Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 8. mars 2018

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 115 alvorlige hendelser i februar. Dette var en oppgang fra 91 i januar. I februar måned har vi sett et oppsving i maskiner som har fått installert malware som driver med graving etter digital valuta (mining). Mange bedriftsbrukere blir også lurt til å gjøre dette gjennom sin nettleser ved besøk på forskjellige nettsider.

Det var 352 bekreftede DDoS-angrep i februar. 139 av disse ble mitigert. Et gjennomsnittlig angrep var på 3,26 Gbps og varte typisk 40 minutter. Det største angrepet observert i denne perioden var på 26,1 Gbps og varte i 25 minutter. Fire av TSOCs kunder ble utsatt for angrep denne måneden. Generelt var det et oppsving både i antall og kraft når det gjelder DDoS-angrep i februar.

Memcached, en cache-tjeneste som blant annet blir brukt for å øke responshastigheten til dynamiske web-applikasjoner, ble tatt i bruk for å utføre DDoS angrep i februar. Tjenesten er ikke ment å være installert på Internett-eksponerte systemer, siden den ikke ikke har noen adgangskontroll.
En forespørsel om statistikk sendt til en slik tjeneste kan resultere i svar som har en størrelse på 1500 bytes til flere hundre kilobytes. Disse svarene kan utnyttes til å utføre DDoS angrep ved å sende forespørselen med en falsk avsender-adresse. Akamai melder om at det er rundt 50.000 maskiner som tilbyr denne tjenesten på nettet.

I starten av februar ble det oppdaget en svakhet i Adobe Flash Player som kan gjør ekstern kodeeksekvering mulig. Svakheten ble utnyttet i angrep allerede fra november 2017 mot blant annet Sør-Korea. Angrepet gjennomføres ved at det sendes ut Office-dokumenter med et spesielt utformet Flash-tillegg. Adobe ga ut en fiks for svakheten fem dager etter at den ble offentlig kjent.

Et stort botnet på rundt en halv million maskiner, hoveddelen Windows-servere, har blitt oppdaget. Botnettet får infiserte maskiner til å utvinne kryptovalutaen Monero. Det er antatt at eierne av botnettet har tjent rundt 8900 Monero (mellom 2,8 og 3,5 millioner USD) siden Mai 2017. Botnettet infiserer nye maskiner ved hjelp av EternalBlue-svakheten som ble stjålet fra NSA i april i fjor. De fleste maskiner i botnettet er funnet i Russland, India og Taiwan.

En internasjonal operasjonsstyrke bestående av South West Regional Organised Crime Unit, Engelske National Crime Agency og Europol samt mange andre politi-avdelinger i Europa, Australia og Nord-Amerika har funnet og stoppet kilden til fjerntilgangs hacker-verktøyet Luminosity Link. Verktøyet ble brukt til å sanke data fra systemets filer, kameraet eller tastaturtrykk.
Operasjonsstyrkens arbeid fant et nettverk av individer som distribuerte og brukte Luminosity i 78 land og solgte det til mer enn 8600 kjøpere via nettsider dedikert til hacking og datakriminalitet. Verktøyet ble brukt til alt fra industrispionasje til overvåking av ektefeller.

En artikkel publisert av FireEye viser hvordan angripere kan utføre phishing-angrep som omgår 2-faktor autentisering. Metoden, kalt real-time phising, bruker en falsk innloggingsside som fanger opp brukernavn, passord og engangspassord. Angriperen har deretter et lite tidsrom hvor han kan bruke innloggingsinformasjonen før engangspassordet fornyes. Denne typen angrep har blitt benyttet mot BankID i Norge i år. Dette ble gjort ved hjelp av forfalskede eposter fra Netflix om oppdatering av betalingsinformasjon.

Nettverket til vinter-OL i Pyeongchang ble utsatt for et data-angrep under åpningsseremonien. Dette bekreftet talspersonen for vinterlekene 2018, Sung Baik-you. Angrepet førte til at mange av de interne serverne for arrangementet gikk ned, og ikke var operative igjen før nærmere 12 timer senere. Det har også blitt rapportert at angrepet skapte problemer for det offentlige Wi-Fi-nettverket. Senere i måneden mente amerikanske myndigheter at Russland stod bak angrepet. Angriperne skal også ha lagt igjen falske spor for å få det til å virke som om angrepet kom fra Nord-Korea.

Toppsjefer i flere amerikanske etterretningstjenester, inkl. CIA, FBI og NSA, advarer amerikanere mot å benytte mobil-produkter og tjenester fra de Kina-baserte produsentene Huawei og ZTE. Skepsisen skal bunne i de nevnte produsenters angivelige tette bånd til kinesiske myndigheter og mulighet for overvåking.

Britiske, amerikanske og australske myndigheter beskyldte denne måneden offentlig Russland for å ha stått bak ransomware-angrepet "NotPetya". Angrepet fra juni 2017 var rettet mot Ukraina, men også andre land ble hardt rammet.

Ny forskning viser at 90% av alle eksterne kodeeksekveringsangrep nå brukes for å legge inn kode for å utnytte den angrepne maskinene til å utvinne krypto-valuta. Dette er en økning fra ca 55% i september 2017. Bruken av ransomware har gått ned.

 
>