Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 4. juni 2021

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2021

Syvende mai 2021 rammet ransomware selskapet Colonial Pipeline, som driver USAs største rørledning for å frakte olje og drivstoff. Selve kontrollsystemene ble ikke rammet, men selskapets støttesystemer gikk ned og hindret dermed videre drift. USAs regjering vedtok hastelover for å få fraktet oljen med tankbiler. I mange delstater oppsto det tendenser til panikk med hamstring av bensin og tomme bensinstasjoner. Etter nesten en uke ble transporten gjenopptatt, etter at selskapet betalte over $5 millioner til utpresserne. Hendelsen førte nesten til stengte flyplasser og bensinmangel i flere delstater i USA.

Etter angrepet mot Colonial Pipeline beklaget grupperingen som stod bak, DarkSide, at angrepet hadde fått så store konsekvenser og at det ikke lå noe politisk bak aksjonen. En del mistenker etter hvert at at alle angrepene i det siste kan være en del av en statsstøttet kampanje fra Russland. Senere i måneden forsvant DarkSides nettsider, og grupperingen skal ha mistet tilgang til store deler av løsepengene de har mottatt. Det spekuleres i om gruppen selv prøver å slette sporene, eller om myndigheter har tatt beslag i utstyr og verdier. Flere hacker-forum har etter angrepet lagt ned forbud mot innlegg og reklame som omhandler ransomware.

I slutten av mai 2021 rammet løsepengevirus det Irske helsevesenet. Store deler av datasystemene og helsejournalene ble tatt ned. En minister uttalte til pressen at dette var det største dataangrepet mot Irland noensinne. I løpet av hendelsen avviste flere sykehus alle pasienter, bortsett fra de som trengte øyeblikkelig hjelp. Helsevesenet opplyste at det var helt utelukket å betale de $20 millionene i løsepenger som angriperne forlangte. Etter hvert ga angriperne fra seg verktøyet for å låse opp igjen filene, men de truet fortsatt med å offentliggjøre informasjon de hadde stjålet, dersom løsepengene ikke ble betalt.

I mai ble også det norske IT-selskapet Volue (tidligere Powel) ASA utsatt for et angrep med ransomware. Angrepet krypterte ned en del filer, databaser og applikasjoner. Inntrengerne i nettverket  ble tidlig oppdaget og videre spredning forhindret. Kunder av selskapet skal ikke være berørt, men de oppfordres uansett til å endre passord på sine kontoer. Etter angrepet har selskapet fått skryt for sin åpne håndtering av prosessen med å få alle systemene opp igjen gjennom daglige åpne webcasts.

I april 2021 ble politiet i Washington DC rammet av ransomware. Angriperne stjal interne data og personnel-filer til ansatte. Gruppen bak angrepet, Babuk, la først ut detaljerte personell-filer som omhandlet 20 politimenn. Etter at politiet nektet å betale, la banden i mai ut 250GB med informasjon, blant annet en gjeng-database, detaljert informasjon om alle ansatte og informasjon om politiets informanter.

Bloomberg meldte at forsikringsgiganten CNA Financial betalte 40 millioner USD til angriperne i løsepenger for å få kontroll på nettverket deres etter et løsepengevirus-angrep. Dette er større enn noen andre utbetalinger som har blitt offentliggjort. Den gjennomsnittlige summen på offfentlig kjente betalinger av løsepenger etter ransomware lå på rundt 312 000 USD i 2020 ifølge Palo Alto Networks.

Både Volexity og Microsoft sitt Threat Intelligence Center varslet om en større pågående phishing-kampanje fra aktøren kjent som Nobelium/APT29. Aktøren skal ha forbindelse med den russiske utenlands-etterretningen (SVR) og stod bak Solarwinds-operasjonen. Microsoft har fulgt denne kampanjen siden januar 2021 og melder om et større phishing-angrep via epost som startet 25. mai. Epostene henviser til informasjon om valget i USA i 2020, og fikk derfor ekstra oppmerksomhet i USA. Angrepet er rettet mot mange forsknings-, statlige- og store internasjonale organisasjoner både i USA og i Europa.

CryptoCore er navnet på en angrepskampanje mot kryptobørser som selskapet ClearSky har undersøkt. Denne nettkriminalitetskampanjen er hovedsakelig fokusert på tyveri av kryptovaluta og ClearSky anslår at angriperne allerede har fått tak i verdier for hundrevis av millioner dollar. ClearSky-forskerne mener det er medium til høy sannsynlighet for at Lazarus-gruppen står bak angrepene. Dette er en nordkoreansk statssponset APT-gruppe som særlig går etter økonomiske mål over hele verden. Tidligere var det øst-europeiske kriminelle som var mistenkt for å stå bak. 

Mer enn 200 organisasjoner, inkludert belgiske styresmakter, ble overveldet av et stort DDoS-angrep 4. mai. Målet med angrepet var den statlig eide Internett-leverandøren Belnet. Angrepet var avansert og teknikkene bak det endret seg i løpet av angrepet. Det er ukjent hvem som står bak.

I mai håndterte TSOC 86 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 118 i april. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 402 bekreftede DDoS-angrep denne måneden, opp fra 355 i april. 169 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.47 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 129 Gbps og varte i 23 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

fredag 7. mai 2021

Oppsummering av nyhetsbildet innen datasikkerhet for april 2021

Den nylig opprettede Ransomware Task Force (RTF) er organisert av “Institute for Security and Technology” i samarbeid med representanter fra teknologi- og sikkerhetsbedrifter, regjeringer, politi og internasjonale organisasjoner. Ransomware-bølgen har etter hvert økt i omfang til å bli en fare for samfunnet, med flere eksempler på ødeleggende angrep mot sykehus, kommuner, politi og offentlig infrastruktur. RTF mener at det må et internasjonalt samarbeid til for å stoppe bølgen. De har akkurat gitt ut sin første rapport med anbefalinger. Disse går blant annet ut på å få politiet til å prioritere denne typen saker, pålegge organisasjoner å informere myndighetene om betalinger av løsepenger og å få kryptobørser til å vite hvem kundene er og overvåke transaksjoner.

Bedriften ClickStudios la ut en melding om at de hadde vært utsatt for et sikkerhetsbrudd mellom 20. og 22. april. Bedriften lager et produkt kalt Passwordstate, som brukes av større organisasjoner for å holde orden på passord og automatisere innlogginger. Denne programvaren ble kompromittert og en bakdør ble lagt inn. Versjonen av Passwordstate med bakdøren var tilgjengelig for nedlasting i 28 timer. Clickstudios har sluppet informasjon om hvordan en kan sjekke om den kompromitterte utgaven av Passwordstate er installert.

Noen av de store løsepengegruppene har begynt å presse bedrifter til å betale løsepenger ved å sende eposter direkte til både kunder og partnere av offeret. I epostene står det at sensitive data om dem som kunder/brukere vil bli lekket, dersom offeret ikke betaler. Mottakerne oppfordres videre til å legge press på offeret for å ordne betaling.

Den store nyheten i mars var Exchange-svakheten “ProxyLogon” som ble benyttet til å plassere bakdører på servere over hele verden. FBI i USA benyttet denne måneden den samme Exchange-bakdøren til å slette den opprinnelige bakdøren som ble lagt inn. Eierne av serverne som ble berørt ble ikke kontaktet først og det diskuteres i sikkerhetsmiljøet om dette var en lovlig og etisk  teknikk eller ikke.

NSA, FBI og Cybersecurity and Information Security Agency sier at  Russland stod bak supply-chain angrepet mot Solarwinds. Angrepet førte til at en bakdør ble sendt ut til over 18 000 kunder via oppdateringer. USA har nå lagt sanksjoner mot Russland og seks russiske selskaper som støttet Russland i å utføre dette angrepet. Amerikanske myndigheter advarer videre om at russisk etterretning fortsetter angrepene sine ved å utnytte kjente sårbarheter i populære produkter fra leverandører som Fortinet, Pulse Secure, Citrix og VMWare.

I april ble det meldt om en kritisk svakhet i Pulse Secure VPN-enheter som lar angripere omgå autentisering. Svakheten er svært enkel å utnytte og FireEye meldte raskt at flere trusselaktører allerede utnyttet svakheten til å installere forskjellige typer malware. Blant annet er flere amerikanske forsvars-underleverandører rammet. Kinesisk-støttede aktører skal hovedsakelig stå bak angrepene.

Den kjente malware gruppen BazarLoader jobber med tvilsomme call-center for å lure ofrene til å laste ned et infisert dokument. Phishing-epostene ber personer om å ringe et nummer for å oppgradere et abonnement eller lignende. Når personene ringer nummeret, blir de guidet til å laste ned et Office-dokument og deretter slå av sikkerhetsfunksjoner i Office for å tillate makroer å kjøre. Makroen laster deretter ned malware og infiserer maskinen.

Mot slutten av april mottok mange nordmenn tekstmeldinger på engelsk om å hente en tilsendt pakke. Dersom en lar seg lure og følger lenken fra en Android-mobil, leder den til en nedlastingsside for malware. For å installere malwaren må brukeren slå på muligheten for å installere apper fra ukjente kilder og svare ja til flere sikkerhetsadvarsler. Det er malwaren Flubot som blir installert, og denne vil laste ned personlige detaljer og prøve å lure brukeren til å gi fra seg nettbank-detaljer. Flubot vil også fortsette å sende SMS-meldingene videre til brukerens kontakter. Hittil har heldigvis Flubot hatt begrenset spredning i Norge, muligens fordi få benytter seg av tredjeparts app-butikker i Norge.

I løpet av årets Pwn2Own konkurranse ble det utbetalt over $1.2 millioner kroner i premier til deltakerne. I løpet av konkurransen ble helt nye måter å hacke Safari, Chrome, Edge, Windows 10, Ubuntu, Microsoft Teams, Zoom og Exchange vist fram. Alle teknikkene ble demonstrert og detaljer rundt disse deretter overlevert til arrangørene og leverandørene. Nok en gang viser det seg at alle større softwareprodukter er forholdsvis enkle å utnytte, bare en er motivert nok.

I april håndterte TSOC 118 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 140 i mars. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 355 bekreftede DDoS-angrep denne måneden, ned fra 415 i mars. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.63 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 37.5 Gbps og varte i 23 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


fredag 9. april 2021

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2021

Den store nyheten denne måneden var kompromitteringen av titusenvis av Exchange-servere over hele verden. Microsoft meldte 2. mars om at avanserte angripere brukte fire nye og til da ukjente svakheter til å kompromittere Exchange-servere som var eksponert mot Internet. Exchange-tjenester hostet hos Microsoft var ikke rammet. Angrepene startet egentlig så tidlig som 6. januar og i begynnelsen var det den kinesiske APT-gruppen Hafnium som stod bak angrepene, som for det meste rammet mål i USA. Det er trolig spionasje som var formålet med operasjonen. Microsoft ga raskt ut patcher for svakhetene som ble utnyttet, men i de påfølgende dagene fikk flere trusselaktører tak i verktøyene for å utnytte svakhetene. Exchange-servere som ikke hadde blitt patchet ble kompromittert og disse ble brukt som brohode inn i mange bedrifter for å stjele data, installere programvare for å utvinne kryptovaluta eller å ta ned hele bedriften ved hjelp av ransomware.

I forbindelse med angrepet mot Exchange-serverne ble Stortinget kompromittert for andre gang i løpet av få måneder. Angrepet er under etterforskning og det er bekreftet at data fra eposter har blitt hentet ut. Etter at angrepet ble kjent gikk Stortinget ut og opplyste om at alle sikringstiltakene som ble vedtatt gjennomført etter det forrige angrepet nå har blitt gjennomført.

Google har oppdaget en hackergruppe som har utnyttet minst 11 forskjellige 0-dagssvakheter i deres ni måneder lange operasjon som ble gjennomført i 2020. Operasjonen har blitt omtalt tidligere, men Google slipper nå flere detaljer. Ofrene ble lurt inn på spesielt utformede nettsider og både Android, iOS og Windows brukere ble utnyttet. Svakhetene ble utnyttet etter hverandre, slik at angriperne til slutt kunne få tilgang til det underliggende operativsystemet, med permanent tilgang til enheten. Etter hvert ble det klart at operasjonen var en del av en vestlig stats anti-terror operasjon. Det har i etterkant vært diskusjoner om det er riktig å ta ned denne typen operasjoner eller ikke.

Sikkerhetsfirmaet Qualys har blitt frastjålet data via et vellykket angrep mot sine Accellion FTA-servere. Dette var del av en større kampanje som startet i desember 2020. I mars slapp Clop ransomware-gjengen skjermdumper som viser at de har fått tak i filer som tilhører Qualys. Dette inkluderer bestillinger, fakturaer, skatte-dokumentasjon og rapporter fra skanninger.

OVH er et hosting-selskap som tilbyr kapasitet i datasentre på forskjellige steder. Natt til 10. mars begynte deres datasenter SBG2 å brenne. SBG1, 2, 3 og 4 ble også stengt ned som følge av brannen. SBG2 ble helt ødelagt etter brannen og OVH ber kundene om å følge sine kriseplaner. Brannen viser hvor viktig det er å ha kopi av sine data på flere fysiske steder.

I desember ble Hurtigruten utsatt for et datainnbrudd. Det er nå funnet at personlige opplysninger om ansatte er på avveie på det mørke nettet, blant annet fødselsnumre og sykemeldinger. Ransomware-gjenger slipper gjerne slike opplysninger på det mørke nettet for å tvinge bedrifter til å betale. Senere i måneden ble også data fra angrepet mot Østre Toten kommune gjort tilgjengelig på det mørke nettet.

Oppdrettsleverandøren Akva Group ble rammet av et løsepengevirus i januar 2021. Selskapet anslår at de direkte kostnadene som følge av angrepet vil havne et sted mellom 40 og 50 millioner kroner. Da systemene ble rammet ble også alle sikkerhetskopier kryptert. Akva Group har ikke kommet med noen uttalelse om de har betalt løsepenger for å dekryptere filene. De melder at ingen data har gått tapt som følge av angrepet.

Telenor har lansert et nytt system for å redusere telefonsvindel. Systemet vil avdekke om mobilen med nummeret det ringes fra, er en mobil som faktisk befinner seg i Norge. Dersom den gjør det, men oppringingen skjer fra utlandet, vil det flagges som svindelforsøk og vises for mottaker som skjult nummer. Dette vil gjøre det lettere å identifisere svindel for mottakeren og spoofede nummer som benyttes til svindel vil ikke bli utsatt for store mengder anrop.

I mars håndterte TSOC 140 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 82 i januar. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 415 bekreftede DDoS-angrep denne måneden, ned fra 349 i februar. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.1 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 32.2 Gbps og varte i 8 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

fredag 5. mars 2021

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2021

 Mandag 22. februar kveld fikk TietoEvry problemer med tjenester som ble levert til 25 av sine kunder. Dette skyldes et løsepengevirus som krypterte flere servere hos bedriften. NSM og Kripos er varslet og bistår selskapet med håndteringen av saken videre. Selskapet har opplyst at det ikke er noe som tyder på at personopplysninger er lekket. Så langt har det heller ikke blitt lekket data ut på det mørke nettet fra angrepet, noe som etter hvert har blitt vanlig ved denne typen angrep.

Nettkriminaliteten øker, men politiet henger ikke med, mener Riksrevisjonen. “– Kriminaliteten har flyttet seg fra gata til data. Det har dessverre ikke politiet”, uttalte riksrevisor Per-Kristian Foss i en pressemelding. I Riksrevisjonens rapport går det fram at politiet mangler oversikt over kriminaliteten som foregår digitalt og også mangler kompetanse og kapasitet til å etterforske den. Det er for lite samordning mellom politidistriktene, og internasjonalt samarbeid er vanskelig. Politidirektoratet og Justis- og beredskapsdepartementet har ikke prioritert dette høyt nok, heter det.

I februar ble det avslørt en skadevare-kampanje mot sårbare Centreon-systemer. Centreon er et fransk firma som produserer programvare for system- og nettverksmonitorering. Frankrikes Cyber-Security enhet knytter kampanjen mot Sandworm, som igjen knyttes til russlands militære etterretning GRU. Kampanjen skal ha pågått i årevis frem til 2020, hvor de første ofrene ble kompromittert allerede i 2017. Sikkerhetseksperter mener at denne kampanjen ikke er et forsyningskjede-angrep, men heller opportunistisk utnyttelse av sårbarheter i eksponerte systemer.

Appen Barcode Scanner av LAVABIRD LTD, som kunne lastes ned fra Google Play, gikk fra å være en legitim scanner-app til å inneholde malware/adware etter siste oppdatering. Appen vil etter oppdateringen åpne nettleseren og en rekke ondsinnede nettsider og annonser. Google Play har fjernet appen, men enheter med appen installert kan fortsatt bli rammet dersom appen har blitt oppdatert. Appen hadde over 10 millioner nedlastinger før den ble fjernet. Saken belyser et økende problem, nemlig at apper og nettleser-tillegg kjøpes opp og fylles med malware. For kriminelle er dette en forholdsvis billig måte å kjøpe seg eksponering mot millioner av brukere.

En sikkerhetsforsker har klart å få kontroll over interne systemer hos over 35 store IT-selskaper, inkludert Microsoft, Apple, PayPal, Netflix, Tesla og Uber, ved å laste opp ondsinnet kode til forskjellige kildekodelager på internett. Forskeren kom seg inn ved å laste opp editerte oppgraderingspakker til programvare med et høyere versjonsnummer, som deretter hentes ned automatisk av systemene hos selskapene. Det er dermed viktig at det blir verifisert hvilke kildelager som er tatt i bruk for henting av programmer hos alle systemer og om det er et internt eller eksternt lager som skal brukes. Dette angrepet er en variant av forsyningskjedeangrep.

Etter etterforskningssamarbeid mellom FBI, CISA, og the Department of Treasury, blir tre nordkoreanske hackere tiltalt for å ha stjålet over 1.2 milliarder dollar fra organisasjoner rundt om i verden. Hackerne skal tilhøre det nordkoreanske Reconnaissance General Bureau (RGB) som gjennom kampanjen "AppleJeus" har utført målrettede angrep mot firmaer som utfører transaksjoner med kryptovaluta og også tradisjonelle finansinstitusjoner.

Politi fra USA, UK, Belgia, Malta og Canada har arrestert 10 personer i USA, Malta og Belgia. Personene er mistenkt for en mengde SIM-swap angrep mot kjendiser, Internett-influensere og innhavere av store mengder krypto-valuta. Ved å ta kontroll over SIM-kortene til ofrene sine, skal da ha fått tak i verdier for over 100 millioner dollar.

Google Project Zero melder om at rundt 25% av 0-dagssvakhetene som ble utnyttet i fjor er nære slektninger av 0-dagssvakheter som ble publisert tidligere. Disse svakhetene mener Project Zero at kunne vært unngått om det ble gjort bedre undersøkelser samt hatt bedre forståelse for hva som faktisk var feilen før man prøvde å fikse 0-dagssvakheten. Oppdateringene som leverandørene gir ut er ofte for spesifikke, og det skal bare en liten endring i angrepskoden til for å få den til å virke igjen.

Med det økende behovet for fjernaksess, øker også trenden for å tilegne seg og videreselge tilgang til nettverk. Firmaet Digital Shadows melder at RDP-tilganger i snitt går for 9765 dollar, og det er ofte ransomware-aktører som kjøper disse tilgangene. RDP og andre tjenester for fjerntilgang bør alltid gjemmes bak en trygg VPN-forbindelse med to-faktor autentisering.

I februar håndterte TSOC 82 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 83 i januar. Fortsatt er det klienter og servere infisert av malware som utvinner kryptovaluta som dominerer hendelsene.

Det var 349 bekreftede DDoS-angrep denne måneden, ned fra 457 i januar. 120 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.44 Gbps og varte i 14 minutter. Det største angrepet observert i denne perioden var på 395 Gbps og varte i 32 minutter. Ti av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

fredag 5. februar 2021

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2021

Den kjente sikkerhetsleverandøren Malwarebytes har blitt kompromittert av den samme trusselaktøren som stod bak SolarWinds-angrepet. Amerikanske tjenestemenn kaller aktøren UNC2452 / Dark Halo, og mener at den kan knyttes til russisk etterretning. Malwarebytes opplyser at innbruddet ikke er gjort via SolarWinds supply-chain hendelsen som skjdde tidligere i 2020. Innbruddet ble derimot gjort via en svakhet i et produkt for epost-sikkerhet, som var installert i deres Office 365-instans.Etter en undersøkelse av hendelsen, har Malwarebytes kommet frem til at angriperne kun hadde fått tilgang til ett fåtall av bedriftens interne eposter.

Hackerne som stod bak SolarWinds-innbruddet var i stand til å bryte seg inn i Microsoft Corporation og få tilgang til noe av selskapets kildekode, opplyste Microsoft på nyttårsaften. SolarWinds-saken er blant de mest ambisiøse cyber-operasjonene som noensinne er avslørt, og har kompromittert flere føderale etater og større firmaer. Microsoft opplyser at angriperne ikke har hatt tilgang til å gjøre endringer i kildekoden. Å lese kildekoden skal heller ikke gjøre det enklere å oppdage svakheter, i henhold til Microsoft.

En gruppe bestående av FBI, CISA, ODNI og NSA kalt Cyber Unified Coordination Group (UCG) jobber med å undersøke og håndtere angrepet gjennomført ved hjelp av SolarWinds Orion. De la i januar fram en pressemelding om arbeidet så langt. Her kunne de opplyse at over 18.000 kunder av SolarWindows fikk bakdøren installert, men kun et titall av disse ble utsatt for videre angrep. Gruppen mener også at det trolig er en russisk APT som står bak, hvor formålet er etterretning.

Natt til 9. januar ble det gjennomført et løsepengevirus-angrep mot Østre Toten kommune. Angriperne har ifølge kommunen kommet seg bak brannmuren og slettet sikkerhetskopier, og deretter kryptert alle datasystemer de har fått tilgang til. Kommunen måtte i flere dager delvis gå over til manuelle rutiner. Oppbygging av systemene har i ettertid tatt flere uker. Det er så langt ukjent hvordan angriperne fikk tilgang til det interne nettverket til kommunen.

Mandag 11. januar meldte også oppdrettsleverandøren Akva Group at de hadde mottatt krav om  løsepenger etter et dataangrep. Angrepet satte deler av deres systemer ut av spill. Teknologiselskapet leverer utstyr og tjenester til oppdrettsnæringen, og omsetter for rundt tre milliarder kroner i året.

Ciaran Martin, som var sjef for National Cyber Security Centre i UK til august i fjor, mener at ransomware-angrep er i ferd med å komme ut av kontroll. Han mener at forsikringsselskapene bidrar til problemet, siden det enkleste og billigste for firmaer med forsikring ofte er å betale løsepengene.

Googles trusselanalysegruppe (TAG) publiserte en blogg-post hvor de informerer om at det har blitt identifisert en pågående kampanje mot sikkerhetsforskere som jobber med sårbarhetsforskning og utvikling hos forskjellige selskaper. Angriperne bruker flere sosiale medieplattformer og epost til å levere ondsinnet kode og bakdører til spesifikke personer. Angriperne har blant annet satt opp et nettsted med reelle artikler om relevante svakheter som ble brukt til vannhullsangrep. Angrepskode på denne bloggen skal ha kompromittert fullt patchede Chrome-nettlesere. I andre tilfeller fikk ofrene oversendt Visual Studio-prosjekter med bakdører. Det antas at myndighetene i Nord-Korea står bak og at målet er å samle inn informasjon om nye svakheter for å bruke dem i videre operasjoner.

Selskapet Mimecast, som lager sikkerhetsprodukter for epost, sier i en uttalelse at de har vært utsatt for en avansert trusselaktør som har klart å kompromittere sertifikatene som benyttes for å kryptere kommunikasjonen mellom selskapets produkter og Microsoft sine skytjenester. Mimecast ble varslet om forholdet av Microsoft. Uavhengige sikkerhetseksperter spekulerer i om dette angrepet kan ha blitt utført av samme trusselaktør som stod bak angrepet mot SolarWinds. Angrepet kan ha gjort det mulig å lese eposter og andre data i kundenes Microsoft 365-kontoer.

Sønstebyprisen er en pris som tildeles de som i krigshelt Gunnar Sønsteby sin ånd, forsvarer demokratiske verdier i Norge. I år gikk prisen til en rekke organisasjoner som har en sentral rolle i å forsvare verdens mest digitale folkeslag mot digitale trusler. Med andre ord, prisen ble tildelt landets cyberforsvarere. Virksomhetene som mottar prisen er FSH/Cyberingeniørskolen, Etterretningstjenesten, Kripos NC3, Telenor Norge, Næringslivets Sikkerhetsråd, Politiets sikkerhetstjeneste (PST), NTNU, Nasjonal sikkerhetsmyndighet (NSM), Norsk Senter for Informasjonssikring – NorSIS, CSS og Norwegian Maritime Cyber Resilience Centre (Norma Cyber).

I januar håndterte TSOC 83 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 112 i desember i fjor. I januar ble de fleste kompromitterte maskinene brukt til å utvinne kryptovaluta.

Det var 457 bekreftede DDoS-angrep denne måneden, opp fra 361 i desember i fjor. 128 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.9 Gbps og varte i 16 minutter. Det største angrepet observert i denne perioden var på 269 Gbps og varte i fire timer. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

 
>