Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 10. mars 2025

Situasjonsrapport - februar 2025

Alvorlige hendelser

I februar håndterte TSOC 11 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i januar.


DDoS-angrep
Det var 60 bekreftede DDoS-angrep denne måneden, ned fra 67 i januar. 36 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.512 Gbps og varte i 34 minutter. Det største angrepet observert i denne perioden var på 86.3 Gbps og varte i 41minutter. Misbruk av DNS stod for brorparten av angrepene.


Nyhetsoppsummering
VMware har utgitt oppdateringer for fem sårbarheter i Aria Operations og Aria Operations for Logs (versjon 8.x), hvorav to regnes som høy risiko. De alvorligste sårbarhetene kan la angripere skaffe seg utvidede rettigheter via informasjonslekkasje og krever ikke administratorrettigheter for å utnytte. Sårbarhetene omfatter også mulighet for lagret XSS og en sårbarhet omfatter dårlig tilgangskontroll som gir ikke-administrative brukere en potensielt høyere tilgang enn tiltenkt.

Microsoft advarer om at angripere utnytter eksponerte ASP.NET-nøkler til å distribuere skadelig programvare. Microsoft har oppdaget at angripere utnytter statiske ASP.NET-maskinnøkler funnet på nettet til å utføre kodeinjeksjonsangrep via ViewState. Disse nøklene, som ofte hentes fra offentlige kodeplattformer, brukes til å generere ondsinnede ViewStates med gyldig message authentication code (MAC). Når slike ViewStates sendes via POST-forespørsler, dekrypterer og validerer ASP.NET Runtime dem. Dette kan gi angriperne mulighet til å kjøre vilkårlig kode på målets IIS-webserver. I desember 2024 observerte Microsoft et tilfelle der en angriper brukte en offentlig kjent maskinnøkkel til å levere Godzilla-rammeverket, som har funksjoner for kommandoeksekvering og injeksjon av shellkode.

Apple har utgitt nødoppdateringer for å rette en nulldagssårbarhet (CVE-2025-24200) som har blitt utnyttet i målrettede og svært sofistikerte angrep. Sårbarheten tillot fysiske angripere å deaktivere USB-begrenset modus på låste enheter, noe som potensielt åpnet for uautorisert uthenting av informasjon. USB-begrenset modus, introdusert i iOS 11.4.1, blokkerer USB-tilbehør fra å opprette en datatilkobling hvis enheten har vært låst i over en time. Sårbarheten er nå adressert i iOS 18.3.1 og iPadOS 18.3.1 med forbedret tilstandshåndtering.

Fortinet advarer om en ny autentiseringsomgåelses-sårbarhet (CVE-2025-24472) i FortiOS og FortiProxy, som angripere aktivt utnytter for å få super-administratorrettigheter på sårbare enheter. Sårbarheten gjør det mulig å opprette falske brukere, manipulere brannmurregler og få tilgang til interne nettverk via SSL VPN. Angrepene har pågått siden november 2024, ifølge Arctic Wolf Labs, som har observert scanning, rekognosering, konfigurasjonsendringer og lateral bevegelse i kompromitterte systemer.

To sikkerhetssårbarheter har blitt oppdaget i OpenSSH som kan føre til Man-in-the-Middle (MitM) og Denial-of-Service (DoS) angrep under visse betingelser. Begge sårbarhetene er adressert i OpenSSH versjon 9.9p2, utgitt 18. februar 2025.

Palo Alto PAN-OS har en kritisk sårbarhet (CVE-2025-0108) i administrasjonsgrensesnittet, som lar angripere omgå autentisering og kjøre visse PHP-script. Sårbarheten har en CVSS-score på 8.8 og utnyttes allerede aktivt, ifølge CISA. Angripere kan potensielt hente ut sensitiv informasjon som brannmurkonfigurasjon, VPN-brukere, sertifikater og nøkler. Internetteksponerte enheter bør tas av nett og oppdateres. Øvrige sårbare enheter bør oppdateres. Administrasjonsgrensesnitt bør ikke eksponeres på internett, men sikres med VPN, IP-hvitelister eller lignende.

CISA og FBI rapporterer at angripere som benytter Ghost løsepengevirus har infiltrert ofre i over 70 land siden tidlig 2021. De rammede sektorene inkluderer kritisk infrastruktur, helsevesen, offentlig sektor, utdanning, teknologi, produksjon samt en rekke små og mellomstore bedrifter. Angriperne utnytter kjente sårbarheter i utdatert programvare og fastvare. Gruppen benytter ulike navn og varianter av løsepengevirus, inkludert Cring.exe, Ghost.exe, ElysiumO.exe og Locker.exe, og endrer ofte filendelser og innholdet i løsepengebrevene for å unngå deteksjon.

 

 

fredag 14. februar 2025

Situasjonsrapport - januar 2025

 Alvorlige hendelser

I januar håndterte TSOC 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 16 i desember.


DDoS-angrep
Det var 67 bekreftede DDoS-angrep denne måneden, opp fra 45 i desember. 46 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 22.2 Gbps og varte i 26 minutter. Det største angrepet observert i denne perioden var på 845 Gbps og varte i 22 minutter. Misbruk av DNS stod for brorparten av angrepene.


Nyhetsoppsummering


Kritisk sårbarhet i Windows BitLocker utnyttet
En ny kritisk sårbarhet i BitLocker (CVE-2025-21210) tillater angripere med fysisk tilgang å manipulere krypterte data, og tvinge Windows til å skrive ukrypterte data (som passord og nøkkelmateriale) til disk. Angrepet utnytter en feil i hvordan crash-dump konfigurasjoner håndteres. Microsoft har utgitt en oppdatering for å hindre utnyttelse.

Mulig datainnbrudd hos Gravy Analytics kan lekke posisjonsdata om norske borgere
Gravy Analytics, som er et selskap som spesialiserer seg på posisjonsdata fra mobiltelefoner, har angivelig blitt utsatt for et stort datainnbrudd som kan ramme millioner av personer globalt. Hackerne påstår å ha stjålet store mengder sensitiv informasjon, inkludert nøyaktige GPS-koordinater, tidsstempler og bevegelseshistorikk, noe som kan føre til alvorlige personvernbrudd. Blant de berørte dataene finnes det detaljer om 146.000 norske mobilenheter som potensielt kan avsløre personlige bevegelsesmønstre. Hackerne har publisert et utrag av dataen de påstår å ha stjålet som har blitt vurdert som ekte av flere eksperter. Et generelt tiltak som anbefales er å være restriktiv i hvilke tillatelser man gir applikasjoner.

Kinesiske hackere har brutt seg inn i Charter og Windstream-nettverk
Kinesiske statssponserte hackere, kjent som Salt Typhoon, har brutt seg inn i flere amerikanske telekommunikasjonsnettverk, inkludert Charter Communications, Windstream og Consolidated Communications. De har fått tilgang til sensitive data som tekstmeldinger, talemeldinger og samtaler. Etter disse hendelsene har CISA anbefalt end-to-end kryptering for å beskytte kommunikasjon.

Ivanti advarer om ny Connect Secure-sårbarhet utnyttet i zero-day-angrep
Ivanti varsler at angripere har utnyttet en kritisk sårbarhet (CVE-2025-0282) i Connect Secure for å installere skadevare på sårbare enheter. Feilen er en buffer-overflow som gjør det mulig for uvedkommende å kjøre kode fra eksternt ståsted. En tilhørende svakhet (CVE-2025-0283) kan misbrukes til å eskalere privilegier lokalt, men er foreløpig ikke observert i aktive angrep.

Kritisk sårbarhet i Windows BitLocker utnyttet
En ny kritisk sårbarhet i BitLocker (CVE-2025-21210) tillater angripere med fysisk tilgang å manipulere krypterte data, og tvinge Windows til å skrive ukrypterte data (som passord og nøkkelmateriale) til disk. Angrepet utnytter en feil i hvordan crash-dump konfigurasjoner håndteres. Microsoft har utgitt en oppdatering for å hindre utnyttelse. 

Alvorlige sårbarheter i Palo Alto brannmurer lar angripere omgå Secure Boot på hardware
En ny rapport fra Eclypsium avslører alvorlige sårbarheter i Palo Alto Networks-brannmurer som gjør det mulig for angripere å omgå Secure Boot, utnytte feil på hardwarenivå og få høyere privilegier for å opprettholde tilgang i nettverk. Tre modeller PA-3260, PA-1410 og PA-415, er undersøkt og rammes av kjente svakheter som BootHole, PixieFail og LogoFAIL som kan føre til at angripere får kjøre vilkårlig kode. Funnene peker på mangler i Palo Altos oppdateringer som gjør at enhetene framdeles er sårbare for angrep.

PoC frigitt for zero-day sårbarhet i Fortinet
En Proof-of-Concept (PoC)-utnyttelse har blitt offentliggjort for CVE-2024-55591, en kritisk nulldagssårbarhet i Fortinet-produkter. Sårbarheten gjør det mulig for angripere å kompromittere systemer eksternt, noe som setter titusenvis av enheter i fare.

Hackere utnytter RDP-protokollen for å få tilgang til Windows-systemer og fjernstyre nettlesere
Cyberkriminelle utnytter sårbarheter i Remote Desktop Protocol (RDP) for å oppnå uautorisert tilgang til Windows-systemer og fjernkontrollere nettlesere. Angriperne bruker ofte brute-force-angrep på svake passord eller kjøper tilgang via mørkenettmarkeder. Etter å ha fått tilgang, kan de kapre aktive RDP-økter, bevege seg lateralt i nettverket og rekonstruere brukeraktivitet, inkludert nettleserinteraksjoner, ved hjelp av verktøy som Mimikatz og BMC-Tools.

onsdag 15. januar 2025

Situasjonsrapport - desember 2024

Alvorlige hendelser
I desember håndterte TSOC 16 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 14 i november.

DDoS-angrep
Det var 45 bekreftede DDoS-angrep denne måneden, ned fra 107 i november. 32 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.59 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 46.5 Gbps og varte i et døgn. 

Nyhetsoppsummering
Interpol har ledet en global politiaksjon kalt Operation HAECHI-V, som involverte myndigheter fra 40 land mellom juli og november 2024. Operasjonen resulterte i pågripelse av mer enn 5.500 mistenkte cyberkriminelle og beslagleggelse av over 400 millioner dollar i virtuelle og forskjellige lands valutaer. Blant resultatene var en felles aksjon fra koreanske og kinesiske myndigheter som avviklet en omfattende voice phishing-gruppe som hadde forårsaket tap på 1,1 milliarder dollar for over 1.900 ofre. Interpol har også advart mot en ny svindelteknikk kalt "USDT Token Approval Scam", der kriminelle gir seg ut for å være potensielle romantiske partnere for å lure ofre til å gi dem full tilgang til sine krypto-lommebøker.

En hacker har publisert detaljer om over 760 000 ansatte fra kjente selskaper som Bank of America, Koch, Nokia, JLL, Xerox, Morgan Stanley og Bridgewater på et hackingforum. Dataene stammer trolig fra fjorårets MOVEit-angrep, der en zero-day sårbarhet i Progress Softwares filoverføringsprogramvare ble utnyttet. Den russisk-knyttede ransomware-gruppen Cl0p antas å stå bak angrepet. De lekkede dataene inkluderer navn, e-postadresser, telefonnumre, ansatt-IDer, stillingstitler og navn på ledere.

Økt samarbeid mellom mobiloperatørene i Norge fører til at det blokkeres flere svindelforsøk. Alle mobiloperatørene i Norge har allerede systemer på plass for å blokkere svindelforsøk fra egne nummer. Tidligere i år sendte Nasjonal kommunikasjonsmyndighet (Nkom) brev til Telenor, Telia og Ice og ba dem styrke samarbeidet for å stoppe enda flere svindelforsøk

Oasis Securitys forskningsteam avdekket en kritisk sårbarhet i Microsofts implementering av tofaktorautentisering (MFA) som tillot angripere å omgå den og få uautorisert tilgang til brukerkontoer. Sårbarheten utnyttet manglende "rate limiting" og et tidsvindu på 3 minutter for å gjette en 6-sifret kode fra en autentiseringsapp. Dette gjorde det mulig å utføre et stort antall gjetninger på kort tid uten å varsle brukeren, eller uten at systemet hindret forsøkene. I snitt tok det rundt 70 minutter å logge inn på en konto med 6-sifret kode som andre faktor. Microsoft har løst problemet ved å innføre strengere "rate limiting" etter et visst antall mislykkede forsøk.

NSM kom i desember ut med en anbefaling om at virksomheter går over til passnøkler (passkeys) eller andre FIDO2-implementasjoner for autentisering. Årsaken er at aktører i økende grad tar seg forbi tradisjonell flerfaktorautentisering. NSM har registrert en rekke phishingkampanjer der målet er økonomisk vinning, ofte via fakturasvindel. Kampanjene lar seg gjennomføre fordi virksomheter ikke påkrever phishingresistent autentisering. NSM anbefaler å prioritere implementering av phishingresistent autentisering på Microsoft 365 og andre skyløsninger, samt identitetsløsninger og internetteksponerte tjenester. Prioriter spesielt utsatte brukere som økonomiansvarlige, ledere og systemadministratorer ved gradvis utrulling.

I en internasjonal aksjon kalt "Operation PowerOFF" har politiet stengt 27 plattformer som tilbyr DDoS-angrep. Aksjonen koordineres av Europol og involverer 15 land. Målet er å holde både tilbydere og brukere av slike tjenester ansvarlige. Tre administratorer bak plattformene er arrestert, og over 300 brukere er identifisert for videre etterforskning. Julehøytiden har historisk være en en periode med økt risiko for DDoS-angrep. Motivene bak angrepene varierer fra økonomisk vinning til ideologiske årsaker.

mandag 9. desember 2024

Situasjonsrapport - november 2024

Alvorlige hendelser
I november håndterte TSOC 14 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 9 i oktober.

DDoS-angrep
Det var 107 bekreftede DDoS-angrep denne måneden, ned fra 142 i oktober. 67 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 11.7 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 208 Gbps og varte i 10 minutter. Ingen av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. 

Nyhetsoppsummering
I starten av november gikk det rykter om en kritisk svakhet i administrasjons-grensesnittet til brannmurer fra Palo Alto, som allerede 8. november ga ut rådgivning til kundene om kun å gi tilgang til admin-grensesnittet fra godkjente enheter. Den 18. november ga Palo Alto ut patcher og informasjon om to svakheter, som allerede hadde vært utnyttet i målrettede angrep. Den ene svakheten (CVE-2024-0012) lå i admin-grensesnittet og kunne gi administrator-tilgang til angripere med nettverkstilgang til enheten, uten å ha konto på enheten. Den andre svakheten (CVE-2024-9474) ble også allerede utnyttet i angrep. Denne lot en vanlig bruker av brannmuren utføre kommandoer som root-brukeren. Overvåkingsplattformen Shadowserver meldte i forbindelse med at patchene ble gitt ut at over 8700 admin-grensesnitt var eksponert mot nettet, til tross av rådene om å ikke eksponere disse mot Internet.

En russisk APT-gruppe, antatt å være Fancy Bear (APT28), har benyttet en ny angrepsmetode kalt "Nearest Neighbor Attack" for å få tilgang til Wi-Fi-nettverk. Metoden innebærer å utnytte nettverk i nærheten av målet for å omgå sikkerhetstiltak som multifaktorautentisering (MFA). Angriperne kompromitterer først et nærliggende nettverk og bruker deretter enheter med tilgang til begge nettverk, som bærbare datamaskiner eller rutere, som en bro for å få tilgang til målet. Volexity avdekket angrepet i februar 2022, rettet mot en organisasjon i Washington D.C. med tilknytning til Ukraina. Angrepet involverte blant annet passordspraying, utnyttelse av sårbarheter og "living-off-the-land"-teknikker. Organisasjoner bør behandle WiFi-nettverk (spesielt de med delte passord) som åpne nettverk og kreve VPN-tilkobling eller lignende for å få tilgang til interne tjenester.

Trusselaktøren RomCom, som antas å være knyttet til Russland, har nylig utnyttet to nulldagssårbarheter i angrep. Den ene sårbarheten lå i Mozilla Firefox og den andre i Microsoft Windows. Angrepene har som mål å infisere offerets system med RomCom-bakdøren. Sårbarheten i Firefox (CVE-2024-9680, patchet i oktober 2024) tillater kjøring av vilkårlig kode uten brukerinteraksjon, mens sårbarheten i Windows Task Scheduler (CVE-2024-49039, patchet i november 2024) muliggjør rettighetseskalering. Angrepet involverer en falsk nettside som omdirigerer ofre til en server som bruker svakhetene mot offeret for å installere RomCom RAT, en bakdør som gir angriperen full kontroll over den kompromitterte maskinen.

Det britiske cybersikkerhetsselskapet Sophos har dokumentert en langvarig konflikt mellom firmaet og kinesiske statsstøttede hackere, som har angrepet deres systemer fra 2018. Angrepene inkluderte blant annet et vellykket hackerangrep mot Sophos' kontor i India, hvor hackerne fikk initiell tilgang via en veggmontert skjerm. Hackerne benyttet avanserte teknikker som SQL-injeksjon, kommandoinjeksjon, et brukerland-rootkit kalt TERMITE, trojanske Java-filer og et unikt UEFI-bootkit. Sophos svarte ved å distribuere egne etterretningsimplantater gjennom sine systemer for å overvåke hackernes verktøy, bevegelser og taktikker. De samarbeidet også med Nederlands nasjonale cybersikkerhetssenter for å beslaglegge servere som var vertskap for angriperdomener.

Microsoft har fulgt med på trusselaktøren kalt Storm-0940, som benytter et nettverk av kompromitterte små kontor- og hjemmerutere (kalt CovertNetwork-1658) til å gjennomføre passordspray-angrep. Nettverket består hovedsakelig av TP-Link rutere som er hacket ved å utnytte en ukjent sårbarhet, og har fått lagt til proxy-kode for å gjemme angreps-trafikken. Trusselaktøren gjennomfører lavvolum passordspray-angrep, med gjennomsnittlig bare ett påloggingsforsøk per konto per dag, noe som gjør angrepene vanskelige å oppdage. Angrepene retter seg primært mot organisasjoner i Nord-Amerika og Europa innenfor sektorer som tenketanker, myndigheter, lov- og forsvarsindustrien.

FBI har utstedt en advarsel om at hackere utnytter lovlige system for dataforespørsler til å stjele brukerdata fra amerikanske teknologiselskaper. Etter å ha kompromittert e-postadresser tilhørende politi og myndigheter, sender hackerne falske "nødforespørsler" for å få tilgang til sensitiv informasjon som e-postadresser og telefonnumre tilhørende kunder. FBI har observert en økning i slike angrep siden august, og advarer nå om at kriminelle aktivt selger tilgang til kompromitterte kontoer og tjenester for å utføre disse angrepene. Hackerne utnytter systemet for nødforespørsler, som er ment for å gi politiet rask tilgang til data i tilfeller der det er fare for liv eller eiendom, uten å måtte innhente rettslig godkjennelse.

Det amerikanske justisdepartementet siktet fem personer fra Scattered Spider-gruppen for å ha utført omfattende phishing-kampanjer som ga dem tilgang til sensitive data og kryptovaluta verdt 11 millioner dollar. De siktede, fire fra USA og én fra Storbritannia, er medlemmer av Scattered Spider-gruppen, som har vært knyttet til en rekke alvorlige cyberhendelser, inkludert ransomware-angrepet mot MGM Casino i fjor. Gruppen har tidligere angrepet selskaper som Coinbase, Twilio, LastPass og Reddit. De siktede brukte SMS-meldinger for å lokke ansatte til å klikke på ondsinnede lenker og oppgi innloggingsinformasjon.

fredag 8. november 2024

Situasjonsrapport - oktober 2024

 Alvorlige hendelser
I oktober håndterte TSOC 9 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 28 i september.

DDoS-angrep
Det var 142 bekreftede DDoS-angrep denne måneden, opp fra 136 i september. 81 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 13.2 Gbps og varte i 19 minutter. Det største angrepet observert i denne perioden var på 278 Gbps og varte i 12 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. 

Denne måneden opplevde vi et aggressivt DDoS-angrep mot en av våre kunder. Angrepet var ikke så stort i volum, kun 2.5Gbps, men det bestod av en lang rekke små pakker, såkalte SYN-pakker, som normalt brukes for å opprette nye sesjoner. I stedet for å angripe bare én adresse hos kunden, som er det normale, ble 255 adresser angrepet samtidig. Et stort antall angrepspakker mot en rekke samtidige mål kan være ekstra ressurskrevende for nettverksutstyr og servere.

Angrepet ble mitigert ved å midlertidig blokkere en del geografiske regioner som stod bak mesteparten av angrepstrafikken, såkalt geo-blokkering. Denne typen blokkering blir gjort ved hjelp av forhåndsdefinerte lister over hvilke nettverk som tilhører forskjellige land/regioner.

I det siste har det vært et oppsving i DDoS-angrep mot finans-institusjoner i Norge. Nordea uttalte for eksempel til VG i oktober at de hadde vært utsatt for et større angrep i 25 dager. Også bankens søsterfilialer i andre nordiske land er rammet. Det er uklart hva motivet er eller hvem som står bak angrepene.

Nyhetsoppsummering
Europol ledet en global aksjon mot ransomware-syndikatet “LockBit”, som har stått bak over 1,800 ransomware-angrep over hele verden. I samarbeid med politimyndigheter fra USA, Storbritannia, Frankrike, Spania og flere andre land, resulterte operasjonen i arrestasjonen av fire nøkkelmedlemmer samt beslag av IT-infrastruktur som ble brukt av syndikatet. Myndigheter mener at grupperingen har tjent over 1 milliard USD i løpet av de fire årene de var aktive. Operasjonen var en del av "Operation Cronos", og myndighetene innførte sanksjoner mot tilknyttede personer. Europol har støttet utviklingen av dekrypteringsverktøy og støtter også ofre gjennom "No More Ransom"-prosjektet. I samarbeid med japansk politi, UK’s National Crime Agency, og FBI er disse verktøyene tilgjengelige gratis på nomoreransom.org.

CERT-UA har avdekket en sofistikert phishingkampanje som retter seg mot offentlige etater, industri og militære enheter i Ukraina og allierte land. Angriperne sender ut e-poster som utgir seg for å handle om integrasjon av Amazon- og Microsoft-tjenester og implementering av Zero Trust Architecture. De vedlagte RDP-filene etablerer i virkeligheten utgående Remote Desktop-forbindelser til angripernes servere. Når disse filene åpnes, får angriperne omfattende tilgang til offerets datamaskinressurser, inkludert lokale disker, nettverksressurser, skrivere og mulighet til å kjøre uautoriserte programmer. Analyser tyder på at forberedelsene til cyberangrepene startet allerede i august 2024, noe som indikerer en godt planlagt operasjon. Vi anbefaler å blokkere .rdp-filer i eposter, begrense tilgang til verktøyet der det ikke er nødvendig og sette opp group policies for å hindre redirigering av lokale ressurser via RDP-sesjoner.

Politimyndigheter i flere land tok i oktober ned informasjons-stjelerne Redline og Meta i "Operation Magnus". USA tok ut tiltale mot en russisk statsborger de mener er utvikleren bak Redline-malwaren. Det har også kommet fram at nederlandsk politi har tatt beslag i tre servere i Nederland. Belgisk politi har arrestert to personer i forbindelse med aksjonen, som skal være Redline-kunder. Sikkerhetsfirmaet ESET har lansert en scanner som kan lastes ned for å sjekke om en maskin har vært påvirket av en informasjons-stjeler. Firmaet har også hjulpet til i forbindelse med aksjonen. Det har i løpet av det siste året vært et oppsving i bruk av informasjons-stjelere. Informasjonen som blir stjålet, gjerne fra private PCer, legges ut for salg og brukes ofte til å få gyldige kontoer hos både større firmaer og myndigheter.

The Internet Archive er et nettsted som arkiverer innhold fra Internet og tar var på dette for ettertiden. Nettstedet har vært rammet av et datainnbrudd via et sårbart Javascript-bibliotek. Via svakheten har uvedkommende fått tilgang til systemene og har blant annet lastet ned en database med oversikt over de 31 millioner registrerte brukerne. Nettstedet har også vært utsatt for store DDoS-angrep de siste ukene. Det er ukjent hvem som står bak angrepene, men mange er imot tjenesten siden den lagrer “snapshots” av nettsteder som det i ettertid er vanskelig å få fjernet. Tjenesten "Have I Been Pwned" har blitt oppdatert med de kompromitterte epost-adressene.

Microsoft har varslet noen kunder om at de mangler over to uker med sikkerhetslogger for noen av deres skytjenester. Feilen oppsto mellom 2. og 19. september i en intern overvåkingsagent. Berørte tjenester inkluderer Microsoft Entra, Sentinel, Defender for Cloud og Purview. Microsoft understreker at loggtapet ikke skyldes en sikkerhetshendelse, men kan påvirke kunders evne til å analysere data, oppdage trusler og generere sikkerhetsvarslinger. Selskapet har løst problemet ved å rulle tilbake en endring i sine systemer og har varslet de berørte kundene om hendelsen.

Forskere fra ESET har avdekket at svindlernettverket Telekopye har utvidet sin virksomhet til å angripe brukere av populære booking-plattformer som Booking.com og Airbnb. Svindlerne bruker kompromitterte kontoer tilhørende legitime hoteller og utleiere for å målrettet svindle brukere som nylig har booket opphold, men ennå ikke har betalt. De sender phishing-e-poster som hevder det er problemer med betalingen og leder ofrene til godt utformede, falske nettsider som etterligner de ekte plattformene med kundens ekte informasjon inkludert. Denne typen svindel har hatt en skarp økning i 2024, særlig i sommermånedene. Politiet i Tsjekkia og Ukraina har arrestert flere cyberkriminelle knyttet til Telekopye i to felles operasjoner sent i 2023.

 
>