Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 5. juli 2021

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2021

I starten av måneden ble det multinasjonale selskapet JBS Foods rammet av ransomware. Firmaet produserer 20% av kjøttet i USA og produksjonen ble rammet. Etter kort tid valgte firmaet å betale $11 millioner til utpresserne i et forsøk for å få produksjonen i gang igjen så fort som mulig. Ransomware-angrepet ble utført av den russiske grupperingen REvil. USAs president, Joe Biden, uttalte etter angrepet at ansvarlige nasjoner burde straffeforfølge grupperinger som REvil. Dette med klar adresse til Russland sin manglende oppfølging av russiske grupperinger som i stor stil angriper og utpresser firmaer i vesten.

Justisdepartementet i USA prioriterer nå etterforskning av løsepengevirus på samme nivå som terrorisme etter angrepet på Colonial Pipeline 6. mai 2021, samt andre høyprofilerte angrep i det siste. Det er også opprettet en egen "task force" i Washington for å koordinere etterforskning av angrepene.

President Biden har utvidet sanksjonene mot kinesiske selskaper, som først ble innført av Trump. Listen over firmaer som ikke kan motta investeringer fra USA økes fra 31 til 59. Biden fordømmer også Kinas bruk av overvåkingsprogramvare for å kontrollere befolkningen. Firmaer som allerede har gjort investeringer vil ha ett år på seg til å avslutte forholdene.

Ukrainsk politi arresterte kriminelle assosiert med ransomware-gjengen Clop. De stengte også ned infrastrukturen til grupperingen, som har vært aktive siden 2019. De arresterte skal først og fremst ha drevet med hvitvasking av penger, mens bakmennene i banden fortsatt er på frifot i Russland. 

SITA, en internasjonal leverandør av IT-tjenester til rundt 90% av flybransjen, ble i mars utsatt for et datainnbrudd. Sikkerhetsselskapet Group-IB skriver at dette førte til et forsyningskjedeangrep som rammet flere store flyselskap og millioner av passasjerer er rammet. Sikkerhetsselskapet mistenker at den kinesiske aktøren APT41 står bak. Motivasjonen bak angrepet er mest sannsynlig å følge reisene til personer av interesse. Flyselskaper blir bedt om å sjekke systemene sine etter tegn til innbrudd etter kampanjen.

Datasystemene til halvparten av bibliotekene over hele landet gikk ned 22. juni etter et dataangrep. Angriperne krevde løsepenger. Det er Axiell Norge AS som levere datatjenestene og de gikk ikke med på kravet om å betale løsepenger. Ingen persondata skal være på avveie, og selskapet hadde sikkerhetskopier av all data angriperne hadde kryptert. Angrepet er meldt til politiet i Norge, Sverige og Finland. Den 28. juni lyktes selskapet i å delvis få opp igjen systemene sine.

I juli avslørte politi fra flere land den tre år lange operasjonen “Operation Ironside. Politiet hadde i flere år drevet den krypterte meldingsplattformen “ANOM”. Plattformen bestod av spesielt sikret mobilutstyr og en kryptert meldingsapp. Millioner av meldinger ble avlyttet av politiet, noe som førte til over 800 arrestasjoner, beslag av 40 tonn narkotika, 250 skytevåpen, 55 luksusbiler osv. I Norge ble ni personer pågrepet etter operasjonen. I Norge var det en stund uklart om bevisene som ble innhentet kunne brukes i en norsk rett, men høyesterett kom 23. juni fram til at dette ikke strider mot grunnleggende norske verdier.

En gruppe som kaller seg Fancy Lazarus driver nå en målrettet DDoS utpressingskampanje mot større bedrifter. Sikkerhetsselskapet Proofpoint skriver at bedrifter i mange ulike sektorer har blitt kontaktet av gruppen. Kontakten skjer per e-post, hvor gruppen forlanger en utbetaling på 2 Bitcoin (ca. 600 000 NOK) for at bedriften ikke skal bli utsatt for et større DDoS-angrep. Om bedriften ikke betaler innen en gitt tidsfrist dobles summen, og deretter øker den med én Bitcoin hver dag. Det er ikke alltid at gruppen gjennomfører truslene, men flere bedrifter har blitt utsatt for DDoS-angrep (demo-angrep) etter at de har blitt kontaktet. I løpet av de siste ukene har også noen norske bedrifter mottatt trusler med tilhørende demo-angrep fra denne grupperingen.

Statsforvalteren i Oslo og Viken var ett av statsforvalterembetene som ble direkte rammet av angrepet mot flere statsforvalterembeter i 2018. PSTs Hanne Blomberg opplyser at de nå har etterretning som peker mot Kina. "Vi har i denne konkrete saken etterretningsinformasjon som peker i en tydelig retning mot at det er aktøren APT31 som står bak operasjonen mot statsforvaltningsembetene", opplyste hun til NRK.

Det store spillselskapet Electronic Arts ble denne måneden frastjålet kildekode til flere spill. En representant for hackerne som stod bak angrepet, avslørte at angrepet ble utført ved hjelp av en informasjonskapsel kjøpt for $10. Netkapselen ble kjøpt fra undergrunnsmarkedet “Genesis Market” og gav hackerne tilgang til EA sin interne Slack-chat. Informasjonskapsler stjeles fra store mengder hackede PCer og legges ut for salg på denne typen illegale markeder. Angriperne klarte via chatten å lure EA sin IT-support til å gi dem tilgang til resten av nettverket, under påskudd av å ha glemt et passord.

I juni håndterte TSOC 80 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 86 i april. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. En del klienter har også fått installert ondsinnede nettleserutvidelser.

Det var 214 bekreftede DDoS-angrep denne måneden, ned fra 402 i mai. 113 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5 Gbps og varte i 36 minutter. Det største angrepet observert i denne perioden var på 71 Gbps og varte i 31 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


fredag 4. juni 2021

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2021

Syvende mai 2021 rammet ransomware selskapet Colonial Pipeline, som driver USAs største rørledning for å frakte olje og drivstoff. Selve kontrollsystemene ble ikke rammet, men selskapets støttesystemer gikk ned og hindret dermed videre drift. USAs regjering vedtok hastelover for å få fraktet oljen med tankbiler. I mange delstater oppsto det tendenser til panikk med hamstring av bensin og tomme bensinstasjoner. Etter nesten en uke ble transporten gjenopptatt, etter at selskapet betalte over $5 millioner til utpresserne. Hendelsen førte nesten til stengte flyplasser og bensinmangel i flere delstater i USA.

Etter angrepet mot Colonial Pipeline beklaget grupperingen som stod bak, DarkSide, at angrepet hadde fått så store konsekvenser og at det ikke lå noe politisk bak aksjonen. En del mistenker etter hvert at at alle angrepene i det siste kan være en del av en statsstøttet kampanje fra Russland. Senere i måneden forsvant DarkSides nettsider, og grupperingen skal ha mistet tilgang til store deler av løsepengene de har mottatt. Det spekuleres i om gruppen selv prøver å slette sporene, eller om myndigheter har tatt beslag i utstyr og verdier. Flere hacker-forum har etter angrepet lagt ned forbud mot innlegg og reklame som omhandler ransomware.

I slutten av mai 2021 rammet løsepengevirus det Irske helsevesenet. Store deler av datasystemene og helsejournalene ble tatt ned. En minister uttalte til pressen at dette var det største dataangrepet mot Irland noensinne. I løpet av hendelsen avviste flere sykehus alle pasienter, bortsett fra de som trengte øyeblikkelig hjelp. Helsevesenet opplyste at det var helt utelukket å betale de $20 millionene i løsepenger som angriperne forlangte. Etter hvert ga angriperne fra seg verktøyet for å låse opp igjen filene, men de truet fortsatt med å offentliggjøre informasjon de hadde stjålet, dersom løsepengene ikke ble betalt.

I mai ble også det norske IT-selskapet Volue (tidligere Powel) ASA utsatt for et angrep med ransomware. Angrepet krypterte ned en del filer, databaser og applikasjoner. Inntrengerne i nettverket  ble tidlig oppdaget og videre spredning forhindret. Kunder av selskapet skal ikke være berørt, men de oppfordres uansett til å endre passord på sine kontoer. Etter angrepet har selskapet fått skryt for sin åpne håndtering av prosessen med å få alle systemene opp igjen gjennom daglige åpne webcasts.

I april 2021 ble politiet i Washington DC rammet av ransomware. Angriperne stjal interne data og personnel-filer til ansatte. Gruppen bak angrepet, Babuk, la først ut detaljerte personell-filer som omhandlet 20 politimenn. Etter at politiet nektet å betale, la banden i mai ut 250GB med informasjon, blant annet en gjeng-database, detaljert informasjon om alle ansatte og informasjon om politiets informanter.

Bloomberg meldte at forsikringsgiganten CNA Financial betalte 40 millioner USD til angriperne i løsepenger for å få kontroll på nettverket deres etter et løsepengevirus-angrep. Dette er større enn noen andre utbetalinger som har blitt offentliggjort. Den gjennomsnittlige summen på offfentlig kjente betalinger av løsepenger etter ransomware lå på rundt 312 000 USD i 2020 ifølge Palo Alto Networks.

Både Volexity og Microsoft sitt Threat Intelligence Center varslet om en større pågående phishing-kampanje fra aktøren kjent som Nobelium/APT29. Aktøren skal ha forbindelse med den russiske utenlands-etterretningen (SVR) og stod bak Solarwinds-operasjonen. Microsoft har fulgt denne kampanjen siden januar 2021 og melder om et større phishing-angrep via epost som startet 25. mai. Epostene henviser til informasjon om valget i USA i 2020, og fikk derfor ekstra oppmerksomhet i USA. Angrepet er rettet mot mange forsknings-, statlige- og store internasjonale organisasjoner både i USA og i Europa.

CryptoCore er navnet på en angrepskampanje mot kryptobørser som selskapet ClearSky har undersøkt. Denne nettkriminalitetskampanjen er hovedsakelig fokusert på tyveri av kryptovaluta og ClearSky anslår at angriperne allerede har fått tak i verdier for hundrevis av millioner dollar. ClearSky-forskerne mener det er medium til høy sannsynlighet for at Lazarus-gruppen står bak angrepene. Dette er en nordkoreansk statssponset APT-gruppe som særlig går etter økonomiske mål over hele verden. Tidligere var det øst-europeiske kriminelle som var mistenkt for å stå bak. 

Mer enn 200 organisasjoner, inkludert belgiske styresmakter, ble overveldet av et stort DDoS-angrep 4. mai. Målet med angrepet var den statlig eide Internett-leverandøren Belnet. Angrepet var avansert og teknikkene bak det endret seg i løpet av angrepet. Det er ukjent hvem som står bak.

I mai håndterte TSOC 86 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 118 i april. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 402 bekreftede DDoS-angrep denne måneden, opp fra 355 i april. 169 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.47 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 129 Gbps og varte i 23 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

fredag 7. mai 2021

Oppsummering av nyhetsbildet innen datasikkerhet for april 2021

Den nylig opprettede Ransomware Task Force (RTF) er organisert av “Institute for Security and Technology” i samarbeid med representanter fra teknologi- og sikkerhetsbedrifter, regjeringer, politi og internasjonale organisasjoner. Ransomware-bølgen har etter hvert økt i omfang til å bli en fare for samfunnet, med flere eksempler på ødeleggende angrep mot sykehus, kommuner, politi og offentlig infrastruktur. RTF mener at det må et internasjonalt samarbeid til for å stoppe bølgen. De har akkurat gitt ut sin første rapport med anbefalinger. Disse går blant annet ut på å få politiet til å prioritere denne typen saker, pålegge organisasjoner å informere myndighetene om betalinger av løsepenger og å få kryptobørser til å vite hvem kundene er og overvåke transaksjoner.

Bedriften ClickStudios la ut en melding om at de hadde vært utsatt for et sikkerhetsbrudd mellom 20. og 22. april. Bedriften lager et produkt kalt Passwordstate, som brukes av større organisasjoner for å holde orden på passord og automatisere innlogginger. Denne programvaren ble kompromittert og en bakdør ble lagt inn. Versjonen av Passwordstate med bakdøren var tilgjengelig for nedlasting i 28 timer. Clickstudios har sluppet informasjon om hvordan en kan sjekke om den kompromitterte utgaven av Passwordstate er installert.

Noen av de store løsepengegruppene har begynt å presse bedrifter til å betale løsepenger ved å sende eposter direkte til både kunder og partnere av offeret. I epostene står det at sensitive data om dem som kunder/brukere vil bli lekket, dersom offeret ikke betaler. Mottakerne oppfordres videre til å legge press på offeret for å ordne betaling.

Den store nyheten i mars var Exchange-svakheten “ProxyLogon” som ble benyttet til å plassere bakdører på servere over hele verden. FBI i USA benyttet denne måneden den samme Exchange-bakdøren til å slette den opprinnelige bakdøren som ble lagt inn. Eierne av serverne som ble berørt ble ikke kontaktet først og det diskuteres i sikkerhetsmiljøet om dette var en lovlig og etisk  teknikk eller ikke.

NSA, FBI og Cybersecurity and Information Security Agency sier at  Russland stod bak supply-chain angrepet mot Solarwinds. Angrepet førte til at en bakdør ble sendt ut til over 18 000 kunder via oppdateringer. USA har nå lagt sanksjoner mot Russland og seks russiske selskaper som støttet Russland i å utføre dette angrepet. Amerikanske myndigheter advarer videre om at russisk etterretning fortsetter angrepene sine ved å utnytte kjente sårbarheter i populære produkter fra leverandører som Fortinet, Pulse Secure, Citrix og VMWare.

I april ble det meldt om en kritisk svakhet i Pulse Secure VPN-enheter som lar angripere omgå autentisering. Svakheten er svært enkel å utnytte og FireEye meldte raskt at flere trusselaktører allerede utnyttet svakheten til å installere forskjellige typer malware. Blant annet er flere amerikanske forsvars-underleverandører rammet. Kinesisk-støttede aktører skal hovedsakelig stå bak angrepene.

Den kjente malware gruppen BazarLoader jobber med tvilsomme call-center for å lure ofrene til å laste ned et infisert dokument. Phishing-epostene ber personer om å ringe et nummer for å oppgradere et abonnement eller lignende. Når personene ringer nummeret, blir de guidet til å laste ned et Office-dokument og deretter slå av sikkerhetsfunksjoner i Office for å tillate makroer å kjøre. Makroen laster deretter ned malware og infiserer maskinen.

Mot slutten av april mottok mange nordmenn tekstmeldinger på engelsk om å hente en tilsendt pakke. Dersom en lar seg lure og følger lenken fra en Android-mobil, leder den til en nedlastingsside for malware. For å installere malwaren må brukeren slå på muligheten for å installere apper fra ukjente kilder og svare ja til flere sikkerhetsadvarsler. Det er malwaren Flubot som blir installert, og denne vil laste ned personlige detaljer og prøve å lure brukeren til å gi fra seg nettbank-detaljer. Flubot vil også fortsette å sende SMS-meldingene videre til brukerens kontakter. Hittil har heldigvis Flubot hatt begrenset spredning i Norge, muligens fordi få benytter seg av tredjeparts app-butikker i Norge.

I løpet av årets Pwn2Own konkurranse ble det utbetalt over $1.2 millioner kroner i premier til deltakerne. I løpet av konkurransen ble helt nye måter å hacke Safari, Chrome, Edge, Windows 10, Ubuntu, Microsoft Teams, Zoom og Exchange vist fram. Alle teknikkene ble demonstrert og detaljer rundt disse deretter overlevert til arrangørene og leverandørene. Nok en gang viser det seg at alle større softwareprodukter er forholdsvis enkle å utnytte, bare en er motivert nok.

I april håndterte TSOC 118 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 140 i mars. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 355 bekreftede DDoS-angrep denne måneden, ned fra 415 i mars. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.63 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 37.5 Gbps og varte i 23 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


fredag 9. april 2021

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2021

Den store nyheten denne måneden var kompromitteringen av titusenvis av Exchange-servere over hele verden. Microsoft meldte 2. mars om at avanserte angripere brukte fire nye og til da ukjente svakheter til å kompromittere Exchange-servere som var eksponert mot Internet. Exchange-tjenester hostet hos Microsoft var ikke rammet. Angrepene startet egentlig så tidlig som 6. januar og i begynnelsen var det den kinesiske APT-gruppen Hafnium som stod bak angrepene, som for det meste rammet mål i USA. Det er trolig spionasje som var formålet med operasjonen. Microsoft ga raskt ut patcher for svakhetene som ble utnyttet, men i de påfølgende dagene fikk flere trusselaktører tak i verktøyene for å utnytte svakhetene. Exchange-servere som ikke hadde blitt patchet ble kompromittert og disse ble brukt som brohode inn i mange bedrifter for å stjele data, installere programvare for å utvinne kryptovaluta eller å ta ned hele bedriften ved hjelp av ransomware.

I forbindelse med angrepet mot Exchange-serverne ble Stortinget kompromittert for andre gang i løpet av få måneder. Angrepet er under etterforskning og det er bekreftet at data fra eposter har blitt hentet ut. Etter at angrepet ble kjent gikk Stortinget ut og opplyste om at alle sikringstiltakene som ble vedtatt gjennomført etter det forrige angrepet nå har blitt gjennomført.

Google har oppdaget en hackergruppe som har utnyttet minst 11 forskjellige 0-dagssvakheter i deres ni måneder lange operasjon som ble gjennomført i 2020. Operasjonen har blitt omtalt tidligere, men Google slipper nå flere detaljer. Ofrene ble lurt inn på spesielt utformede nettsider og både Android, iOS og Windows brukere ble utnyttet. Svakhetene ble utnyttet etter hverandre, slik at angriperne til slutt kunne få tilgang til det underliggende operativsystemet, med permanent tilgang til enheten. Etter hvert ble det klart at operasjonen var en del av en vestlig stats anti-terror operasjon. Det har i etterkant vært diskusjoner om det er riktig å ta ned denne typen operasjoner eller ikke.

Sikkerhetsfirmaet Qualys har blitt frastjålet data via et vellykket angrep mot sine Accellion FTA-servere. Dette var del av en større kampanje som startet i desember 2020. I mars slapp Clop ransomware-gjengen skjermdumper som viser at de har fått tak i filer som tilhører Qualys. Dette inkluderer bestillinger, fakturaer, skatte-dokumentasjon og rapporter fra skanninger.

OVH er et hosting-selskap som tilbyr kapasitet i datasentre på forskjellige steder. Natt til 10. mars begynte deres datasenter SBG2 å brenne. SBG1, 2, 3 og 4 ble også stengt ned som følge av brannen. SBG2 ble helt ødelagt etter brannen og OVH ber kundene om å følge sine kriseplaner. Brannen viser hvor viktig det er å ha kopi av sine data på flere fysiske steder.

I desember ble Hurtigruten utsatt for et datainnbrudd. Det er nå funnet at personlige opplysninger om ansatte er på avveie på det mørke nettet, blant annet fødselsnumre og sykemeldinger. Ransomware-gjenger slipper gjerne slike opplysninger på det mørke nettet for å tvinge bedrifter til å betale. Senere i måneden ble også data fra angrepet mot Østre Toten kommune gjort tilgjengelig på det mørke nettet.

Oppdrettsleverandøren Akva Group ble rammet av et løsepengevirus i januar 2021. Selskapet anslår at de direkte kostnadene som følge av angrepet vil havne et sted mellom 40 og 50 millioner kroner. Da systemene ble rammet ble også alle sikkerhetskopier kryptert. Akva Group har ikke kommet med noen uttalelse om de har betalt løsepenger for å dekryptere filene. De melder at ingen data har gått tapt som følge av angrepet.

Telenor har lansert et nytt system for å redusere telefonsvindel. Systemet vil avdekke om mobilen med nummeret det ringes fra, er en mobil som faktisk befinner seg i Norge. Dersom den gjør det, men oppringingen skjer fra utlandet, vil det flagges som svindelforsøk og vises for mottaker som skjult nummer. Dette vil gjøre det lettere å identifisere svindel for mottakeren og spoofede nummer som benyttes til svindel vil ikke bli utsatt for store mengder anrop.

I mars håndterte TSOC 140 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 82 i januar. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 415 bekreftede DDoS-angrep denne måneden, ned fra 349 i februar. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.1 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 32.2 Gbps og varte i 8 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

fredag 5. mars 2021

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2021

 Mandag 22. februar kveld fikk TietoEvry problemer med tjenester som ble levert til 25 av sine kunder. Dette skyldes et løsepengevirus som krypterte flere servere hos bedriften. NSM og Kripos er varslet og bistår selskapet med håndteringen av saken videre. Selskapet har opplyst at det ikke er noe som tyder på at personopplysninger er lekket. Så langt har det heller ikke blitt lekket data ut på det mørke nettet fra angrepet, noe som etter hvert har blitt vanlig ved denne typen angrep.

Nettkriminaliteten øker, men politiet henger ikke med, mener Riksrevisjonen. “– Kriminaliteten har flyttet seg fra gata til data. Det har dessverre ikke politiet”, uttalte riksrevisor Per-Kristian Foss i en pressemelding. I Riksrevisjonens rapport går det fram at politiet mangler oversikt over kriminaliteten som foregår digitalt og også mangler kompetanse og kapasitet til å etterforske den. Det er for lite samordning mellom politidistriktene, og internasjonalt samarbeid er vanskelig. Politidirektoratet og Justis- og beredskapsdepartementet har ikke prioritert dette høyt nok, heter det.

I februar ble det avslørt en skadevare-kampanje mot sårbare Centreon-systemer. Centreon er et fransk firma som produserer programvare for system- og nettverksmonitorering. Frankrikes Cyber-Security enhet knytter kampanjen mot Sandworm, som igjen knyttes til russlands militære etterretning GRU. Kampanjen skal ha pågått i årevis frem til 2020, hvor de første ofrene ble kompromittert allerede i 2017. Sikkerhetseksperter mener at denne kampanjen ikke er et forsyningskjede-angrep, men heller opportunistisk utnyttelse av sårbarheter i eksponerte systemer.

Appen Barcode Scanner av LAVABIRD LTD, som kunne lastes ned fra Google Play, gikk fra å være en legitim scanner-app til å inneholde malware/adware etter siste oppdatering. Appen vil etter oppdateringen åpne nettleseren og en rekke ondsinnede nettsider og annonser. Google Play har fjernet appen, men enheter med appen installert kan fortsatt bli rammet dersom appen har blitt oppdatert. Appen hadde over 10 millioner nedlastinger før den ble fjernet. Saken belyser et økende problem, nemlig at apper og nettleser-tillegg kjøpes opp og fylles med malware. For kriminelle er dette en forholdsvis billig måte å kjøpe seg eksponering mot millioner av brukere.

En sikkerhetsforsker har klart å få kontroll over interne systemer hos over 35 store IT-selskaper, inkludert Microsoft, Apple, PayPal, Netflix, Tesla og Uber, ved å laste opp ondsinnet kode til forskjellige kildekodelager på internett. Forskeren kom seg inn ved å laste opp editerte oppgraderingspakker til programvare med et høyere versjonsnummer, som deretter hentes ned automatisk av systemene hos selskapene. Det er dermed viktig at det blir verifisert hvilke kildelager som er tatt i bruk for henting av programmer hos alle systemer og om det er et internt eller eksternt lager som skal brukes. Dette angrepet er en variant av forsyningskjedeangrep.

Etter etterforskningssamarbeid mellom FBI, CISA, og the Department of Treasury, blir tre nordkoreanske hackere tiltalt for å ha stjålet over 1.2 milliarder dollar fra organisasjoner rundt om i verden. Hackerne skal tilhøre det nordkoreanske Reconnaissance General Bureau (RGB) som gjennom kampanjen "AppleJeus" har utført målrettede angrep mot firmaer som utfører transaksjoner med kryptovaluta og også tradisjonelle finansinstitusjoner.

Politi fra USA, UK, Belgia, Malta og Canada har arrestert 10 personer i USA, Malta og Belgia. Personene er mistenkt for en mengde SIM-swap angrep mot kjendiser, Internett-influensere og innhavere av store mengder krypto-valuta. Ved å ta kontroll over SIM-kortene til ofrene sine, skal da ha fått tak i verdier for over 100 millioner dollar.

Google Project Zero melder om at rundt 25% av 0-dagssvakhetene som ble utnyttet i fjor er nære slektninger av 0-dagssvakheter som ble publisert tidligere. Disse svakhetene mener Project Zero at kunne vært unngått om det ble gjort bedre undersøkelser samt hatt bedre forståelse for hva som faktisk var feilen før man prøvde å fikse 0-dagssvakheten. Oppdateringene som leverandørene gir ut er ofte for spesifikke, og det skal bare en liten endring i angrepskoden til for å få den til å virke igjen.

Med det økende behovet for fjernaksess, øker også trenden for å tilegne seg og videreselge tilgang til nettverk. Firmaet Digital Shadows melder at RDP-tilganger i snitt går for 9765 dollar, og det er ofte ransomware-aktører som kjøper disse tilgangene. RDP og andre tjenester for fjerntilgang bør alltid gjemmes bak en trygg VPN-forbindelse med to-faktor autentisering.

I februar håndterte TSOC 82 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 83 i januar. Fortsatt er det klienter og servere infisert av malware som utvinner kryptovaluta som dominerer hendelsene.

Det var 349 bekreftede DDoS-angrep denne måneden, ned fra 457 i januar. 120 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.44 Gbps og varte i 14 minutter. Det største angrepet observert i denne perioden var på 395 Gbps og varte i 32 minutter. Ti av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

 
>