen for salg av narkotika het Silk Road, og da denne til slutt ble tatt ned av FBI tilbake i 2014, fikk FBI tilgang til databasen hvor de oppdaget hundrevis av nordmenn. Kripos satte i gang en etterforskning som ledet til siktelse av 15 nordmenn. Disse skal siden 2012 ha solgt narkotika for millioner til flere hundre nordmenn. TOR brukes også til å omgå myndighetssensur og overvåking.

Hackerne som står bak utviklingen av trojaneren og botnet-rammeverket SpyEye, ble dømt til henholdsvis 9.5 år og 15 år i fengsel. Hackerne kommer opprinnelig fra Russland og Algerie, men ble dømt i USA etter å ha blitt utlevert.

Utvikleren bak Blackhole Exploit Kit, Dmitry Fedotov ble i en russisk domstol dømt til 7 års fengsel. Fedotov ble arrestert sammen med flere andre Blackhole utviklere i 2013. Blackhole er anslått til å ha gjort skader for flere millioner kroner.

 
>