Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 4. april 2016

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2016

I mars håndterte vi 142 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning. Dette var en nedgang fra 226 hendelser i februar. Også denne måneden er det mange brukere som blir lurt til å besøke sider for nedlasting av ransomware. Dette skjer gjerne etter at de har trykket på en lenke i e-post.

Telenor SOC håndterte 125 DDoS-angrep i mars, litt ned fra 138 i februar. Det største angrepet i perioden var på 21.7Gbps. Angrep av typen DNS-reflection dominerer fortsatt.

I mars ble det oppdaget en ny svakhet i SSL som fikk navnet “DROWN”. Svakheten gjør at trafikk mot servere som støtter den utdaterte protkollen SSLv2 kan bli dekryptert av angriper. Har serveren delt sertifikat mellom SSLv2 og TLS, kan også trafikk kryptert med TLS-kryptering dekrypteres, da sertifikatet blir kjent. Angriperen trenger, i følge forskere hos drownattack.com, å analysere rundt 1000 SSL-handshakes for å lykkes. Svakheten kan unngås ved å skru av støtte for den gamle SSL v2-protokollen.

LA Times meldte at Pentagon har begynt med cyberangrep mot IS. Dette er første gangen Pentagon offisielt sier at de angriper via cyber-domenet. Angrepene skal ha hjulpet til med å drive IS ut av byen Shaddada i februar. Av beskrivelsen virker det som om DDoS-angrep var en av teknikken som ble brukt.

En uavhengig sårbarhetstest slo ut Telenors mobilnett i flere timer i starten av mars. En signaleringsmelding beregnet på å avdekke sårbarhet for informasjonslekkasje medførte en driftsforstyrrelse. Systemet som skulle tolke meldingen klarte ikke å håndtere den og krasjet.

Midt i mars spredde flere store nettsteder ransomware over flere dager gjennom infiserte annonser. Dersom besøkende til nettsidene benyttet en gammel versjon av Flash eller Java, risikerte de å få maskinen sin infisert. Blant de nettstedene som ble berørt av dette var MSN, BBC og New York Times.

I et forsøk på å sende sikkerhetsanalytikere på villspor, begynner flere og flere APT-grupper å legge inn falske indikasjoner på hvem de er og hvor de måtte befinne seg. De endrer f.eks. tidssone på maskinen, legger inn tekst på irrelevante språk, bruker andres kode osv. Denne utviklingen gjør det stadig vanskeligere å finne ut hvem som står bak målrettede angrep.

Like før påske ble en rekke svenske nyhetsmedier, deriblant DN, Expressen, Svenska Dagbladet og Aftonbladet, utsatt for DDoS-angrep. Det er ikke avklart hvem som står bak, men svenske medier viste til statistikk fra netnod.se som viste økende trafikk fra Russland i samme tidsperiode som angrepene skjedde.

Microsoft utga denne måneden et verktøy for administratorer som vil gjøre det mulig å blokkere eksekvering av makroer i MS Office 2016 via Group Policy. Dette har vært en etterlengtet funksjon, da man blandt annet har sett mye  ransomware bli eksekvert og installert via makroer i Microsoft Word-dokumenter.

USA har tiltalt syv iranere og to syrere for data-angrep mot USA. Iranerne jobbet angivelig på vegne av den iranske regjeringen. Syrerne skal tilhøre Syrian Electronic Army, en gruppering som har forbindelser til regjeringen i Syria. Iranske myndigheter nekter for angrepene og mener tvert imot at USA satte liv i fare i forbindelse med deres Stuxnet-program som angrep iranske anrikningsanlegg for uran.

Gjennom hele mars prøvde FBI å få Apple til å låse opp en iPhone brukt av en terrorist. FBI ville ha Apple til å lage en spesiell versjon av iOS som kunne omgå sikkerheten i mobilen. Apple nektet å etterkomme kravet. Mot slutten av måneden frafalt FBI kravet, da de hadde funnet en ukjent tredjepart som kunne låse opp mobilen for dem.

Ransomware har angrepet flere sykehus i USA den siste måneden. Den største saken gjelder et angrep mot sykehuskjeden MedStar, som driver 10 sykehus og 250 mindre klinikker. Etter angrepet gikk det meste av datasystemer ned og mange behandlinger ble utsatt. Sykehus blir ofte rammet av ransomware, da de gjerne har gamle og usikrede datasystemer.  Angrepene mot sykehus skiller seg også fra vanlige angrep mot tilfeldige privatpersoner. Sykehusene blir ofte angrepet gjennom svakheter i eksponerte tjenester, og det interne nettverket blir kartlagt før krypteringen av flere systemer starter samtidig. Løsepengesummene er også mye høyere enn i angrep mot privatpersoner.


 
>