Alvorlige hendelser
I februar håndterte TSOC 24 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 45 i januar. Denne måneden oppdaget vi at en av våre kunder tillot trafikk over SMB-protokollen ut fra sitt nettverk mot Internet. SMB står for “Server Message Block”, og er en Windows-protokoll, opprinnelig fra 1983, for utveksling av filer, printer-utskrifter osv. Protokollen brukes normalt kun internt i bedrifters nettverk, men noen glemmer å sperre for denne i brannmuren mot Internett. Ved flere tilfeller har svakheter ført til at protokollen kan misbrukes, nå sist denne måneden. Microsoft patchet en svakhet (CVE-2024-21413) i Outlook, som kunne føre til lekkasje av brukernavn og kryptert passord over SMB-protokollen og ut mot angripere på Internett. Svakheten blir utnyttet ved å lure offeret til å trykke på en lenke, f.eks. i en e-post. Denne typen svakheter har dukket opp ved flere tilfeller de siste årene. Vi anbefaler derfor å blokkere all SMB-trafikk mellom det interne nettverket og Internett i brannmuren.
DDoS-angrep
Det var 127 bekreftede DDoS-angrep denne måneden, ned fra 166 i januar. 79 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 4.6 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 86 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Nyhetsoppsummering
Det amerikanske justisdepartementet meldte at de hadde tatt ned et botnett som i stor grad er bygget opp av kompromitterte hjemmeroutere fra Cisco og Netgear. Det skal være den kineiske trusselaktøren Volt Typhoon som stod bak operasjonen. Botnettet har blitt brukt til å kartlegge og kompromittere kritisk infrastruktur i USA. Ved å bruke botnettet som et proxy-nettverk, har angriperne kunnet sende angrepstrafikken ut fra routere i nærheten av angrepsmålet. Dette gjør at trafikken er lettere å gjemme i lokal legitim nettverkstrafikk. Senere i måneden meldte også FBI at de hadde tatt ned et lignende botnett brukt av APT 28/Fancy Bear, bestående av Ubiquiti Edge OS-routere. Routerne var før kompromittering eksponert mot Internet med standard-passord satt av produsenten. Norske PST var også med i denne aksjonen ved å ta kontakt med eierne av rundft ti kompromitterte routere i Norge for å få tettet svakheten.
Ofre for ransomware betalte over 1 milliard USD til ransomware-bandene i 2023. Dette er nesten en dobling i forhold til 2022, som virker å være et unntaksår. Tallene er hentet fra analyse-selskapet Chainalysis, som sporer blokkjede-betalinger for både myndigheter og private. 2023 var preget av mange høye utbetalinger, spesielt etter de omfattende angrepene mot organisasjoner som benyttet seg av MOVEit-programvaren for filoverføringer.
Internasjonale politistyrker hacket seg inn i infrastrukturen til ransomware-gjengen Lockbit. Europol arresterte siden tre mistenkte i Polen og Ukraina. Flere russiske bakmenn ble også etterlyst. Amerikanske myndigheter har utlovet en dusør på $15 millioner USD for opplysninger som kan føre til arrestasjon av lederne av banden. Dekrypteringsnøkler for flere hundre ofre er også tllgjengelig. Den siste utviklingen i saken er at fildelings-tjenesten Mega og epost-tjenestene Tutanota og Protonmail har stengt ned 14.000 kontoer i forbindelse med aksjonen. Kontoene ble identifisert brukt av Lockbit eller deres underleverandører, eller i forbindelse med andre ransomware-operasjoner. Etter aksjonen har Lockbit etter hvert bygget opp igjen infrastrukturen sin og også meldt om nye ofre på nettsider på nye adresser kompromittert ved hjelp av en ny versjon av sin ransomware.
Microsoft og OpenAI har avdekket at flere trusselaktører fra Kina, Russland, Iran og Nord-Korea har benyttet seg av AI-verktøyet ChatGPT i varierende grad. Bruken har blitt analysert og kontoene har blitt sperret. Foreløpig ser det ikke ut til at aktørene benytter de nye verktøyene i vesentlig grad eller på en automatisert måte. Eksempler på bruk som har blitt avdekket så langt er: Finne informasjon om firmaer og sikkerhetsverktøy, fjerne bugs i og generere kode, generering av scripts, produksjon av innhold til phishing-eposter, oversette tekniske dokumenter osv. OpenAI opplyser at de har slettet flere kontoer etter sine undersøkelser.
Cloudflare opplyser at de har vært utsatt for et datainnbrudd, mest sannsynlig fra en statlig aktør, i perioden mellom 14. og 24. november. Aktøren benyttet seg av innloggingsdetaljer de først hadde stjålet i et tidligere innbrudd mot Okta, én tilgangsnøkkel og tre brukernavn/passord til Cloudflares AWS-konto, Atlassian Bitbucket, Moveworks og Smartsheet. Angriperne fikk tilgang til intern dokumentasjon og kildekode. Etter innbruddet har Cloudflare nullstilt over 5000 tilganger, gjennomført bedre fysisk segmentering mellom test- og produksjonsnettverket, gjennomsøkt 4893 systemer etter tegn på innbrudd og kjørt omstart på alle servere.
Google har gitt ut en detaljert rapport om den kommersielle overvåkingsindustrien og hvilke konsekvenser den har for ytringsfriheten og pressefriheten. Denne industrien benytter seg av store mengder ferske svakheter for å bryte seg inn i mobiltelefoner og PCer og overvåke brukerne. Egentlig er meningen at produktene skal brukes av myndighetene for å overvåke kriminelle og hindre terrorisme, men mange stater benytter også verktøyet for å overvåke regimemotstandere, journalister og opposisjonen. 80% av de nye svakhetene Google oppdaget i bruk i 2023 ble først brukt av aktører i denne industrien, som NSO Group, Cy4Gate, Intellexa og Negg Group. Google følger rundt 40 produsenter av overvåkingsprogramvare.
Internasjonale politimyndigheter annonserte 1. februar at de hadde arrestert 31 cyberkriminelle og har identifisert 1300 servere som har vært brukt til å utføre phishing-angrep og distribuere skadevare. Operasjonen pågikk fra september til november 2023 og har fått navnet "Synergia". Over 60 politi-organisasjoner fra forskjellige land deltok. Operasjonen ble utført som et svar på globaliseringen og profesjonaliseringen innenfor cyberkriminalitet.
Ingen kommentarer:
Legg inn en kommentar