Oppsummering av nyhetsbildet innen datasikkerhet for februar 2023

2. februar meldte Vadsø Kommune om uønsket aktivitet i deres nettverk. Nettverket ble stengt ned og kommunale brukere var uten nettforbindelse i rundt ett døgn etter hendelsen. I dagene etterpå var det også problemer med noen tjenester. Den 10. februar meldte kommunen at angrepet hadde skjedd via lekkede påloggingsdetaljer tilhørende en ekstern tjenesteleverandør og at alle kommunale tjenester igjen fungerte som normalt. 3. februar kl 13:00 stengte også Målselv Kommune ned sin Internett-forbindelse etter mistanke om datainnbrudd. Situasjonen ble avklart og nettforbindelsen åpnet igjen kl 18:45 samme dag. Begge sakene er politianmeldt og etterforskes av et team hos Kripos.

DNB melder at digitale bedragerier har økt med 832 prosent fra 2018 til 2022. Bedrageriene er også mer avanserte enn tidligere, samtidig som at de rammer både bedrifter og privatpersoner. DNB klarte i fjor å avverge bedrageriforsøk for 1067 millioner kroner, men de kriminelle lyktes med å gjennomføre bedragerier for 177 millioner kroner fra deres kunder. Over halvparten av bedrageriforsøkene skyldes phishing. Det siste året har det vært en økning i phishing-forsøk på 69 prosent og hele 920 prosent i forhold til for tre år siden. Ofte skyldes vellykket phishing at folk har mer tillit til bedrageren enn de har til bankens varslinger. Dette forklares med at bedragerne har blitt mer sofistikerte i sine angrep.

Flyselskapet SAS ble 14. februar utsatt for et tjenestenektangrep (DDoS) som rammet både nettsiden og appen til selskapet. I forkant av angrepene hadde en hacktivist-gruppe truet med å utføre DDoS-angrep mot flere svenske flyselskaper. I en tidsperiode ble kunder i mange tilfeller sendt til en annen tilfeldig profil, dersom de prøvde å logge seg inn på appen. Med dette kunne man både se personopplysninger samt bonuspoeng og kommende flyvninger. Klokken 20:45 ble innloggingsproblemene løst. Det er ikke meldt om at SAS ble utsatt for innbrudd i sine datasystemer.

Økokrim har tatt beslag i verdier for rundt 60 millioner kroner etter rekordtyveriet mot spillet Axie Infinity og 750 norske spillere i fjor. De jakter nå videre på flere milliarder kroner som fortsatt er utestående sammen med FBI. Tidligere har FBI fått tak i rundt 300 millioner i tilsvarende beslag. Ifølge det amerikanske føderale politiet FBI stod den nordkoreanske hackergruppen «Lazarus» bak tyveriet i fjor.

Rundt nyttår ble en kvinnelig sjåfør stoppet i en rutinekontroll i Paris. I bilen ble det funnet en mistenkelig gjenstand som politiet først trodde var en bombe. Det viste seg etter hvert at gjenstanden var en IMSI-catcher. Dette er avansert utstyr som brukes av politi og hemmelige tjenester for å overvåke mobilkommunikasjon og finne ut hvor mobiltelefoner befinner seg fysisk. Det viser seg nå at utstyret ble brukt til å sende ut over 400.000 SMS-meldinger til mobiler i nærheten som lurte mottakerne til å besøke en phishing-side.

Europakommisjonen har nå innført nye sikkerhetsregler som bannlyser de ansatte fra å bruke appen TikTok på sine mobile enheter betalt av arbeidsgiver. Dette blir gjort for å styrke cybersikkerhet internt i kommisjonen, gjennom å stoppe kartlegging av ansatte og innsamling av data fra mobiltelefonene. De ansatte ble bedt om å avinstallere appen på offisielle enheter umiddelbart, samt personlige enheter dersom disse blir brukt i jobbsammenheng. Appen kan fortsatt brukes på helt private mobilenheter. Det hvite hus meldte noen dager senere at den kinesisk-eide appen skal være fjernet fra telefoner og systemer som tilhører regjeringskontorene i USA innen 30 dager.

En av de største sykehus-kjedene i USA opplyser at hackere har fått tak i sensitiv helseinformasjon om rundt 1 million pasienter. Opplysingene ble stjålet etter å ha utnyttet en svakhet i filoverføringsverktøyet GoAnywhere fra Fortra. Journalisten Brian Krebs advarte to uker før angrepet om at en ny svakhet var under aktiv utnyttelse i verktøyet GoAnywhere. Svakheten ble senere kjent som CVE-2023-0669 og ble patchet av selskapet 7. februar. Flere andre firmaer skal også ha blitt kompromittert ved hjelp av svakheten. Flere har blitt utsatt for ransomware. Utnyttelse av svakheten krever tilgang til innloggings-siden til verktøyet.

Før Russland invaderte Ukraina gjennomførte den russiske regjeringen flere aksjoner mot russiske kriminelle grupper for å blidgjøre vestlige land. Etter invasjonen har den russiske regjeringens styrket båndene til cyberkriminelle, skriver The Record. Forskjellige kriminelle grupperinger utfører oppdrag som understøtter krigen, ofte ved å lekke stjålne data fra Ukraina. Dette har også ført til en økning i cyberkriminalitet, da kriminelle har fått økt støtte og beskyttelse fra regjeringen, så lenge de ikke angriper mål innenlands. Myndighetene kan også gjennomføre aksjoner gjennom de kriminelle gruppene eller gi seg ut for å være dem.

Bitwarden og 1Password er to apper for lagring av passord, såkalte passord-hvelv. Firmaene bak applikasjonene melder at cyberkriminelle lager falske nettsider som etterligner deres nettsider. De betaler også Google for annonser på deres søkesider. Når man f.eks. søker etter «bitwarden password manager» kommer det opp en falsk side som første resultat hos Google, men brukeren blir sendt til en phishing-side som ser identiske ut til originalen og også har et lignende domene-navn. Trusselaktørene prøver gjennom denne teknikken å få tilgang til alle kontoene som er lagret i ofrenes passord-hvelv, ved å lure fra dem deres hoved-passord til hvelvet. Google opplyser at å stoppe denne typen angrep har høyeste prioritet, men annonser fra Google har i det siste vært kilde til flere typer svindel og spredning av malware.

I februar håndterte TSOC 111 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 148 i januar. Denne måneden oppdaget vi flere maskiner som var kompromittert og infisert med bakdørene AsyncRAT og DCRAT. Denne typen verktøy kan brukes til å fjernstyre de infiserte maskinene, kopiere ut informasjon fra dem og bruke dem som utgangspunkt for videre innbrudd i nettverket.

Det var 252 bekreftede DDoS-angrep denne måneden, ned fra 358 i januar. 138 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.57 Gbps og varte i 3 timer. Lengden på et gjennomsnittlig angrep gikk mye opp denne måneden i forbindelse med langvarige angrep som hacktivist-grupper som Noname057 har påtatt seg ansvaret for. Det største angrepet observert i denne perioden var på 65 Gbps og varte i 44 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2023

Sikkerhetsforskere har avdekket at en ny versjon av malware-rammeverket Raspberry Robin har blitt brukt i angrep mot europeiske firmaer i finans- og forsikringssektoren. Raspberry Robin sprer seg blant annet via USB-enheter og har vært observert også i Norge de siste månedene. Det er vanskelig å detektere infeksjoner med rammeverket og malwaren i seg selv er også vanskelig å dekompilere.

Torsdag 6. januar og fredag 7. januar ble TV2.no og TV 2 Play utsatt for dataangrep. Angriperne benyttet lekkede passord fra andre tjenester for å logge seg inn. Det er foreløpig meldt at 18.000 kunder må bytte sitt passord. For å stoppe videre angrep har TV 2 valgt å sperre og tilbakestille passord på berørte kontoer. Datatilsynet er rutinemessig varslet, og TV 2 er også i dialog med Nasjonal Sikkerhetsmyndighet.

DNV bekrefter i en melding på deres nettsted at de har vært utsatt for et angrep med ransomware. Angrepet skjedde lørdag 7. januar og rammet serverne til systemet "ShipManager". Dette er et system som brukes for flåtestyring. DNV råder kundene til foreløpig å bruke systemet i frakoblet modus, inntil de får opp ryddet opp. Ingen andre systemer skal være rammet og DNV jobber sammen med politiet og eksperter for å få opp igjen systemer. 23. januar opplyste DNV at de fortsatt jobbet med å få opp igjen systemet. 70 kunder med til sammen rundt 1000 skip er rammet.

11. januar advarte Royal Mail i Storbritannia om at de hadde problemer med import og eksport av post grunnet datatrøbbel. Post inn i landet ble forsinket og post ut av landet stoppet helt opp. Kundene fikk til og med beskjed om ikke å levere inn flere pakker eller brev som skulle til utlandet. Innenlands post fungerte som normalt. Først 18. januar ble begrenset eksport av post startet opp igjen. I etterkant av hendelsen har Royal Mail bekreftet at problemene skyldtes ransomware og de beskyldte russiske kriminelle for å stå bak.

Sentinel Labs har skrevet en bloggpost om gruppen NoName057(16). Den pro-russiske hacktivist-gruppen har stått bak mengder av DDoS-angrep, sist i januar mot flere banker i Danmark. Gruppen stod også bak angrep mot NAV, Arbeidstilsynet, BankID og flere andre nettsteder i Norge sist sommer. Angrepene blir koordinert via en kanal i chatte-tjenesten Telegram. Primært bruker de verktøyet DDOSIA, som startes opp manuelt av hver enkelt tilhenger av grupperingen. Angrepene foregår typisk via ressurskrevende HTTPS-forespørsler direkte mot tjenestene som angripes. Bidragsytere som genererer mest effektiv angrepstrafikk kan også få belønning av gruppen.

De siste ukene har det vært flere tilfeller der sponsede søkeresultater fra Google sender brukerne til malware. Når en gjør Google-søk kommer det ofte opp sponsede resultater i toppen av resultat-listen. Hackere har nå satt opp falske nedlastings-sider for fritt tilgjengelige applikasjoner som VLC og 7-Zip. De kjøper også annonseplasseringer som sender brukerne til disse sidene for å laste ned malware, kamuflert som legitim programvare. Malwaren har i noen tilfeller blitt brukt til å stjele store verdier i form av krypto-valuta. Husk å alltid verifisere at du henter ned programvare fra den egentlige utgiveren. Det kan også være en god idé å laste opp filer til tjenesten Virus Total for testing, før en kjører nedlastede programmer.

En gruppe sikkerhetsforskere har undersøkt appene og APIene (Application Programming Interface) til diverse billeverandører for svakheter. De benyttet seg blant annet av en teknikk kalt “fuzzing”, som går ut på å bombardere de bakenforliggende systemene med alle mulige varianter av forespørsler for å avdekke svakheter. Resultatet ble at de klarte å låse opp biler, starte biler, logge inn på interne tjenester hos leverandørene, logge inn som ansatte uten passord, ta full kontroll over brukerkontoer osv. Blant firmaene som hadde kritiske svakheter var Ferrari, BMW, Rolls Royce, Nissan og Porsche. Sårbarhetene ble meldt til leverandørene så fort de ble oppdaget.

Den russiske trusselaktøren "Turla", som forbindes med etterretningstjenesten FSB, har fått tilgang til andre trusselaktørers servere ved å registrere gamle domener assosiert med eldre USB-basert skadevare. Turla bruker dermed allerede infiserte systemer fra andre trusselaktører for å unngå å avsløre seg selv. Turla sin "piggyback"-teknikk har vært observert siden september i fjor i forbindelse med "Andromeda"-skadevaren, som først ble oppdaget i 2013. Da det amerikanske selskapet Mandiant undersøkte kommando og kontroll serveren til Andromeda, oppdaget de at et domene assosiert med Andromeda hadde blitt registrert på nytt i 2022 av Turla-grupperingen.

Europol har i samarbeid med europeiske og amerikanske myndigheter klart å ta ned infrastrukturen til HIVE, et ransomware-as-a-service produkt fra HIVE ransomware group. Fra juni 2021 til januar 2023 har over 1500 firmaer fra over 80 land blitt utsatt for HIVE ransomware. Det er estimert et tap på rundt 100 millioner euro i løsepenger. Etter at Europol beslagla infrastrukturen har flere dekrypteringsnøkler blitt funnet, noe som sparte bedrifter for opp mot 120 millioner euro i løsepenger. FBI har i forbindelse med aksjonen utlovet en dusør på $10 millioner for tips som kan knytte Hive eller andre grupperinger til nasjonalstater.

Trusselaktører har nå blitt observert i å benytte seg av OneNote-vedlegg til bruk i epost-phishing kampanjer, en teknikk tidligere brukt ved hjelp av Word- eller Excel-dokumenter. I juli i fjor endret Microsoft standardinnstillingene for makroer til å være avslått i Microsoft Office-dokumenter som var lastet ned fra nettet, som et tiltak mot potensiell skadevare. Ved å legge til Office-dokumentene som vedlegg til OneNote-filer, kan denne sperren omgås. Office-vedleggene blir startet ved hjelp av Visual Basic Script-filer som også er vedlagt dokumentet. Disse filene blir gjemt under grafikk-elementer for at brukeren ikke skal fatte mistanke. Brukeren må også godta en eller flere sikkerhetsadvarsler, men erfaring tilsier at mange brukere ignorerer disse.

I løpet av 2022 har ransomware-grupper utpresset ofre for rundt $458.8 millioner, noe som er en nedgang på 40% i forhold til de siste to årene ($765 millioner). I følge data fra Chainalysis kan den drastiske nedgangen i profitt ikke korreleres med færre angrep totalt sett, men heller at ofrene nekter å betale løsepengene. Historisk sett har majoriteten av ofrene endt opp med å betale. I 2022 har dette snudd, siden 59 prosent av ofrene ikke endte opp med å betale løsepengene.

I januar håndterte TSOC 163 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 107 i desember. Denne måneden ble flere av våre kunder utsatt for overbevisende phishing-angrep som prøvde å lure fra brukerne innloggingsdetaljer til Microsoft sine tjenester. Angrepene ble heldigvis fort oppdaget og en del brukeres passord ble byttet for sikkerhets skyld. Ellers har vi oppdaget at en del maskiner har vært infisert av bakdørene AsyncRAT og DCrat (RAT - Remote Access Trojan. Det kan lønne seg med en liste over godkjente applikasjoner (hvitelisting) på PCer for å unngå denne typen malware.

Det var 358 bekreftede DDoS-angrep denne måneden, opp fra 212 i januar. 182 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.48 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 16 Gbps og varte i 16 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2022

Før jule- og nyttårshelgen var det mange som var bekymret for en reprise av stresset fra de to foregående årene. Desember 2020 ble verden rammet av et svært avansert forsyningskjede-angrep via programvareselskapet Solarwinds. For ett år siden ødela svakheten Log4J julefeiringen for millioner av sikkerhetsfolk. Desember 2022 viste seg heldigvis å bli rolig på datasikkerhetsfronten, både her hjemme og internasjonalt, til tross for at den globale sikkerhetssituasjonen er mer spent enn på lenge.

Dessverre ble to norske bedrifter rammet av ransomware i løpet av måneden. 15. desember ble Stangeland Maskin rammet av ransomware. Hackere krevde millioner av kroner i løsepenger, ifølge Aftenbladet. Leverandører av selskapet ble varslet og hendelsen gikk heldigvis ikke ut over anleggsarbeidet. 19. desember meldte Rec Silicon at de hadde blitt rammet av løsepengevirus, som satte selskapets virtuelle servermiljø ut av drift en kort periode. Alle systemene kom opp igjen, men angriperne klarte dessverre å kopiere ut data fra bedriften før de ble stoppet. Disse stjålne dataene skal delvis ha blitt lagt ut offentlig. 

Passordlagringstjenesten LastPass har i det siste vært rammet av to datainnbrudd. 22. desember opplyste de at inntrengerne hadde kopiert ut data om kundene. Av ukrypterte data er både epost-adresser og hvilke tjenester kundene har lagret passord til. Dette kan brukes til å lage personlig utformede phishing-angrep for å lure fra brukerne passordene sine. Brukernes passord er heldigvis kryptert med den enkelte brukers "hovedpassord". Dersom dette passord er unikt og langt (minst 12 tegn), skal risikoen for at dataene kan dekrypteres være liten. Vi vil uansett anbefale å bytte passord på ekstra viktige tjenester som epost-konto, Apple ID, Google, BankID osv. Bytt også hoved-passord dersom dette ikke er unikt, eller ikke har tilstrekkelig antall tegn.

Flere norske SektorCERT-organisasjoner kom med advarsler mot spredning av ormen Raspberry Robin via USB-enheter i Norge. Ormen har også flere andre måter å spre seg på. Dersom en infisert USB-enhet blir satt inn i en PC, må brukeren manuelt åpne en fil for at infeksjonen skal skje. Brukerne blir imdlertid lurt til å trykke ved hjelp av falske ikoner, fristende filnavn osv. Etter at den får etablert seg på innsiden av et nettverk, blir denne tilgangen typisk videresolgt til andre kriminelle aktører for bruk i industri-spionasje, ransomware osv. Bedrifter bør vurdere å begrense kjøring av filer fra tilfeldige USB-enheter og eventuelt innføre hvitelisting av eksekerbare filer for å beskytte seg mot denne angrepsvektoren.

Det amerikanske justisdepartementet melder at de har arrestert seks personer for å ha drevet flere nettsteder som har tilbydd DDoS-angrep mot betaling. FBI har også beslaglagt 48 Internet-domener der tjenestene har blitt solgt. Denne typen tjenester ("booter"-tjenester) brukes ofte av utpressere. De velger seg ut ofre, utfører DDoS-angrep mot dem og forlanger løsepenger for å avslutte angrepene.

Apple har meldt at de nå vil tilby kryptering av bilder, chat-logger og andre sensitive bruker-data i iCloud. Den nye sikkerhetsfunksjonen ble tilgjengelig for kunder i USA før nyttår, mens resterende land vil få tilgang til tjenesten i løpet av 2023. Det er forventet at det vil komme protester fra myndigheter i forskjellige land sammen med potensielle lovforslag for å stoppe sikkerhetstiltaket. Fram til nå har mange lands myndigheter kunnet få tilgang til en ukryptert backup av Apple-enheter ved hjelp av krav om utlevering av data, noe som nå vil bli umulig

Sikkerhetsfirmaet Hold Security melder at ransomware-grupper i mange tilfeller har problemer med å få betalt. De benytter seg derfor av stadig nye utpressingsmetoder. Ransomware-gruppen Venus har for eksempel truet med å endre e-poster tilhørende høyt profilerte ledere, for å få det til å se ut som om de planlegger innsidehandel. Gruppen truer videre med å publisere disse e-postene dersom det ikke betales en sum løsepenger. En annen gruppe kalt CLOP har begynt å sende infiserte filer utformet til som ultralyd-bilder eller andre medisinske dokumenter. Deretter skaffer de helseforsikring og betalingsbevis for å booke en konsultasjonstime, i håp om at helsepersonell vil gå igjennom de infiserte filene før timen og dermed infisere systemene sine.

Tilgang til bedrifters stjålne e-post-kontoer blir solgt på markedsplasser for cyberkriminelle for så lite som $2. Det israelske cyber-etterretningsselskapet KELA rapporterer at minst 225.000 e-post-kontoer er til salgs på slike markedsplasser. Kontoene blir som regel stjålet ved hjelp av cracking (av stjålne passord-filer), gjetting av passord mot eksponerte tjenester (credential stuffing) eller phishing. De som kjøper kontoene bruker de gjerne til å utføre målrettede phishing-angrep eller som en inngangsport til dypere nettverks-infiltrering med industrispionasje eller ransomware som endelig mål.

I desember håndterte TSOC 107 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 124 i november. Denne måneden oppdaget vi blant annet at en USB-minnepinne ble satt inn i en PC til en av våre kunder. Infisering via USB-enheter har hatt en oppblomstring de siste måneden, spesielt fra skadevaren Raspberry Robin. En maskin infisert av malware fra grupperingen TA569/SocGholish ble oppdaget hos en annen kunde. Denne grupperingen har i de siste månedene infisert maskiner ved hjelp av annonser som videresender til nedlasting av malware.

Det var 212 bekreftede DDoS-angrep denne måneden, opp fra 176 i november. 82 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.72 Gbps og varte i 2 timer. Det største angrepet observert i denne perioden var på 20.3 Gbps og varte i 33 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for november 2022

Microsoft har sluppet ny "Digital Defense Report" for 2022 med fokus på krigen i Ukraina, hvor det kommer frem at det generelt har vært en økning av aggressive angrep på nett fra land med autoritære ledere. Det siste året har angrep mot kritisk infrastruktur fra nasjonalstater økt fra 20% av alle angrep til 40%, noe som i stor grad skyldes Russlands stadige angrep mot Ukraina. Iran har også utført flere dristige angrep mot EU-stater og Israel etter overgangen til ny president. Nord-Korea, som inntok sin mest aggressive periode med missiltesting i første halvår av 2022, har stått bak tyveri fra luftfarts og forsknings-miljøer over hele verden. Kina økte sin spionasje og datatyverier som et forsøk på å øke sin regionale innflytelse i Sørøst-Asia og motvirke økende interesse fra USA. Mange av angrepene fra Kina er utført med helt ferske og ukjente svakheter, såkalte 0-day angrep. Borgere i Kina som oppdager nye svakheter i programvare er nå pålagt å melde fra om disse til myndighetene først.

Et angrep på en underleverandør av IT-systemer til DSB (Danske Statsbaner) førte til at nesten alle tog i Danmark måtte stanse i flere timer og flere tog var forsinket helt til neste dag. Leverandøren Supeo hadde blitt rammet av et løsepengevirus og slo av serverne sine. Dette førte til at en kritisk app for togførere ikke lengre fungerte og togene måtte stoppes av sikkerhetshensyn. Appen gir vanligvis informasjon om fartsgrenser, arbeid på linjene osv.

Australia har i de siste ukene vært utsatt for flere alvorlige cyber-angrep som også har involvert løsepenger. Medibank og Optus er blant firmaene som har blitt rammet, noe som har resultert i at store mengder personlig informasjon for kunder og ansatte er på avveie. Australske myndigheter vurderer nå å forby betaling av løsepenger, for å forsøke å få hackere til å holde seg unna landet. Det har også blitt opprettet en cyber-politi-enhet som skal kjempe tilbake mot angriperne. Enheten har medlemmer både fra det føderale politiet (AFP) og utenlandsetteretningen (ASD). Gruppen skal ha tillatelse til å utføre cyber-angrep mot kriminelle.

Nettstedet "ispoof", som har blitt brukt for å selge tjenester relatert til spoofing/forfalskning av bedrifters telefonnummer, har blitt tatt ned av politimyndigheter fra Europa, Australia og USA. Nettstedet skal ha tjent over 3,7 millioner euro i løpet av 16 måneder, samt forårsaket et estimert tap på 115 millioner euro globalt i forbindelse med svindel. 142 personer har blitt arrestert, inkludert administratoren av nettstedet.

Interpol kunngjorde også denne måneden at de hadde beslaglagt $130 millioner i virtuell valuta etter en global aksjon mot finansiell kriminalitet og hvitvasking av midler. Aksjonen har fått navnet HAECHI-III, har pågått siden juni i år og har ført til arrestasjon av 975 personer. Sakene omfatter blant annet pyramidespill og call-center aktivitet relatert til svindel.

Cloud9 er et nytt botnet som kommer i form av en nettleser-utvidelse. Skadevaren oppfører seg som en fjern-tilgang trojaner og har flere funksjoner, blant annet lagring av tastetrykk, cookie-stjeling og mulighet for å få en infisert PC til å delta i DDoS-angrep. Frem til nå har skadevaren kun blitt spredd via falske eksekverbare filer og skadelige nettsider kamuflert som Flash Player-oppdateringer. Det er ikke funnet spor av at den spres via nettleseres innebygde nedlastings-tjenester for utvidelser.

Flere nyere phishing-kampanjer har lagret skadevare, opprettet phising-infrastruktur og gjennomført andre angrep som har benyttet seg av lagring av data hos InterPlanetary Filesystem (IPFS) . IPFS er ett peer-to-peer nettverk som replikerer data på tvers av flere noder. Nettverket er laget for høy tilgjengelighet og å være motstandsdyktig mot sensur. Dette gjør at nettverket dessverre er velegnet for kriminell virksomhet, sammen med andre legitime bruksområder.

Et lenge nedlagt undergrunnsmarked for narkotika på det mørke nettet kalt the Silk Road, har vist seg å være en gullgruve for amerikanske myndigheter. I går annonserte US Department of Justice at de har siktet en mann fra Georgia for å ha stjålet over 50.000 bitcoin fra Silk Road i 2012, verdt over 3 milliarder dollar. James Zhong har allerede innrømmet saken. Nøklene til verdiene var lagret i en liten datamaskin, gjemt i en Popcorn-boks som igjen var gjemt under gulvplankene på badet.

I november håndterte TSOC 124 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 113 i oktober. Denne måneden er det nok en gang en del maskiner som har blitt infisert av malwaren Banload, som typisk laster ned enda mer malware til en rammet maskin. Vi ser også informasjons-stjeleren Red Line og diverse malware som utvinner kryptovaluta på infiserte maskiner.

Det var 176 bekreftede DDoS-angrep denne måneden, ned fra 263 i oktober. 74 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.13 Gbps og varte i 27 minutter. Det største angrepet observert i denne perioden var på 67 Gbps og varte i 24 timer. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2022

Albania har vært rammet av flere bølger av cyber-angrep fra Iran, etter vedvarende konflikt mellom de to landene. Etter en bølge med angrep i juli, ble landet tvunget til å slå av mange offentlige tjenester, noe som skapte store forsinkelser i betalinger og utstedelse av dokumenter for innbyggerne. Denne måneden kom det fram at Albania vurderte å utløse NATOs artikkel 5 i forbindelse med angrepene, men valgte til slutt å ikke gjøre det da ingen mennesker ble direkte fysisk skadet.

2.4TB med data som omhandler Microsofts kunder har vært åpent tilgjengelig på nettet i flere år, siden dataene ved en feil var lagret i en åpen Azure lagrings-instans. Informasjonen som var tilgjengelig var blant annet signerte fakturaer, kontrakter, kontaktinformasjon og epost-adresser til 65,000 kunder i løpet av fem år. Microsoft har fått kritikk i forbindelse med hvordan de har håndtert den nylige sikkerhetsglippen etter mangelfull informasjon og ufarliggjøring av hendelsen.

Lazarus-gruppen er den siste i en rekke av grupper som har utnyttet teknikken kalt BYOVD (Bring Your Own Vulnerable Driver). Gjennom å installere en gammel sårbar driver signert av Dell, klarte angriperne å slå av all virusbeskyttelse i Windows. Initiell tilgang til maskinen ble oppnådd gjennom Word-dokumenter som inneholdt fiendtlige makroer. Etter å ha slått av virusbeskyttelsen kunne angriperne installere en bakdør. Fortsatt finnes det mange sårbare drivere som kan utnyttes på denne måten for å få utvidet tilgang til Windows-systemer. Microsoft har en liste over drivere som Windows automatisk skal blokkere, men det viser seg at noen versjoner av Windows ikke har mottatt oppdaterte versjoner av listen.

Avisen Daily Mail hevder at telefonen til eks-statsminister Liz Truss var kompromittert av agenter fra Kremlin, mens hun var utenriksminister. Hackingen av mobilen kan ha tilgjengeliggjort sensitiv informasjon for angriperne. Etter at operasjonen ble oppdaget, ble telefonen plassert i en låst safe for å unngå videre lekkasje av informasjon. Flere forlanger nå en offisiell gransking av den påståtte hendelsen.

Microsoft har lagt til en ny “group policy” som låser kontoer i 10 minutter etter 10 feilede innloggingsforsøk mot en Windows-bruker. Dette gjelder både for standard-brukere og administrator-brukere. Funksjonen er automatisk slått på for nye installasjoner av Windows 11, men kan også skrus på for eksisterende installasjoner eller Windows 10. Denne nye standard-innstillingen vil gjøre det vanskeligere å gjennomføre angrep mot Windows-maskiner på innsiden av bedriftsnettverk ved hjelp av gjetting av passord.

En av Australias største leverandører av privat helseforsikring, Medibank Private Limited, gikk denne måneden ut med informasjon om at de hadde blitt utsatt for datainnbrudd. Angriperne hevder at de har fått tilgang til 200 GB med sensitiv informasjon om 9.7 millioner kunder, inkludert helseopplysninger, og truer nå med å selge denne informasjonen dersom Medibank ikke betaler et større beløp. Videre truer angriperne med å kontakte de 1000 mest prominente kundene og vise dem deres egne opplysninger. Dette som en "advarsel" til Medibank, som har sagt at det ikke blir aktuelt å betale løsepenger.

Sikkerhetsforskere annonserte denne uken at de har oppdaget en ny sårbarhet i logiske kontrollere (PLC) fra Siemens. Denne typen kontrollere brukes til styringssystemer i OT (Operasjonell Teknologi). Ved hjelp av sårbarheten kan man hente ut hardkodede kryptografiske nøkler fra enhetene. Disse nøklene gjør det mulig å komme seg forbi alle de fire nivåene av tilgangs-beskyttelse og utføre avanserte angrep. Siemens har publisert oppdateringer for å fikse sårbarheten og poengterer at produktet ble laget for nesten 10 år siden. Sikkerhetsløsningene som ble valgt den gangen er ikke lengre tilstrekkelige, men mange produksjonssystemer bruker dessverre gammelt utstyr.

Norske mobiloperatører går sammen om å sette en stopper for muligheten til å utgi seg for å ringe fra  faste telefonnumre tilhørende norske bedrifter og etater, kjent som “spoofing”. Fra før har spoofing av mobilnumre vært sperret, men nå sperres også oppringninger fra fasttelefonnumre. Tiltaket er koordinert gjennom ITAKT – Internet og telekombransjens anti-kriminalitets tiltak.

I oktober håndterte TSOC 113 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 125 i september. Denne måneden er det nok en gang nettleserutvidelser med uærlige hensikter som dominerer. Vi har også sett noen tilfeller av Windows-maskiner som har blitt infisert av malware av typen Banload og Glupteba. Til tross for økt beredskap og årvåkenhet i forbindelse med den spente sikkerhetssituasjonen ble det ikke observert noen hendelser utenom det vanlige.

Det var 263 bekreftede DDoS-angrep denne måneden, ned fra 267 i september. 70 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 35 Gbps og varte i 21 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.