Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 7. september 2021

Oppsummering av nyhetsbildet innen datasikkerhet for august 2021

Hackere blokkerte Italias system for å bestille time for Corona-vaksinering. Angrepet var et ransomware-angrep, og flere servere ble kryptert. Ingen personlige data skal ha blitt stjålet i forbindelse med angrepet. Myndighetene i Italia kaller angrepet det alvorligste noen sinne mot italienske myndigheter.


T-Mobile har en pågående etterforskning etter at en trusselaktør hevder å ha kommret seg inn på T-mobile sine servere. Innbruddet skjedde etter at en intern server ved en feil hadde blitt eksponert mot Internet. Hackerne kopierte personopplysninger til rundt 9 millioner aktive kunder, samt 40 millioner tidligere eller potensielle kunder. Opplysningene som er på avveie er navn, fødselsdato, personnummer samt ID/førerkort-informasjon. Ingen passord, PIN-koder eller finansiell informasjon er på avveie. De personlige dataene ble forsøkt solgt for 6 Bitcoins.


Backend-databasen til cybersikkerhetsprosjektet Atlas har blitt lagt ut for salg på et forum for cyberkriminelle. Atlas er en nettside laget av europakommisjonen for å forenkle sikkerhetssamarbeid mellom medlemsland og inneholder offentlig tilgjengelig informasjon om cybersikkerhetseksperter, universiteter, forskningssentre og myndighetsorganisasjoner. Nyhetssiden The Record bekreftet at informasjonen som lå ute for salg var hentet fra backend-løsningen til nettsiden, og det er uvisst hvordan noen har kommet seg inn i databasen. Nettsiden ble tatt ned og satt i vedlikeholdsmodus etter hendelsen.


US Cybersecurity and Infrastructure Security Agency (CISA) har sluppet en fire-siders guide til hvordan organisasjoner kan unngå å bli utsatt for ransomware-angrep, samt gjøre skaden minst mulig dersom et angrep likevel skulle inntreffe. De foreslår blant annet:

  • Sørg for offline-backups som blir testet jevnlig.
  • Opprett, vedlikehold og tren på planer for å svare på et angrep og gjenopprette driften etter en krise.
  • Patch og sørg for riktig konfigurasjon av tjenester som er åpne mot Internet.
  • Bruk effektive spam-filtre for å unngå phishing-eposter
  • Bruk anti-malware programmer, applikasjons-hvitelisting, begrens admin-tilgang og bruk to-faktor-autentisering.

Microsoft advarte tusenvis av sine Azure Cloud-kunder, inkludert noen av verdens største selskaper, om at inntrengere kan ha hatt tilgang til deres databaser i skyen. Sikkerhetshullet har vært til stede i flere måneder, men ble fikset 14. august. Problemet lå i Cosmos-databasen og kunne utnyttes ved å få tilgang til databasen fra en vilkårlig Azure-bruker via en tjeneste kalt “Jupyter Notebook”. De som fant svakheten har fått utbetalt $40.000 for oppdagelsen.


Forskere fra Dolos Group har klart å få tilgang til en bedrifts nettverk, etter fysisk tilgang til en maskin med tilgang til nettverket, selv om maskinen er kryptert med Bitlocker for ekstra sikkerhet. Dette gjøres ved å forbigå trusted platform module (TPM) for å få tilgang til maskinen. Angrepet blir gjennomført ved å hente ut dataene som går mellom CMOS-chippen og CPUen i maskinen, som er ukrypterte og lett tilgjengelige. Etter å ha koblet til en “Salea Logic analyzer” klarte forskerne å hente ut nøkkelen til TPM. Videre brukte forskerne den allerede konfigurerte Palo Alto VPNen for å få tilgang til bedriftens nettverk. Til slutt hadde forskerne mulighet til å starte maskinen og kunne deretter infisere klienten og benytte seg av den for å nå andre interne ressurser.


Internettinfrastrukturselskapet Cloudflare avslørte i at de håndterte det største volumetriske distribuerte tjenestenekt-angrepet (DDoS) som er registrert til dags dato. Trusselaktøren brukte et botnett med mer enn 20.000 infiserte enheter for å sende HTTP-forespørsler mot kundens nettverk for å konsumere serverressurser, for dermed å forhindre legitime brukere i å bruke nettstedet. Angrepet nådde 17,2 millioner HTTP-forespørsler/sekund (RPS), et tall som Cloudflare beskrev som nesten tre ganger større enn noen andre angrep som er offentlig kjent.


I august håndterte TSOC 70 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og  Logganalyse, opp fra 40 i juli. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt.


Det var 253 bekreftede DDoS-angrep denne måneden, opp fra 233 i juli. 109 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.8 Gbps og varte i 28 minutter. Det største angrepet observert i denne perioden var på 35 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

tirsdag 10. august 2021

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2021

Kaseya VSA er et produkt som vanligvis blir brukt av MSPer (Managed Service Providers) for å drifte og overvåke sine kunders IT-miljøer. Programvaren ble fredag 2. juli utnyttet i et forsyningskjede-angrep for å levere REvil løsepengevirus til tusenvis av organisasjoner. Angrepene har vært rettet mot over 40 tjenesteleverandører og kunder av Kaseya. Dette har påvirket over 1000 bedrifter i 17 forskjellige land. Den svenske Coop-kjeden måtte for eksempel holde over 800 butikker stengt i flere dager, etter at leverandøren av kasse-løsningen gikk ned på grunn av angrepet. Angrepet ble gjennomført ved å utnytte en zero-day svakhet i Kaseya VSA-servere som var direkte eksponert mot Internet. Tilgangen ble deretter brukt til å spre løsepengevirus til alle klientene som serveren kontrollerte. Zero-day svakheten som ble brukt av angriperne var allerede fikset av Kaseya og patchen skulle snarlig sendes ut til kundene. REvil var dessverre raskere med å utnytte svakheten. REvil fremsatte et krav på $70 millioner for å låse opp igjen alle de rammede systemene etter angrepet. Den 13. juli forsvant REvil sine nettsider fra nettet, og de har ikke dukket opp igjen siden. Den 22. juli ble det meldt at Kaseya hadde fått tak i en dekrypteringsnøkkel som kunne brukes av alle de rammede kundene. Det er uklart hvordan Kaseya fikk tak i nøkkelen.

29. juni la et sikkerhetsfirma ut en demonstrasjon på Twitter som viste hvordan en feil i Windows Print Spooler kunne utnyttes. Microsoft hadde patchet en feil i denne Windows-komponenten tidligere i juni (CVE-2021-1675), og mange trodde først at det var en exploit mot denne svakheten som ble demonstrert. Sikkerhetshullet kan brukes av lokale brukere, samt autentiserte brukere over nettet, til å ta full kontroll over en Windows-server. Det viste seg snart at svakheten som ble demonstrert ikke ble patchet av Microsoft sin juni-oppdatering og Microsoft allokerte et nytt CVE-nummer til den: CVE-2021-34527. Det ble også bekreftet at svakheten fungerte mot alle versjoner av Windows. Den 6. juli ga Microsoft ut en haste-oppdatering for svakheten, men det viste seg snart at denne ikke dekket alle varianter. Angripere kunne fortsatt utnytte svakheten lokalt, og også via nettverket på noen konfigurasjoner av Windows.

15. juli ble det sluppet detaljer om enda en svakhet i Windows Print Spooler. Denne svakheten gir en lokal bruker mulighet til å oppnå system-rettigheter og har fått benevnelsen CVE-2021-34481. Foreløpig finnes det ingen patch for denne, men svakheten kan midlertidig unngås ved å slå av Print Spooler Service.

NSA, CISA, FBI og NCSC har delt informasjon om at det russiske militæret (FRU) er ansvarlige for flere store brute-force angrep (gjetting av brukernavn og passord) mot nettsky-leverandører. Angrepene har vært pågående siden minst midten av 2019. Aktøren er omtalt som APT28 og Fancy Bear og brukte et Kubernetes-kluster for å angripe epost-tjenere innenfor offentlige og private sektorer i flere land. De benyttet seg av kompromitterte brukerkontoer og svakheter i Microsoft Exchange server kjent som CVE-2020-0688 og CVE-2020-17144. For å skjule angrepene benyttet aktøren seg av Tor-nettverket og flere kommersielle VPNer.

Et samarbeid mellom flere mediehus og Amnesty International har avslørt at spionprogrammet Pegasus har blitt brukt til å avlytte telefonene til en mengde journalister og aktivister. Pegasus er utviklet og eid av det Israelske selskapet NSO group som selv sier at programmet kun skal brukes til å overvåke terrorister og kriminelle. Fransk etterretning har senere bekreftet at spionvaren var installert på telefonene til minst tre franske journalister. Antakelig blir Pegasus installert på iPhone-enheter ved hjelp av en svakhet som infiserer telefonen, uten at brukeren ser noe tegn til unormal aktivitet. Det kan være at svakheten ble patchet i iOS versjon 14.7.1, men dette er ikke helt avklart enda og Apple har ikke kommentert svakheten.

I juli håndterte TSOC 40 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og  Logganalyse, ned fra 80 i juni. Nedgangen skyldes antageligvis mindre aktivitet grunnet fellesferien. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. Denne måneden har det også vært flere PCer infisert av trojaneren Torpig/Sinowal.

Det var 233 bekreftede DDoS-angrep denne måneden, opp fra 214 i juni. 78 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.5 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 67 Gbps og varte i 13 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

mandag 5. juli 2021

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2021

I starten av måneden ble det multinasjonale selskapet JBS Foods rammet av ransomware. Firmaet produserer 20% av kjøttet i USA og produksjonen ble rammet. Etter kort tid valgte firmaet å betale $11 millioner til utpresserne i et forsøk for å få produksjonen i gang igjen så fort som mulig. Ransomware-angrepet ble utført av den russiske grupperingen REvil. USAs president, Joe Biden, uttalte etter angrepet at ansvarlige nasjoner burde straffeforfølge grupperinger som REvil. Dette med klar adresse til Russland sin manglende oppfølging av russiske grupperinger som i stor stil angriper og utpresser firmaer i vesten.

Justisdepartementet i USA prioriterer nå etterforskning av løsepengevirus på samme nivå som terrorisme etter angrepet på Colonial Pipeline 6. mai 2021, samt andre høyprofilerte angrep i det siste. Det er også opprettet en egen "task force" i Washington for å koordinere etterforskning av angrepene.

President Biden har utvidet sanksjonene mot kinesiske selskaper, som først ble innført av Trump. Listen over firmaer som ikke kan motta investeringer fra USA økes fra 31 til 59. Biden fordømmer også Kinas bruk av overvåkingsprogramvare for å kontrollere befolkningen. Firmaer som allerede har gjort investeringer vil ha ett år på seg til å avslutte forholdene.

Ukrainsk politi arresterte kriminelle assosiert med ransomware-gjengen Clop. De stengte også ned infrastrukturen til grupperingen, som har vært aktive siden 2019. De arresterte skal først og fremst ha drevet med hvitvasking av penger, mens bakmennene i banden fortsatt er på frifot i Russland. 

SITA, en internasjonal leverandør av IT-tjenester til rundt 90% av flybransjen, ble i mars utsatt for et datainnbrudd. Sikkerhetsselskapet Group-IB skriver at dette førte til et forsyningskjedeangrep som rammet flere store flyselskap og millioner av passasjerer er rammet. Sikkerhetsselskapet mistenker at den kinesiske aktøren APT41 står bak. Motivasjonen bak angrepet er mest sannsynlig å følge reisene til personer av interesse. Flyselskaper blir bedt om å sjekke systemene sine etter tegn til innbrudd etter kampanjen.

Datasystemene til halvparten av bibliotekene over hele landet gikk ned 22. juni etter et dataangrep. Angriperne krevde løsepenger. Det er Axiell Norge AS som levere datatjenestene og de gikk ikke med på kravet om å betale løsepenger. Ingen persondata skal være på avveie, og selskapet hadde sikkerhetskopier av all data angriperne hadde kryptert. Angrepet er meldt til politiet i Norge, Sverige og Finland. Den 28. juni lyktes selskapet i å delvis få opp igjen systemene sine.

I juli avslørte politi fra flere land den tre år lange operasjonen “Operation Ironside. Politiet hadde i flere år drevet den krypterte meldingsplattformen “ANOM”. Plattformen bestod av spesielt sikret mobilutstyr og en kryptert meldingsapp. Millioner av meldinger ble avlyttet av politiet, noe som førte til over 800 arrestasjoner, beslag av 40 tonn narkotika, 250 skytevåpen, 55 luksusbiler osv. I Norge ble ni personer pågrepet etter operasjonen. I Norge var det en stund uklart om bevisene som ble innhentet kunne brukes i en norsk rett, men høyesterett kom 23. juni fram til at dette ikke strider mot grunnleggende norske verdier.

En gruppe som kaller seg Fancy Lazarus driver nå en målrettet DDoS utpressingskampanje mot større bedrifter. Sikkerhetsselskapet Proofpoint skriver at bedrifter i mange ulike sektorer har blitt kontaktet av gruppen. Kontakten skjer per e-post, hvor gruppen forlanger en utbetaling på 2 Bitcoin (ca. 600 000 NOK) for at bedriften ikke skal bli utsatt for et større DDoS-angrep. Om bedriften ikke betaler innen en gitt tidsfrist dobles summen, og deretter øker den med én Bitcoin hver dag. Det er ikke alltid at gruppen gjennomfører truslene, men flere bedrifter har blitt utsatt for DDoS-angrep (demo-angrep) etter at de har blitt kontaktet. I løpet av de siste ukene har også noen norske bedrifter mottatt trusler med tilhørende demo-angrep fra denne grupperingen.

Statsforvalteren i Oslo og Viken var ett av statsforvalterembetene som ble direkte rammet av angrepet mot flere statsforvalterembeter i 2018. PSTs Hanne Blomberg opplyser at de nå har etterretning som peker mot Kina. "Vi har i denne konkrete saken etterretningsinformasjon som peker i en tydelig retning mot at det er aktøren APT31 som står bak operasjonen mot statsforvaltningsembetene", opplyste hun til NRK.

Det store spillselskapet Electronic Arts ble denne måneden frastjålet kildekode til flere spill. En representant for hackerne som stod bak angrepet, avslørte at angrepet ble utført ved hjelp av en informasjonskapsel kjøpt for $10. Netkapselen ble kjøpt fra undergrunnsmarkedet “Genesis Market” og gav hackerne tilgang til EA sin interne Slack-chat. Informasjonskapsler stjeles fra store mengder hackede PCer og legges ut for salg på denne typen illegale markeder. Angriperne klarte via chatten å lure EA sin IT-support til å gi dem tilgang til resten av nettverket, under påskudd av å ha glemt et passord.

I juni håndterte TSOC 80 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 86 i april. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. En del klienter har også fått installert ondsinnede nettleserutvidelser.

Det var 214 bekreftede DDoS-angrep denne måneden, ned fra 402 i mai. 113 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5 Gbps og varte i 36 minutter. Det største angrepet observert i denne perioden var på 71 Gbps og varte i 31 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


fredag 4. juni 2021

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2021

Syvende mai 2021 rammet ransomware selskapet Colonial Pipeline, som driver USAs største rørledning for å frakte olje og drivstoff. Selve kontrollsystemene ble ikke rammet, men selskapets støttesystemer gikk ned og hindret dermed videre drift. USAs regjering vedtok hastelover for å få fraktet oljen med tankbiler. I mange delstater oppsto det tendenser til panikk med hamstring av bensin og tomme bensinstasjoner. Etter nesten en uke ble transporten gjenopptatt, etter at selskapet betalte over $5 millioner til utpresserne. Hendelsen førte nesten til stengte flyplasser og bensinmangel i flere delstater i USA.

Etter angrepet mot Colonial Pipeline beklaget grupperingen som stod bak, DarkSide, at angrepet hadde fått så store konsekvenser og at det ikke lå noe politisk bak aksjonen. En del mistenker etter hvert at at alle angrepene i det siste kan være en del av en statsstøttet kampanje fra Russland. Senere i måneden forsvant DarkSides nettsider, og grupperingen skal ha mistet tilgang til store deler av løsepengene de har mottatt. Det spekuleres i om gruppen selv prøver å slette sporene, eller om myndigheter har tatt beslag i utstyr og verdier. Flere hacker-forum har etter angrepet lagt ned forbud mot innlegg og reklame som omhandler ransomware.

I slutten av mai 2021 rammet løsepengevirus det Irske helsevesenet. Store deler av datasystemene og helsejournalene ble tatt ned. En minister uttalte til pressen at dette var det største dataangrepet mot Irland noensinne. I løpet av hendelsen avviste flere sykehus alle pasienter, bortsett fra de som trengte øyeblikkelig hjelp. Helsevesenet opplyste at det var helt utelukket å betale de $20 millionene i løsepenger som angriperne forlangte. Etter hvert ga angriperne fra seg verktøyet for å låse opp igjen filene, men de truet fortsatt med å offentliggjøre informasjon de hadde stjålet, dersom løsepengene ikke ble betalt.

I mai ble også det norske IT-selskapet Volue (tidligere Powel) ASA utsatt for et angrep med ransomware. Angrepet krypterte ned en del filer, databaser og applikasjoner. Inntrengerne i nettverket  ble tidlig oppdaget og videre spredning forhindret. Kunder av selskapet skal ikke være berørt, men de oppfordres uansett til å endre passord på sine kontoer. Etter angrepet har selskapet fått skryt for sin åpne håndtering av prosessen med å få alle systemene opp igjen gjennom daglige åpne webcasts.

I april 2021 ble politiet i Washington DC rammet av ransomware. Angriperne stjal interne data og personnel-filer til ansatte. Gruppen bak angrepet, Babuk, la først ut detaljerte personell-filer som omhandlet 20 politimenn. Etter at politiet nektet å betale, la banden i mai ut 250GB med informasjon, blant annet en gjeng-database, detaljert informasjon om alle ansatte og informasjon om politiets informanter.

Bloomberg meldte at forsikringsgiganten CNA Financial betalte 40 millioner USD til angriperne i løsepenger for å få kontroll på nettverket deres etter et løsepengevirus-angrep. Dette er større enn noen andre utbetalinger som har blitt offentliggjort. Den gjennomsnittlige summen på offfentlig kjente betalinger av løsepenger etter ransomware lå på rundt 312 000 USD i 2020 ifølge Palo Alto Networks.

Både Volexity og Microsoft sitt Threat Intelligence Center varslet om en større pågående phishing-kampanje fra aktøren kjent som Nobelium/APT29. Aktøren skal ha forbindelse med den russiske utenlands-etterretningen (SVR) og stod bak Solarwinds-operasjonen. Microsoft har fulgt denne kampanjen siden januar 2021 og melder om et større phishing-angrep via epost som startet 25. mai. Epostene henviser til informasjon om valget i USA i 2020, og fikk derfor ekstra oppmerksomhet i USA. Angrepet er rettet mot mange forsknings-, statlige- og store internasjonale organisasjoner både i USA og i Europa.

CryptoCore er navnet på en angrepskampanje mot kryptobørser som selskapet ClearSky har undersøkt. Denne nettkriminalitetskampanjen er hovedsakelig fokusert på tyveri av kryptovaluta og ClearSky anslår at angriperne allerede har fått tak i verdier for hundrevis av millioner dollar. ClearSky-forskerne mener det er medium til høy sannsynlighet for at Lazarus-gruppen står bak angrepene. Dette er en nordkoreansk statssponset APT-gruppe som særlig går etter økonomiske mål over hele verden. Tidligere var det øst-europeiske kriminelle som var mistenkt for å stå bak. 

Mer enn 200 organisasjoner, inkludert belgiske styresmakter, ble overveldet av et stort DDoS-angrep 4. mai. Målet med angrepet var den statlig eide Internett-leverandøren Belnet. Angrepet var avansert og teknikkene bak det endret seg i løpet av angrepet. Det er ukjent hvem som står bak.

I mai håndterte TSOC 86 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 118 i april. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 402 bekreftede DDoS-angrep denne måneden, opp fra 355 i april. 169 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.47 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 129 Gbps og varte i 23 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

fredag 7. mai 2021

Oppsummering av nyhetsbildet innen datasikkerhet for april 2021

Den nylig opprettede Ransomware Task Force (RTF) er organisert av “Institute for Security and Technology” i samarbeid med representanter fra teknologi- og sikkerhetsbedrifter, regjeringer, politi og internasjonale organisasjoner. Ransomware-bølgen har etter hvert økt i omfang til å bli en fare for samfunnet, med flere eksempler på ødeleggende angrep mot sykehus, kommuner, politi og offentlig infrastruktur. RTF mener at det må et internasjonalt samarbeid til for å stoppe bølgen. De har akkurat gitt ut sin første rapport med anbefalinger. Disse går blant annet ut på å få politiet til å prioritere denne typen saker, pålegge organisasjoner å informere myndighetene om betalinger av løsepenger og å få kryptobørser til å vite hvem kundene er og overvåke transaksjoner.

Bedriften ClickStudios la ut en melding om at de hadde vært utsatt for et sikkerhetsbrudd mellom 20. og 22. april. Bedriften lager et produkt kalt Passwordstate, som brukes av større organisasjoner for å holde orden på passord og automatisere innlogginger. Denne programvaren ble kompromittert og en bakdør ble lagt inn. Versjonen av Passwordstate med bakdøren var tilgjengelig for nedlasting i 28 timer. Clickstudios har sluppet informasjon om hvordan en kan sjekke om den kompromitterte utgaven av Passwordstate er installert.

Noen av de store løsepengegruppene har begynt å presse bedrifter til å betale løsepenger ved å sende eposter direkte til både kunder og partnere av offeret. I epostene står det at sensitive data om dem som kunder/brukere vil bli lekket, dersom offeret ikke betaler. Mottakerne oppfordres videre til å legge press på offeret for å ordne betaling.

Den store nyheten i mars var Exchange-svakheten “ProxyLogon” som ble benyttet til å plassere bakdører på servere over hele verden. FBI i USA benyttet denne måneden den samme Exchange-bakdøren til å slette den opprinnelige bakdøren som ble lagt inn. Eierne av serverne som ble berørt ble ikke kontaktet først og det diskuteres i sikkerhetsmiljøet om dette var en lovlig og etisk  teknikk eller ikke.

NSA, FBI og Cybersecurity and Information Security Agency sier at  Russland stod bak supply-chain angrepet mot Solarwinds. Angrepet førte til at en bakdør ble sendt ut til over 18 000 kunder via oppdateringer. USA har nå lagt sanksjoner mot Russland og seks russiske selskaper som støttet Russland i å utføre dette angrepet. Amerikanske myndigheter advarer videre om at russisk etterretning fortsetter angrepene sine ved å utnytte kjente sårbarheter i populære produkter fra leverandører som Fortinet, Pulse Secure, Citrix og VMWare.

I april ble det meldt om en kritisk svakhet i Pulse Secure VPN-enheter som lar angripere omgå autentisering. Svakheten er svært enkel å utnytte og FireEye meldte raskt at flere trusselaktører allerede utnyttet svakheten til å installere forskjellige typer malware. Blant annet er flere amerikanske forsvars-underleverandører rammet. Kinesisk-støttede aktører skal hovedsakelig stå bak angrepene.

Den kjente malware gruppen BazarLoader jobber med tvilsomme call-center for å lure ofrene til å laste ned et infisert dokument. Phishing-epostene ber personer om å ringe et nummer for å oppgradere et abonnement eller lignende. Når personene ringer nummeret, blir de guidet til å laste ned et Office-dokument og deretter slå av sikkerhetsfunksjoner i Office for å tillate makroer å kjøre. Makroen laster deretter ned malware og infiserer maskinen.

Mot slutten av april mottok mange nordmenn tekstmeldinger på engelsk om å hente en tilsendt pakke. Dersom en lar seg lure og følger lenken fra en Android-mobil, leder den til en nedlastingsside for malware. For å installere malwaren må brukeren slå på muligheten for å installere apper fra ukjente kilder og svare ja til flere sikkerhetsadvarsler. Det er malwaren Flubot som blir installert, og denne vil laste ned personlige detaljer og prøve å lure brukeren til å gi fra seg nettbank-detaljer. Flubot vil også fortsette å sende SMS-meldingene videre til brukerens kontakter. Hittil har heldigvis Flubot hatt begrenset spredning i Norge, muligens fordi få benytter seg av tredjeparts app-butikker i Norge.

I løpet av årets Pwn2Own konkurranse ble det utbetalt over $1.2 millioner kroner i premier til deltakerne. I løpet av konkurransen ble helt nye måter å hacke Safari, Chrome, Edge, Windows 10, Ubuntu, Microsoft Teams, Zoom og Exchange vist fram. Alle teknikkene ble demonstrert og detaljer rundt disse deretter overlevert til arrangørene og leverandørene. Nok en gang viser det seg at alle større softwareprodukter er forholdsvis enkle å utnytte, bare en er motivert nok.

I april håndterte TSOC 118 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 140 i mars. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 355 bekreftede DDoS-angrep denne måneden, ned fra 415 i mars. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.63 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 37.5 Gbps og varte i 23 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


 
>