Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 6. januar 2021

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2020

Datainnbruddet som Stortinget ble rammet av i august ble ferdig etterforsket av PST i desember. Etterforskningen viste at nettverksoperasjonen var en del av en større kampanje nasjonalt og internasjonalt, og har pågått ihvertfall siden 2019. Analysene viser at det mest sannsynlig dreier seg om aktøren som omtales som APT28/Fancy Bear. Denne aktøren knyttes til Russlands militære etterretningstjeneste GRU, mer spesifikt deres 85. hovedsenter for spesielle tjenester. Påtalemyndigheten har besluttet å avslutte etterforskningen på bakgrunn av at det til nå ikke er frembrakt tilstrekkelige opplysninger til at det kan utferdiges en tiltale for brudd på straffeloven (§121).

Det finske parlamentet opplyste 29. desember at de også var utsatt for et data-angrep høsten 2020. E-post-kontoene til flere politikere ble angrepet og innhold i e-postene lest av uvedkommende. Angrepet skjedde i samme periode som angrepet mot det norske Stortinget, og det er antakeligvis en sammenheng.

8. desember meldte FireEye om et målrettet angrep mot firmaet. Angriperne fikk blant annet tak i deres interne angreps-verktøy for Red Team-oppdrag. FireEye slapp derfor signaturer for å oppdage bruk av disse verktøyene, i tilfelle angriperne ville bruke disse verktøyene mot andre mål for videre innbrudd. Washington Post meldte at det var mistanke om at det var den russiske grupperingen APT-29/Cozy Bear som stod bak angrepet, som regnes som å være underlagt den russiske utenlandske etterretningen.

13. desember kom det fram at angrepet mot FireEye også hadde rammet andre organisasjoner og firmaer. Blant ofrene er DHS (Department of Homeland Security), flere andre viktige departementer i USA, Microsoft samt “National Nuclear Security Administration”. Hos Microsoft fikk angriperne blant annet tilgang til kildekoden til Windows operativsystemet. Angrepet ble utført ved å kompromittere interne systemer hos programvareleverandøren Solarwinds. Gjennom disse systemene ble kildekoden til programvaren “Orion” endret til å inneholde en bakdør. Orion er et verktøy som brukes av svært mange større organisasjoner for å holde orden på og patche interne datasystemer. Dette dreide seg altså om et avansert forsyningskjede-angrep.

De manipulerte utgavene av Orion-programmet ble lagt ut på Solarwinds sine sider for nedlasting i mars 2020, og har deretter blitt lastet ned og installert av rundt 18000 organisasjoner. Selv om angriperne i realiteten har hatt tilgang til alle disse, er det bare et mindretall ofre som har blitt valgt ut for videre innbrudd, noe som antakeligvis skyldes at de ville holde en lav profil for å minimere muligheten for å bli avslørt. Dersom et mål ble utvalgt for videre målrettet innbrudd, ble en bakdør kalt “Sunburst” lastet ned til systemet og angriperne fikk kontroll over systemet. Hele operasjonen bærer preg av langvarig planlegging og mye innsats for å ikke bli avslørt.

Russisk statsstøttede hackere har i et separat angrep forsøkt å kompromittere Microsoft Azure-kunder og stjele e-poster fra minst én bedrift fra den private sektoren, sikkerhetsfirmaet CrowdStrike. Innbruddsforsøket skjedde gjennom en tredjepart som håndterer lisenser for Microsoft, og den har dermed tilgang til lisensnøkler og kundedata. Saken retter oppmerksomheten mot hvem som egentlig har tilgang til kunders data i skytjenester. CrowdStrike har etter hendelsen laget et gratis verktøy for å gi Microsoft-kunder bedre oversikt over hvem som har tilgang til dataene deres i skyen.

Operasjonen First Light, koordinert av INTERPOL, har ført til mer enn 20 000 arrestasjoner i 35 land spredt over alle kontinenter. I over ett år har det blitt samlet inn informasjon om aktører innen telefoni- og Internett-svindel, med avslutning i en mengde samtidige arrestasjoner. Dette er den første operasjonen hvor lokale politimyndigheter har utført en koordinert, global operasjon i samarbeid med INTERPOL. Nøkkeltall for operasjonen: 10 380 lokasjoner raidet, 21 549 arrestasjoner, 310 bankkontoer frosset, 154 millioner amerikanske dollar beslaglagt.

En Google-forsker har brukt karantenetiden til å oppdage og utforske en kritisk svakhet i kjernen til iOS. Svakheten gjorde det mulig å få full kontroll over alle iPhones som befant seg innenfor WiFi-rekkevidde. Offeret merket ingenting av innbruddet eller at data ble hentet ut fra enheten. Forskeren har skrevet en svært detaljert gjennomgang av hvordan han gikk fram. Apple lanserte en patch for svakheten med iOS 13.5, som ble utgitt i mai 2020. Svakheten var også "ormbar", noe som betyr at den kunne ha blitt brukt til å få malware til å spre seg fra én iPhone til alle andre iPhones innenfor radio-rekkevidde osv.

I desember håndterte TSOC 112 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 179 i november. Fortsatt er det en del MacOS-maskiner som blir infisert av trojaneren Shlayer. Mange maskiner blir også infisert av trojanere som driver med utvinning av krypto-valuta, ved å utnytte ledige prosesseringskapasitet på maskinen.

Det var 360 bekreftede DDoS-angrep denne måneden, ned fra 431 i november. 116 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3 Gbps og varte i 26 minutter. Det største angrepet observert i denne perioden var på 47 Gbps og varte i åtte minutter. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

fredag 4. desember 2020

Oppsummering av nyhetsbildet innen datasikkerhet for november 2020

En stor samling med hackede databaser ble lagt ut på et russisk hacker-forum i oktober. I samlingen finnes store mengder brukernavn, e-post adresser og passord i klartekst. Den stammer fra nettsiden Cit0Day, som ble tatt ned i midten av september av FBI, og inneholder opp mot 50 GB med data, eller 13 milliarder oppføringer. Passordlistene har siden spredd seg gjennom andre kanaler. Mye av innholdet er gammelt, men det finnes også data fra nylige datainnbrudd i samlingen.

Selskapet Folksam har delt personopplysninger om sine rundt 1 million kunder til teknologi-firmaer som Google, Microsoft, Adobe, Linkedin og Facebook for at disse skulle gi kundene tilpasset reklame. Det er blant annet delt opplysninger som personnummer, forsikringer og fagforeningsmedlemsskap. Opplysningene har blitt brukt til målrettet markedsføring. Forsikringsselskapet har nå avsluttet praksisen og har bedt mottakerne av dataene om å slette dem. 

Den norske rederinæringen bygger opp et internasjonalt senter for å møte den stadig økende cybertrusselen. Bak denne satsingen står Den Norske Krigsforsikring for Skib (DNK) og Norges Rederiforbund. Sammen danner de Norwegian Maritime Cyber Resilience Centre (NORMA Cyber) som blir operativt fra 1. januar 2021.

Ragnar Locker Team er en kriminell gjeng som driver med løsepengevirus. Disse har nå tatt i bruk annonser på Facebook for å skape blest om sine løsepengevirus-angrep. Annonsene de la ut var målrettet mot den italienske bedriften Campari Groups kunder. Etter at Ragnar Locker hadde hacket seg inn hos Campari, stjal de viktig data og krevde penger for å levere data tilbake og låse opp igjen bedriftens servere. Annonsene ble blir altså brukt for å skape oppmerksomhet rundt de lekkede dokumentene og tvinge Campari til å betale. Ragnar Locker betalte heller ikke for annonsene, siden de brukte en hacket Facebook-konto for å legge dem ut.

Den tredje internasjonale hacker-konkurransen kalt Tianfu Cup har blitt avholdt i Chengdu, Kina. Under konferansen ble det demonstrert nye fungerende angrep mot en rekke kjente produkter som Adobe Reader, iPhone 11, CentOS, Docker, Google Chrome, Windows 10, Firefox, Samsung Galaxy S20 og VMware ESXi. Konkurransen er et kinesisk tilsvar på Pwn2Own-konferansen, som kinesere ikke lengre får delta i.

Denne måneden ble en ny svakhet i Intel-CPUer kalt “Platypus” offentliggjort. Intel CPUer har en mulighet for å lese ut nøyaktig internt strømforbruk fra CPU og RAM, kalt RAPL (Intel Running Average Power Limit). I Linux har alle brukere av et system tilgang til disse dataene. Ved hjelp av svakheten kan brukere av systemet lese ut sensitive data fra minnet, for eksempel kryptonøkler og passord. I et simulert angrep lot det seg for eksempel gjøre å hente ut en RSA-krypteringsnøkkel fra Intel SGX (sikret del av CPU) på 100 minutter.

Sikkerhetsforskere har klart å bryte seg inn i en Tesla Model X i løpet av 90 sekunder. Innbruddet ble gjort ved å skrive en ny firmware til bilens nøkkel og krever at nøkkelen er innenfor blåtann-rekkevidde. Angriperne kan deretter hente ut adgangskoder til bilen fra nøkkelen. Svakheten skal delvis skyldes manglende sjekk av om kode har gyldig signatur. Tesla fikser feilen ved hjelp av ny programvare som sendes ut automatisk til bilene.

I november håndterte TSOC 179 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 146 i oktober. Fortsatt er det en del MacOS-maskiner som blir infisert av trojaneren Shlayer. En del Google Chrome-browsere har også vært infisert av ondsinnede utvidelser (extensions), gjerne av typen LNKR.

Det var 431 bekreftede DDoS-angrep denne måneden, ned fra 543 i oktober. 158 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 336 Gbps og varte i én time. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

fredag 6. november 2020

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2020

Mandag 12. oktober 2020 ble Telenor rammet av et betydelig tjenestenektangrep. Angrepet varte i ca. to timer. Noen av tjenestene til Telenor var ustabile eller utilgjengelige i litt under én time. Angrepet rammet ikke Telenors kjernetjenester; alle telefonsamtaler, mobildata, sms og bredbåndsforbindelser fungerte som normalt. Kort tid etter angrepet ble det oppdaget et trusselbrev som informerte Telenor om at dette kun var en forsmak på hva som kunne komme, dersom Telenor ikke betalte rundt 2,5 millioner kroner i løsepenger til angriperne. De siste månedene har flere virksomheter over hele verden blitt utsatt for ransom-DDoS-angrep (rDDoS), der det blir stilt krav om å utbetale løsepenger for å ikke å fortsette angrepene. Målet for angrepet var Telenors autorative DNS-tjenere, var på litt over 400Gbps og bestod av reflektert UDP-trafikk. Angrepstrafikken ble sendt fra feilkonfigurerte servere over hele verden. Telenor betalte selvfølgelig ikke løsepengene og har så langt ikke sett noen nye angrep.

Stortinget varslet om et datainnbrudd i deres e-postsystemer den 24.august 2020. I oktober opplyste regjeringen at det var Russland som stod bak aktiviteten. Det er så langt ikke lagt fram noen beviser, noe som heller ikke er vanlig i slike tilfeller. Dette er første gang Norge går ut med en slik attribusjon etter et dataangrep. Den russiske ambassaden svarte med at beskyldningene var uakseptable og at dette var en alvorlig og bevisst provokasjon fra Norges side.

NKom har lagt fram risikovurdering for ekom-sektoren for 2020. NKom vurderer tilliten til ekomtjenester i Norge som høy. Da Norge stengte ned i mars på grunn av Covid-19, ble det tatt i bruk digitale løsninger. Norge regnes som en av de beste i europa på digitalisering. Elektronisk kommunikasjon er et viktig virkemiddel for etterretnings- og trusselaktivitet i og mot Norge. I årene fremover er det viktig å sikre at Norge har en underliggende kapasitet, funksjonalitet og samtrafikk på internett som sikrer oss også i ekstraordinære situasjoner.

Både US Cyber Command og Microsoft har jobbet med å forstyrre Trickbot-botnettet i oktober. Trickbot er et kjent botnett som brukes både til å stjele sensitiv informasjon, stjele penger, installere løsepengevirus osv. Tilgang til de infiserte maskinene i botnettet blir ofte solgt videre. US Cyber Command sendte falske konfigurasjonsfiler til infiserte maskiner, noe som førte til at de ikke klarte å kontakte sine kontroll-servere. Microsoft fikk en amerikansk domstol til å gi dem kontroll over flere servere som var i bruk av nettverket. Microsoft har også tatt direkte kontakt med ISPer over hele verden for å få dem til å ta ned kontroll-servere. Antall kontrollerte maskiner i botnettet gikk kraftig ned etter aksjonene, men har dessverre økt igjen siden.

Datasystemet til selskapet Vastaamo, et psykoterapisenter med 20 lokasjoner i Finland, ble utsatt for datainnbrudd i 2018 og 2019. Ledelsen i selskapet ble forsøkt presset til å betale 40 Bitcoin for at utpresseren ikke skulle publisere pasientjournalene. Etter at kravet ble avvist, begynte utpresseren å publisere journaler på det mørke nettet samt gjøre utpressing mot enkeltpasienter, blant dem er parlamentarikeren Eeva-Johanna Eloranta.

Det svenske firmaet Gunnebo ble utsatt for datainnbrudd i august. Totalt ble 19 gigabyte med informasjon stjålet. Blant innholdet var plantegninger av bygg, dokumentasjon av alarmsystemer og plasseringer av kamera og annet overvåkingsutstyr. Flere banker og Riksdagen er blant kundene som har fått sine data lekket.

Det amerikanske justisdepartementet kunngjorde i oktober en tiltale mot seks russiske GRU-offiserer som er siktet for å ha deltatt i en rekke operasjoner for å angripe andre lands infrastruktur, valg og andre handlinger designet for å fremme Russlands interesser. I tiltalen er blant annet følgende innbrudd nevnt: Regjering/infrastruktur i Ukraina, valg i frankrike, Notpetya og etterforskningen etter Novichok-angrepene i 2018.

I september ble en bedrift rammet av Ryuk ransomware og fikk nettverket kryptert på kun 29 timer. Angrepet begynte via en e-post som inneholdt en malware-loader kjent som Bazar. Etter å ha brukt en mengde metoder for å undersøke det interne nettverket, satte Ryuk-gruppen i gang med å ta over en domenekontroller og spre seg i nettverket. 29 timer etter initiell infeksjon, ble kryptering av infiserte klienter og servere startet. Gruppen forlangte deretter 600 Bitcoin i betaling. FBI anslår at Ryuk-gruppen har mottatt over 61 millioner dollar i løsepengeutbetalinger fram til og med februar i år.

Det amerikanske finansdepartementet har lagt ut et dokument som advarer mot at betaling av løsepenger etter angrep av løsepengevirus, kan føre til at en bryter amerikanske sanksjoner mot land eller firmaer. Ofte vet ikke firmaene som betaler hvor pengene ender opp. Dersom en kommer i skade for å bryte sanksjonene, kan dette føre til reaksjoner fra USA. Dette er altså enda et argument for ikke å betale løsepenger til kriminelle etter dataangrep.

I oktober håndterte TSOC 146 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 164 i august. Fortsatt er det mange klienter som er infisert av skadevaren Shlayer. En del maskiner blir også kompromittert og brukt til å utvinne kryptovaluta.

Det var 543 bekreftede DDoS-angrep denne måneden, opp fra 443 i september. 144  av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.27 Gbps og varte gjennomsnittlig i 21 minutter. Det største angrepet observert i denne perioden var på 411 Gbps og varte i omtrent to timer. Dette var angrepet mot Telenors DNS-tjenere som har blitt omtalt i media. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

torsdag 8. oktober 2020

Oppsummering av nyhetsbildet innen datasikkerhet for september 2020

Mange kommunalt ansatte i 10 kommuner i Innlandet fikk tilsendt phishing-epost i september. Epostene har tilsynelatende kommet fra kolleger og har inneholdt skadelige vedlegg. Det viste seg snart at det var skadevaren Emotet som stod bak utsendelsen. Denne er svært effektiv, siden den henter ut reelle eposter fra innboksen til ofrene og sender disse inn til bakmennene. Deretter blir det automatisk generert nye eposter som sendes ut for å kompromittere nye ofre. Som oftest blir skadevaren sendt som en makro i et Office-dokument som mottakeren blir lurt til å kjøre.

Et mindre antall stortingsrepresentanter fikk epost-kontoene sine hos Stortinget kompromittert. NSM bistår Stortinget i kartlegging og innføring av mitigerende tiltak. PST sa til NRK at en av hypotesene deres er at en statlig aktør står bak IT-angrepet mot Stortinget. De sier at det er mulig det ikke bare er et digitalt angrep, men at det kan være en del av en etteretningsoperasjon mot Norge. Etter angrepet har NSM (NCSC) kommet med råd om å beskytte Exchange og Office 365 ved å slå av gamle måter å logge seg inn på som ikke støtter multifaktorautentisering (MFA), som ActiveSync. Angrepet sees ikke i sammenheng med angrepet mot kommuner i Innlandet omtalt i forrige avsnitt.

Siden midten av August har det pågått en global kampanje der en eller flere grupperinger truer finansinstitusjoner og ISPer med DDoS-angrep, dersom de ikke får betalt løsepenger. I trussel-epostene gir angriperne seg gjerne ut for å være den kjente APT-gruppen Fancy Bear, mest sannsynlig for å skremme ofrene. For å stoppe angrepene forlanges det løsepenger i form av 10-20 Bitcoins, altså rundt 1-2 millioner kroner. Tidligere har denne typen trusler ofte vært tomme, det har altså ikke kommet noen angrep i etterkant, men i denne omgangen har truslene typisk vært fulgt opp med store angrep. Også bedrifter i Norge har mottatt trusler. Vi anbefaler å ikke betale løsepenger for å prøve å unngå angrep. Sørg for å ha gode rutiner på plass i tilfelle trusler eller angrep.

Shlayer er en type skadevare (adware) som har relativt stor spredning på Mac-maskiner. Malwaren sprer seg ved å gi seg ut for å være en oppdatering til Flash-player. Normalt skal Apples Gatekeeper for OS X stoppe denne typen malware fra å bli installert, men nyere varianter av Shlayer slipper forbi. Nyheten sammenfaller godt med at vi på TSOC har har sett et oppsving i maskiner som har vært infisert av Shlayer i september.

Microsoft bekreftet at aktører fra Kina, Iran og Russland har forsøkt å hacke seg inn på e-postkontoer som tilhører personer som er knyttet til valgkampen i USA. De russiske aktørene retter seg mot Biden-kampanjen og er linket til gruppen Fancy Bear/APT28. Mesteparten av angrepene ble oppdaget og blokkert, ifølge Tom Burt, konserndirektør for kundesikkerhet og tillit hos Microsoft.

USA offentliggjorde at den kinesiske statsstøttede hackergruppen APT41 orkestrerte inntrengninger hos mer enn 100 selskaper over hele verden, alt fra programvareleverandører, videospillfirmaer, telekom-selskaper og mer. Selskapene befinner seg i land som USA, Australia, Brasil, Chile, Hong Kong, India, Indonesia, Japan, Malaysia, Pakistan, Singapore, Sør-Korea, Taiwan, Thailand og Vietnam. Alle de fem APT41-medlemmene er på frifot, og navnene deres er lagt til FBIs Cyber Most Wanted List.

Det første dødsfallet i forbindelse med angrep med løsepengevirus har blitt rapportert. En pasient ble omdirigert til et nærliggende sykehus etter at Düsseldorf universitetssykehus ble rammet av løsepengevirus på mer enn 30 servere. Pasienten, som trengte akutt behandling, døde etter omveien på mer en 30 km.

Apple og Google lanserte en oppdatert versjon av innebygget programvare i iOS og Android for smittesporing. Systemet blir helt innebygd i iOS, mens det i Android trengs en automatisk generert app i tillegg. iOS fikk støtte for systemet i versjon 13.7. Android fikk støtte i slutten av måneden. Systemet skal ikke identifisere enkelt-brukere overfor myndigheter, dersom ikke brukeren selv godkjenner dette. Norske myndigheter har nå besluttet å bruke systemet i den kommende nye versjonen av Smittestopp-appen som skal utvikles fra bunnen av.

I september håndterte TSOC 164 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 175 i august. Fortsatt er det mange klienter som er infisert av skadevarene LNKR og Shlayer.

Det var 443 bekreftede DDoS-angrep denne måneden, opp fra 295 i august. 96 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.80 Gbps og varte gjennomsnittlig i 21 minutter. Det største angrepet observert i denne perioden var på 71.9 Gbps og varte i 10 minutter. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


mandag 7. september 2020

Oppsummering av nyhetsbildet innen datasikkerhet for august 2020

Denne måneden bestemte EU seg for å innføre sanksjoner mot individer som var ansvarlige for eller involvert i forskjellige cyber-angrep. Dette gjelder angrepene mot OPCW (Organisation for the Prohibition of Chemical Weapons), samt NotPetya og Wannacry-angrepene. Personene og organisasjonene som rammes kommer fra Russland, Kina og Nord-Korea. Sanksjonene medfører reiseforbud og frysing av eiendeler.

I starten av august la Cyberkriminelle ut en liste med data fra hackede Pulse Secure VPN-servere. Listen inneholdt 900 passord, brukernavn, IP-adresser, SSH nøkler, admin-brukere og sesjonsnøkler i klartekst. Alle serverne i listen kjørte gammel programvare som ikke var beskyttet mot en svakhet som ble offentliggjort i 2019. Pulse Secure VPN servere brukes ofte for fjern-tilkobling av ansatte, dermed vil en angriper få full tilgang til organisasjonens nettverk dersom en VPN-server blir kompromittert.

Femte august sendte Norges Handelshøyskole (NHH) ut en melding om at de var rammet av et datainnbrudd, og ba alle ansatte om å bytte passord. Innbruddet skjedde gjennom en sårbar Pulse VPN-server som omtalt over. Skolen ble klar over innbruddet ved at det ble sendt ut en melding med informasjon om saken fra en ansatt sin epost-konto. Den ansatte hadde imidlertid blitt hacket og hadde ikke selv sendt noen epost. Brukernavn og passord til over 300 studenter og ansatte er på avveie.

22. august ble det avdekket av Sykehuspartner HF at en hittil ukjent trusselaktør hadde gjennomført et angrep mot enkelte tjenester som er eksponert mot internett. Tjenestene driftes av Sykehuset Innlandet HF. Det antas at trusselaktøren benyttet seg av SQL-injection for å få tilgang, og kan ha hentet ut personsensitiv informasjon fra disse tjenestene. Sykehuset Innlandet har satt i gang flere tiltak for å begrense skadeomfanget og har isolert og tatt ned de berørte tjenestene.

HTTPS-trafikk som bruker TLS versjon 1.3 og ESNI (Encrypted Server Name Indication) har siden slutten av juli blitt blokkert i Kinas brannmur mot resten av Internet. Den siste versjonen av TLS åpner for at domenet som nettleseren besøker blir kryptert. I noen tilfeller kan også det ukrypterte domenenavnet være noe helt annet enn det kryperte navnet. Dette kan oppnås ved å bruke en ny teknikk kalt Domain Hiding.

Etter Twitter-innbruddet i juli har flere selskaper blitt rammet av samme angrepsteknikk som ble benyttet mot selskapet, nemlig vanlige telefonsamtaler der intern informasjon blir lurt ut av ansatte. Selskapet ZeroFox melder at det tilsynelatende stort sett er yngre personer, uten tilknytning til organiserte kriminelle grupper, som står bak angrepene. Disse selger tilgangen de oppnår til større firmaer videre til høystbydende. Angriperne ringer i noen tilfeller til hundrevis av ansatte for å prøve å lure ut intern informasjon og få tilgang.

I august håndterte TSOC 175 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 33 i juli. Oppsvinget skyldtes blant annet mange Mac-maskiner som har vært infisert av skadevaren “Shlayer”, som normalt ikke er veldig alvorlig, men viser og bytter ut annonser på nettsider. Det har også vært en del Android-mobiler som har hatt malware/adware installert. En del PCer har vært infisert og har blitt brukt til å utvinne kryptovaluta. Mange nettlesere har også vært infisert med nettleserutvidelsen LNKR.

Det var 295 bekreftede DDoS-angrep denne måneden, opp fra 282 i juli. 65 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.59 Gbps og varte typisk i 17 minutter. Det største angrepet observert i denne perioden var på 65.9 Gbps og varte i 15 minutter. Fire av TSOCs bedriftskunder med DDoS-beskyttelse ble utsatt for angrep denne måneden.


 
>