Oppsummering av nyhetsbildet innen datasikkerhet for mai 2023

Myndigheter fra USA og allierte land offentliggjorde denne måneden at de har gjennomført en aksjon mot Snake-malwaren. Det er den russiske aktøren Turla (FSB) som har benyttet malwaren i stadig nyere varianter de siste 20 årene. Snake brukes for spionasje og er designet for å ikke bli oppdaget. USA har imidlertid klart å avsløre nettverket og har dekodet kommandoene som brukes av kontroll-serverne. Dette har blitt brukt til å sende en kommando til infiserte servere som har uskadeliggjort malwaren. I forbindelse med aksjonen har det blitt gitt ut en detaljert gjennomgang av malwaren og hvordan en beskytter seg mot den.

Barracuda advarte i mai om en kritisk sårbarhet som allerede var i bruk mot deres Email Security Gateway (ESG). Svakheten ligger i en modul som utfører scanning av vedlegg i innkommende e-poster, og kan dermed utnyttes ved å sende en spesielt utformet epost gjennom enheten. En patch ble sendt ut 20. mai, men noen enheter var da allerede kompromittert. Enheter som ble rammet skal ha fått et varsel om dette i bruker-interfacet med instruksjoner om hva de skal gjøre videre. Firmaets skytjenester (Saas) skal ikke være rammet. Etter hvert viste det seg at svakheten hadde vært utnyttet i det stille helt siden november 2022. Det viser seg dessverre litt for ofte at enheter som er ment å gjøre nettverket sikrere i stedet har store sikkerhetssvakheter.

Microsoft har sluppet den fjerde utgaven av Cyber Signals. Her skriver de om en økning i svindel gjort ved hjelp av BEC - Business Email Compromise. Ved denne svindelmetoden bruker angriperne forskjellige metoder via e-post, telefon-oppringninger og sosiale medier, typisk for å lure til seg penger fra bedrifter. Microsoft anbefaler sikre e-post-løsninger, å beskytte identiteter ved hjelp av to-faktor innlogging, opplæring av ansatte og å bruke en sikret betalingsplattform for å motvirke svindel-forsøkene. Alle større utbetalinger bør også kontrolleres av flere ansatte og bør verifiseres via minst to kommunikasjonsmetoder. Mange norske bedrifter og offentlige institusjoner har blitt rammet av denne typen svindel de siste årene.

Det amerikanske Justisdepartementet har beslaglagt domenene til 13 tjenester som har solgt DDoS-angrep. Tilbyderne av disse ulovlige tjenestene beskriver dem som "booter"- eller "stressor"-tjenester, som lar nettstedeiere teste robustheten og stabiliteten til infrastrukturen deres. Disse tjenestene blir imidlertid som oftest benyttet av personer som ønsker å hevne seg på nettsteder, medspillere i online-spill eller for å drive utpressing ved å ta ned Internett-forbindelsen deres.

Trusselaktører benytter seg i økende grad av Google-annonser for å få tilgang på innsiden av bedriftsnettverk. Annonsene gir seg ut for å være legitime populære applikasjoner som brukere ofte laster ned til sine PCer, men offeret blir egentlig lurt til å laste ned en bakdør sammen med applikasjonen. Denne typen annonser havner over de vanlige søkeresultatene, og mange lar seg derfor lure. Tilgangene blir typisk solgt videre på markedsplasser og brukt til spionasje eller utpressing. For å motvirke denne typen angrep bør ikke ansatte ha mulighet til å installere tilfeldig programvare fra nettet.

Ondsinnede aktører har en tendens til å utnytte populære fenomener og tjenester i sitt virke, og den mye omtalte chatboten ChatGPT er intet unntak, viser det seg. I løpet av de siste månedene har Facebook etterforsket og gått til aksjon mot flere typer skadevare som utnytter folks interesse for OpenAIs ChatGPT for å lure dem til å installere skadevare som utgir seg for å ha AI-funksjonalitet. Ofte er det nettleser-tillegg som brukes for å infisere brukerne. Vi har også sett flere tilfeller av dette på SOC. Ansatte bør kun ha mulighet til å installere forhåndsgodkjente nettleserutvidelser for å unngå denne angrepsvektoren.

En hengelås på en nettside var for noen år siden en sterk indikasjon på at nettsiden var trygg, siden sider med svindel og skadevare svært sjelden var sikret med SSL/TLS-kryptering. Etter hvert ble imidlertid også forbindelsen til svindel-nettsteder rutinemessig kryptert. Hengelåsen blir fortsatt misforstått av mange til å indikere at nettsiden er sikker, noe Google nå vil gjøre noe med. I løpet av de neste månedene vil hengelåsen bli byttet ut med et ikon for innstillinger i nettleseren Chrome, og beslektede nettlesere. Google mener at en sikker forbindelse til en nettside nå bør være en selvfølge og at hengelåsen derfor er unødvendig. Ved å trykke på ikonet kan brukeren se status på kryptering, nettsidens tilgang til mikrofon, kamera, lokasjon osv.

I mai håndterte TSOC 53 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 54 i april. Vi ser at phishing-eposter stadig er effektive. Ofte blir det først oppdaget at brukeren har blitt frastjålet passordet sitt, ved at uvedkommende prøver å logge på kontoen. Heldigvis blir dette ofte avverget ved at sikkerhetssystemer fanger opp at brukeren logger på fra en uvanlig fysisk lokasjon, gjerne i kombinasjon med at innloggingen gjøres fra en ukjent PC. To-faktor autentisering avverger også mange av denne typen angrep. Denne måneden hadde vi også noen tilfeller av maskiner som ble infisert av malwaren “SocGolish”. Trusselaktøren bak, TA569, legger inn Java-script-kode på sårbare nettsteder som viser pop-ups til brukerne om at de må oppdatere nettleseren sin. Mange lar seg dessverre lure, og resultatet kan bli uthenting av informasjon fra PCen, eller i siste instans ransomware og kryptering av data i hele nettverket.

Det var 161 bekreftede DDoS-angrep denne måneden, ned fra 200 i april. 60 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3 Gbps og varte i 35 minutter. Det største angrepet observert i denne perioden var på 48 Gbps og varte i ni minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for april 2023

VoIP-firmaet 3CX ble tidligere i år rammet av et forsyningskjede-angrep der deres programvare for Windows og macOS fikk injisert en bakdør. Oppdateringer av programvaren, med denne bakdøren inkludert, ble deretter automatisk sendt ut til 3CX sine kunder. Det var nord-koreanske hackere som stod bak angrepet, og målet var å stjele krypto-valuta. Det viser seg etter hvert at det initielle innbruddet hos 3CX skjedde på grunn av et forsyningskjede-angrep. Sikkerhetsselskapet Mandiant meldte at en PC tilhørende en ansatt i 3CX ble hacket gjennom et forsyningskjede-angrep mot programvaren til finans-firmaet Trading Technologies. Angrepet ble gjennomført av den samme nord-koreanske gruppen som kompromitterte 3CX. Dette er antagelig det første eksempelet på et dobbelt forsyningskjede-angrep.

Mange DDoS-angrep blir utført ved å forsterke angrepstrafikken via sårbare tjenester som er tilgjengelig på nettet. Angriper sender en liten pakke med trafikk, forfalsket til å se ut som om den blir sendt fra målet for angrepet, til en sårbar tjeneste. Tjenesten som blir kontaktet, sender deretter svaret på forespørselen til målet, men svaret er mye større enn forespørselen. Angriperen oppnår dermed både å forsterke angrepet sitt og skjule hvor angrepet kommer fra. Det har nå blitt oppdaget en ny tjeneste som kan utnyttes til å gjennomføre denne typen angrep. Tjenesten kalles SLP (Service Location Protocol) og ble laget av Sun Microsystems tilbake i 1997. Tjenesten ble brukt for å registrere tilgjengelige lokale ressurser på det interne nettverket, men var aldri ment å være tilgjengelig utenfor lokalnettet. 35.000 servere eksponerer dessverre tjenesten ut på nettet og kan potensielt sett misbrukes i angrep. Ved å manipulere listen over tilgjengelige enheter før angrepet startes, kan angrepstrafikken forsterkes hele 2200 ganger! Telenors tjeneste for DDoS-beskyttelse håndterer denne typen angrep godt.

Etter at Microsoft har begynt å blokkere makroer fra å kjøre i Office-dokumenter lastet ned fra nettet, har vedlegg i OneNote blitt en populær måte å distribuere malware på. Mottakeren av dokumentet blir lurt til å åpne de vedlagte filene, og maskinen blir infisert. OneNote har så langt ikke hatt en sperre mot å legge ved eksekverbare filer og scripts, men dette blir det nå en endring på. I løpet av de nærmeste ukene vil Microsoft sperre farlige filtyper i alle varianter av OneNote.

CitizenLab har gitt ut en ny rapport som tar for seg tre forskjellige zero-click exploit-kjeder brukt mot iOS av overvåkningsfirmaet NSO-group i 2022. Svakhetene har blant annet blitt brukt mot menneskerettighetsforkjempere og journalister. Både iOS 15 og iOS 16 har vært rammet. Dette dreier seg altså om svakheter som det ikke fantes patcher for på det tidspunktet de ble brukt og som infiserte brukerne uten at de var klar over det. Firmaer som selger denne typen programvare påstår ofte at de kun selger til regjeringer og politi, men mange land misbruker dessverre programvaren til tvilsomme aktiviteter.

Genesis Market ble tatt ned av FBI tirsdag i påskeuken. Markedsplassen har vært kjent for storstilt omsetning av stjålne brukernavn, passord og innloggings-sesjonsnøkler (cookies). I etterkant av aksjonen rapporterte FBI at rundt 120 personer har blitt arrestert i flere land. Innloggingsdetaljene fra markedsplassen har vært brukt både for å plante ransomware, stjele intern informasjon og tyveri fra enkeltpersoner. Etter aksjonen har FBI delt en liste over alle kompromitterte brukere med tjenesten "Have I been Pwned", slik at berørte brukere har fått beskjed om at deres informasjon er på avveie.

QuaDreams er et firma som leverer overvåkingsprogramvare for mobiltelefoner. Firmaet konkurrerer med firmaer som israelske NSO. Denne typen firmaer leverer typisk programvaren sin til myndigheter i forskjellige land. CitizenLab og Microsoft har sett nærmere på firmaet og deres programvare-plattform kalt "Reign", som inkluderer utnyttelseskode og overvåkingsprogramvare for Android og iOS-mobiler. Microsoft har dokumentert at Reign, og spesielt malwaren "KingsPawn", har blitt brukt til å kompromittere og overvåke iPhones tilhørende journalister og personer involvert i politikk i flere land. Det er også tegn på at Android-mobiler er rammet. Etter all oppmerksomheten opplyste firmaet at de er i ferd med å stenge ned virksomheten sin.

I april håndterte TSOC 54 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 111 i februar. Kriminelle tilpasser ofte sine malware-kampanjer og svindelforsøk med temaer som er aktuelle i nyhetsbildet. Dette viste seg ved en alvorlig hendelse som ble avdekket ved hjelp av tjenesten Logganalyse denne måneden. En ansatt ble lurt til å laste ned et falskt tillegg til Chrome-nettleseren, som skulle berike søkeresultater med informasjon fra ChatGPT. I tillegg til dette, stjal imidlertid akkurat denne utvidelsen også login-info som var lagret i nettleseren og sendte dette ut til bakmennene. Vi satte klienten i karantene og kundens driftsorganisasjon ba brukeren om å bytte passord til tjenester som var benyttet fra PCen, samt få reinstallert operativsystemet.

Det var 200 bekreftede DDoS-angrep denne måneden, ned fra 212 i mars. 94 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 4.26 Gbps og varte i 38 minutter. Det største angrepet observert i denne perioden var på 140 Gbps og varte i litt over én time. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2023

En sikkerhetsforsker oppdaget at en app som ble brukt til å vise søkeresultater i Bing (Bing Trivia) var satt opp med manglende tilgangskontroll; alle brukere i Azure kunne bruke appen og dermed manipulere søkeresultater. XSS-kode (Cross Site Scripting) kunne også legges inn, for å kjøre tilfeldig Java-script i kontekst av Bings brukere. Dette kunne brukes til å stjele brukerens innlogings-token for Office 365 og dermed alle data tilgjengelig for brukeren. Etter en scanning av flere applikasjoner viste seg at Microsoft og mange andre firmaer hadde store mengder applikasjoner med den samme konfigurasjonsfeilen. Det ble utbetalt $40.000 i belønning for oppdagelsen. Microsoft anbefaler at alle scanner sine egne Azure-instanser for denne feilen i tilgangsstyringen, nemlig at apper er satt opp til å tillate "multi-tenancy" uten videre krav til autentisering.

Nasjonal sikkerhetsmyndighet (NSM) har på oppdrag fra Justis- og beredskapsdepartementet foretatt en vurdering knyttet til sikkerheten rundt bruk av mobil-appene Tiktok og Telegram på tjeneste-enheter. NSM vurderer at appene ikke bør installeres på offentlig ansattes tjenesteenheter som er tilknyttet virksomhetens interne digitale infrastruktur eller tjenester. NSM presiserer at anbefalingen ikke er et forbud mot de to appene, men et råd om at de ikke bør installeres på tjenesteenheter i departementet. NSM vurderer at dette også bør gjelde ansatte i privat sektor som er underlagt sikkerhetsloven helt eller delvis. I etterkant av de nye retningslinjene har flere bedrifter og offentlige instanser innført forbud mot appene på mobiler brukt i jobbsammenheng.

Sikkerhetsfirmaet SentinelOne meldte om et pågående forsyningskjede-angrep gjennomført av en nord-koreansk aktør via IP-telefoni appen 3CXDesktopApp for Windows og Mac OS. Installasjons-programmet var korrekt signert, men inneholdt likevel skadelig kode for å laste ned mer malware og siden eksfiltrere data fra rammede bedrifter. Det kom senere fram at målet med aksjonen trolig var å få tilgang til firmaer som driver med krypto-valuta for å utføre tyverier, noe som er vanlig for aktører fra Nord-Korea.

Sikkerhetsselskapene Sentinel Labs og Proofpoint har gitt ut rapporter om den russiske aktøren TA473/Winter Vivern. Aktøren har siden februar 2023 utnyttet svakheter i Zimbra-installasjoner, blant annet til å stjele eposter fra ansatte i NATO, myndigheter, militært personell og diplomater. Phishing-eposter blir brukt til å injisere javascript i sårbare Zimbra-installasjoner ved hjelp av svakheten kjent som CVE-2022-27926. Aktøren får på denne måten kopiert ut brukernavn, passord og innloggings-nøkler (cookies).

Mange land bruker kommersiell spionvare rettet mot mobiltelefoner for å overvåke kriminelle, journalister, regimemotstandere osv. Programvaren installeres på utvalgte mobiler ved å utnytte svakheter i Android og iOS og skjer ofte uten at brukeren merker eller trenger å gjøre noe (zero-click svakheter). USA innfører nå restriksjoner i bruk av denne typen programvare. Før den brukes må det undersøkes om det kan føre til kontraspionasje eller andre sikkerhetsrisikoer. Leverandører som selger sin programvare til regimer som misbruker systemene skal også unngås. I forbindelse med restriksjonene kom det også fram at over 50 amerikanske diplomater hadde blitt rammet av denne typen programvare mens de var i utlandet, de fleste med programvare laget av israelske NSO.

Microsoft advarer om at trusselaktøren DEV-1101 tilbyr et phishing-verktøy som åpen kildekode som kan brukes til å stjele sesjonsnøkler (cookies). Verktøyet støtter proxy-funksjonalitet (AiTM - Adversary in the Middle) for å hente ut engangskoder og sesjonsnøkler fra ofrene. Verktøyet kan både kjøpes og leies med support-avtale. Det brukes av flere trusselaktører til å sende ut millioner av phishing-eposter og få tilgang til bedrifter. For å unngå å miste innloggingsdetaljer i forbindelse med denne typen angrep, må en implementere autentiserinsmekanismer som er motstandsdyktige mot phishing som FIDO2 med sikkerhetsnøkler eller sertifikat-basert autentisering.

Britiske National Crime Agency (NCA) avslørte i mars at de hadde opprettet flere sider der de gir seg ut for å tilby salg av DDoS-tjenester. De har gjort dette for å avsløre kriminelle som bruker denne typen tjenester for å angripe og drive med utpressing av organisasjoner. Flere tusen har besøkt nettstedene. I stedet for å få utført DDoS-angrep, lagret nettstedene bruker-informasjon som epost-adresser, IP-adresse og betalingsinformasjon for senere etterforskning mot de besøkende. NCA advarer de kriminelle om at det fortsatt finnes mange tilsvarende nettsteder, selv om de nå har avslørt én av sine falske sider.

FBI og politi fra flere land har gjennomført en politi-aksjon mot infrastrukturen til fjernstyrings-verktøyet NetWire, som er et fjernstyrings-verktøy som for det meste har blitt solgt som en RAT (Remote Access Trojan). Siden 2014 har verktøyet blitt brukt i forbindelse med phishing og innbrudd i bedriftsnettverk. Domenet til verktøyet har nå blitt beslagslagt, sammen med serverne i Sveits. Den antatte hovedmannen bak verktøyet ble samtidig arrestert i Kroatia.

En ny trend med lydtjenester basert på kunstig intelligens (KI) gir folk muligheten til å kopiere stemmer og konstruere fiktive samtaler. Kvaliteten er nå så god at det er lett å la seg lure. Bare uker etter at selskapet Eleven Labs lanserte en nettside med KI-verktøy for lyd, har det flommet over av populære humorvideoer på TikTok, YouTube og Twitter basert på verktøyet. Utviklingen gjør det enda viktigere å verifisere at den du kommuniserer med er riktig person, spesielt før du gir fra deg informasjon eller foretar viktige handlinger som overføring av valuta.

I mars håndterte TSOC 181 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 111 i februar. Denne måneden avdekket vi blant annet en infisert maskin som mottok kodede Powershell-kommandoer gjemt i lovlige DNS-forespørsler. Denne uvanlige måten å kommunisere på brukes for å gjøre det vanskeligere å avdekke at infiserte maskiner kontakter sin kontroll-server, ved å skjule trafikken i store mengder lovlig trafikk. Vi avdekket også en maskin som var infisert med malwaren “RecordBreaker”, en nyere variant av Raccoon Stealer, som laster opp lagret innloggingsinformasjon i nettleseren (cookies) til en kontroll-server.

Det var 212 bekreftede DDoS-angrep denne måneden, ned fra 252 i februar. 70 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.24 Gbps og varte i 3 timer. Det største angrepet observert i denne perioden var på 51 Gbps og varte i 8 minutter. Åtte av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. Vi ser fortsatt langvarige angrep mot enkelte kunder som blir kamuflert som vanlig nyttetrafikk mot bedriftens tjenester, typisk gjennomført av hacktivist-grupper.

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2023

2. februar meldte Vadsø Kommune om uønsket aktivitet i deres nettverk. Nettverket ble stengt ned og kommunale brukere var uten nettforbindelse i rundt ett døgn etter hendelsen. I dagene etterpå var det også problemer med noen tjenester. Den 10. februar meldte kommunen at angrepet hadde skjedd via lekkede påloggingsdetaljer tilhørende en ekstern tjenesteleverandør og at alle kommunale tjenester igjen fungerte som normalt. 3. februar kl 13:00 stengte også Målselv Kommune ned sin Internett-forbindelse etter mistanke om datainnbrudd. Situasjonen ble avklart og nettforbindelsen åpnet igjen kl 18:45 samme dag. Begge sakene er politianmeldt og etterforskes av et team hos Kripos.

DNB melder at digitale bedragerier har økt med 832 prosent fra 2018 til 2022. Bedrageriene er også mer avanserte enn tidligere, samtidig som at de rammer både bedrifter og privatpersoner. DNB klarte i fjor å avverge bedrageriforsøk for 1067 millioner kroner, men de kriminelle lyktes med å gjennomføre bedragerier for 177 millioner kroner fra deres kunder. Over halvparten av bedrageriforsøkene skyldes phishing. Det siste året har det vært en økning i phishing-forsøk på 69 prosent og hele 920 prosent i forhold til for tre år siden. Ofte skyldes vellykket phishing at folk har mer tillit til bedrageren enn de har til bankens varslinger. Dette forklares med at bedragerne har blitt mer sofistikerte i sine angrep.

Flyselskapet SAS ble 14. februar utsatt for et tjenestenektangrep (DDoS) som rammet både nettsiden og appen til selskapet. I forkant av angrepene hadde en hacktivist-gruppe truet med å utføre DDoS-angrep mot flere svenske flyselskaper. I en tidsperiode ble kunder i mange tilfeller sendt til en annen tilfeldig profil, dersom de prøvde å logge seg inn på appen. Med dette kunne man både se personopplysninger samt bonuspoeng og kommende flyvninger. Klokken 20:45 ble innloggingsproblemene løst. Det er ikke meldt om at SAS ble utsatt for innbrudd i sine datasystemer.

Økokrim har tatt beslag i verdier for rundt 60 millioner kroner etter rekordtyveriet mot spillet Axie Infinity og 750 norske spillere i fjor. De jakter nå videre på flere milliarder kroner som fortsatt er utestående sammen med FBI. Tidligere har FBI fått tak i rundt 300 millioner i tilsvarende beslag. Ifølge det amerikanske føderale politiet FBI stod den nordkoreanske hackergruppen «Lazarus» bak tyveriet i fjor.

Rundt nyttår ble en kvinnelig sjåfør stoppet i en rutinekontroll i Paris. I bilen ble det funnet en mistenkelig gjenstand som politiet først trodde var en bombe. Det viste seg etter hvert at gjenstanden var en IMSI-catcher. Dette er avansert utstyr som brukes av politi og hemmelige tjenester for å overvåke mobilkommunikasjon og finne ut hvor mobiltelefoner befinner seg fysisk. Det viser seg nå at utstyret ble brukt til å sende ut over 400.000 SMS-meldinger til mobiler i nærheten som lurte mottakerne til å besøke en phishing-side.

Europakommisjonen har nå innført nye sikkerhetsregler som bannlyser de ansatte fra å bruke appen TikTok på sine mobile enheter betalt av arbeidsgiver. Dette blir gjort for å styrke cybersikkerhet internt i kommisjonen, gjennom å stoppe kartlegging av ansatte og innsamling av data fra mobiltelefonene. De ansatte ble bedt om å avinstallere appen på offisielle enheter umiddelbart, samt personlige enheter dersom disse blir brukt i jobbsammenheng. Appen kan fortsatt brukes på helt private mobilenheter. Det hvite hus meldte noen dager senere at den kinesisk-eide appen skal være fjernet fra telefoner og systemer som tilhører regjeringskontorene i USA innen 30 dager.

En av de største sykehus-kjedene i USA opplyser at hackere har fått tak i sensitiv helseinformasjon om rundt 1 million pasienter. Opplysingene ble stjålet etter å ha utnyttet en svakhet i filoverføringsverktøyet GoAnywhere fra Fortra. Journalisten Brian Krebs advarte to uker før angrepet om at en ny svakhet var under aktiv utnyttelse i verktøyet GoAnywhere. Svakheten ble senere kjent som CVE-2023-0669 og ble patchet av selskapet 7. februar. Flere andre firmaer skal også ha blitt kompromittert ved hjelp av svakheten. Flere har blitt utsatt for ransomware. Utnyttelse av svakheten krever tilgang til innloggings-siden til verktøyet.

Før Russland invaderte Ukraina gjennomførte den russiske regjeringen flere aksjoner mot russiske kriminelle grupper for å blidgjøre vestlige land. Etter invasjonen har den russiske regjeringens styrket båndene til cyberkriminelle, skriver The Record. Forskjellige kriminelle grupperinger utfører oppdrag som understøtter krigen, ofte ved å lekke stjålne data fra Ukraina. Dette har også ført til en økning i cyberkriminalitet, da kriminelle har fått økt støtte og beskyttelse fra regjeringen, så lenge de ikke angriper mål innenlands. Myndighetene kan også gjennomføre aksjoner gjennom de kriminelle gruppene eller gi seg ut for å være dem.

Bitwarden og 1Password er to apper for lagring av passord, såkalte passord-hvelv. Firmaene bak applikasjonene melder at cyberkriminelle lager falske nettsider som etterligner deres nettsider. De betaler også Google for annonser på deres søkesider. Når man f.eks. søker etter «bitwarden password manager» kommer det opp en falsk side som første resultat hos Google, men brukeren blir sendt til en phishing-side som ser identiske ut til originalen og også har et lignende domene-navn. Trusselaktørene prøver gjennom denne teknikken å få tilgang til alle kontoene som er lagret i ofrenes passord-hvelv, ved å lure fra dem deres hoved-passord til hvelvet. Google opplyser at å stoppe denne typen angrep har høyeste prioritet, men annonser fra Google har i det siste vært kilde til flere typer svindel og spredning av malware.

I februar håndterte TSOC 111 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 148 i januar. Denne måneden oppdaget vi flere maskiner som var kompromittert og infisert med bakdørene AsyncRAT og DCRAT. Denne typen verktøy kan brukes til å fjernstyre de infiserte maskinene, kopiere ut informasjon fra dem og bruke dem som utgangspunkt for videre innbrudd i nettverket.

Det var 252 bekreftede DDoS-angrep denne måneden, ned fra 358 i januar. 138 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.57 Gbps og varte i 3 timer. Lengden på et gjennomsnittlig angrep gikk mye opp denne måneden i forbindelse med langvarige angrep som hacktivist-grupper som Noname057 har påtatt seg ansvaret for. Det største angrepet observert i denne perioden var på 65 Gbps og varte i 44 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2023

Sikkerhetsforskere har avdekket at en ny versjon av malware-rammeverket Raspberry Robin har blitt brukt i angrep mot europeiske firmaer i finans- og forsikringssektoren. Raspberry Robin sprer seg blant annet via USB-enheter og har vært observert også i Norge de siste månedene. Det er vanskelig å detektere infeksjoner med rammeverket og malwaren i seg selv er også vanskelig å dekompilere.

Torsdag 6. januar og fredag 7. januar ble TV2.no og TV 2 Play utsatt for dataangrep. Angriperne benyttet lekkede passord fra andre tjenester for å logge seg inn. Det er foreløpig meldt at 18.000 kunder må bytte sitt passord. For å stoppe videre angrep har TV 2 valgt å sperre og tilbakestille passord på berørte kontoer. Datatilsynet er rutinemessig varslet, og TV 2 er også i dialog med Nasjonal Sikkerhetsmyndighet.

DNV bekrefter i en melding på deres nettsted at de har vært utsatt for et angrep med ransomware. Angrepet skjedde lørdag 7. januar og rammet serverne til systemet "ShipManager". Dette er et system som brukes for flåtestyring. DNV råder kundene til foreløpig å bruke systemet i frakoblet modus, inntil de får opp ryddet opp. Ingen andre systemer skal være rammet og DNV jobber sammen med politiet og eksperter for å få opp igjen systemer. 23. januar opplyste DNV at de fortsatt jobbet med å få opp igjen systemet. 70 kunder med til sammen rundt 1000 skip er rammet.

11. januar advarte Royal Mail i Storbritannia om at de hadde problemer med import og eksport av post grunnet datatrøbbel. Post inn i landet ble forsinket og post ut av landet stoppet helt opp. Kundene fikk til og med beskjed om ikke å levere inn flere pakker eller brev som skulle til utlandet. Innenlands post fungerte som normalt. Først 18. januar ble begrenset eksport av post startet opp igjen. I etterkant av hendelsen har Royal Mail bekreftet at problemene skyldtes ransomware og de beskyldte russiske kriminelle for å stå bak.

Sentinel Labs har skrevet en bloggpost om gruppen NoName057(16). Den pro-russiske hacktivist-gruppen har stått bak mengder av DDoS-angrep, sist i januar mot flere banker i Danmark. Gruppen stod også bak angrep mot NAV, Arbeidstilsynet, BankID og flere andre nettsteder i Norge sist sommer. Angrepene blir koordinert via en kanal i chatte-tjenesten Telegram. Primært bruker de verktøyet DDOSIA, som startes opp manuelt av hver enkelt tilhenger av grupperingen. Angrepene foregår typisk via ressurskrevende HTTPS-forespørsler direkte mot tjenestene som angripes. Bidragsytere som genererer mest effektiv angrepstrafikk kan også få belønning av gruppen.

De siste ukene har det vært flere tilfeller der sponsede søkeresultater fra Google sender brukerne til malware. Når en gjør Google-søk kommer det ofte opp sponsede resultater i toppen av resultat-listen. Hackere har nå satt opp falske nedlastings-sider for fritt tilgjengelige applikasjoner som VLC og 7-Zip. De kjøper også annonseplasseringer som sender brukerne til disse sidene for å laste ned malware, kamuflert som legitim programvare. Malwaren har i noen tilfeller blitt brukt til å stjele store verdier i form av krypto-valuta. Husk å alltid verifisere at du henter ned programvare fra den egentlige utgiveren. Det kan også være en god idé å laste opp filer til tjenesten Virus Total for testing, før en kjører nedlastede programmer.

En gruppe sikkerhetsforskere har undersøkt appene og APIene (Application Programming Interface) til diverse billeverandører for svakheter. De benyttet seg blant annet av en teknikk kalt “fuzzing”, som går ut på å bombardere de bakenforliggende systemene med alle mulige varianter av forespørsler for å avdekke svakheter. Resultatet ble at de klarte å låse opp biler, starte biler, logge inn på interne tjenester hos leverandørene, logge inn som ansatte uten passord, ta full kontroll over brukerkontoer osv. Blant firmaene som hadde kritiske svakheter var Ferrari, BMW, Rolls Royce, Nissan og Porsche. Sårbarhetene ble meldt til leverandørene så fort de ble oppdaget.

Den russiske trusselaktøren "Turla", som forbindes med etterretningstjenesten FSB, har fått tilgang til andre trusselaktørers servere ved å registrere gamle domener assosiert med eldre USB-basert skadevare. Turla bruker dermed allerede infiserte systemer fra andre trusselaktører for å unngå å avsløre seg selv. Turla sin "piggyback"-teknikk har vært observert siden september i fjor i forbindelse med "Andromeda"-skadevaren, som først ble oppdaget i 2013. Da det amerikanske selskapet Mandiant undersøkte kommando og kontroll serveren til Andromeda, oppdaget de at et domene assosiert med Andromeda hadde blitt registrert på nytt i 2022 av Turla-grupperingen.

Europol har i samarbeid med europeiske og amerikanske myndigheter klart å ta ned infrastrukturen til HIVE, et ransomware-as-a-service produkt fra HIVE ransomware group. Fra juni 2021 til januar 2023 har over 1500 firmaer fra over 80 land blitt utsatt for HIVE ransomware. Det er estimert et tap på rundt 100 millioner euro i løsepenger. Etter at Europol beslagla infrastrukturen har flere dekrypteringsnøkler blitt funnet, noe som sparte bedrifter for opp mot 120 millioner euro i løsepenger. FBI har i forbindelse med aksjonen utlovet en dusør på $10 millioner for tips som kan knytte Hive eller andre grupperinger til nasjonalstater.

Trusselaktører har nå blitt observert i å benytte seg av OneNote-vedlegg til bruk i epost-phishing kampanjer, en teknikk tidligere brukt ved hjelp av Word- eller Excel-dokumenter. I juli i fjor endret Microsoft standardinnstillingene for makroer til å være avslått i Microsoft Office-dokumenter som var lastet ned fra nettet, som et tiltak mot potensiell skadevare. Ved å legge til Office-dokumentene som vedlegg til OneNote-filer, kan denne sperren omgås. Office-vedleggene blir startet ved hjelp av Visual Basic Script-filer som også er vedlagt dokumentet. Disse filene blir gjemt under grafikk-elementer for at brukeren ikke skal fatte mistanke. Brukeren må også godta en eller flere sikkerhetsadvarsler, men erfaring tilsier at mange brukere ignorerer disse.

I løpet av 2022 har ransomware-grupper utpresset ofre for rundt $458.8 millioner, noe som er en nedgang på 40% i forhold til de siste to årene ($765 millioner). I følge data fra Chainalysis kan den drastiske nedgangen i profitt ikke korreleres med færre angrep totalt sett, men heller at ofrene nekter å betale løsepengene. Historisk sett har majoriteten av ofrene endt opp med å betale. I 2022 har dette snudd, siden 59 prosent av ofrene ikke endte opp med å betale løsepengene.

I januar håndterte TSOC 163 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 107 i desember. Denne måneden ble flere av våre kunder utsatt for overbevisende phishing-angrep som prøvde å lure fra brukerne innloggingsdetaljer til Microsoft sine tjenester. Angrepene ble heldigvis fort oppdaget og en del brukeres passord ble byttet for sikkerhets skyld. Ellers har vi oppdaget at en del maskiner har vært infisert av bakdørene AsyncRAT og DCrat (RAT - Remote Access Trojan. Det kan lønne seg med en liste over godkjente applikasjoner (hvitelisting) på PCer for å unngå denne typen malware.

Det var 358 bekreftede DDoS-angrep denne måneden, opp fra 212 i januar. 182 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.48 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 16 Gbps og varte i 16 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.