Oppsummering av nyhetsbildet innen datasikkerhet for desember 2019

Byen Pensacola i delstaten Florida ble i løpet av den første helgen i desember rammet av et cyberangrep. Flere delstater har nylig blitt offer for diverse ransomware-angrep, men borgermesteren i Pensacola ønsker ikke å uttale seg om de har mottatt noe løsepengekrav. IT-avdelingen i byen så seg nødt til å koble ut en rekke systemer etter angrepet, noe som gjorde at blant annet e-post ikke var tilgjengelig. Pensacola ble rammet av ransomware-varianten Maze, som også laster opp data til angriperne før krypteringen av dataene blir gjennomført. I slutten av måneden lastet angriperne opp 2GB med data fra kommunen som bevis for at angrepet hadde vært vellykket. Totalt skal 32GB med data ha blitt stjålet.

Maze er en form for ransomware som nylig har vært brukt i flere cyberangrep. Nå har en av aktørene bak angrepene opprettet en nettside hvor de oppgir navnet på flere bedrifter som angivelig har blitt rammet, men som har nektet å betale løsepenger. Angriperne opplyser at dersom bedriftene ikke samarbeider, kommer de til å lekke informasjonen som de hentet ut før de krypterte innholdet. KrebsOnSecurity har verifisert at minst ett av selskapene som står oppført på nettsiden, nylig har vært offer for et Maze ransomware-angrep. Sikkerhetseksperter sier at aktører i lang tid har kommet med denne typen trusler, men at de aldri faktisk har publisert informasjonen. Dersom informasjonen skulle publiseres, blir selskaper fremover nødt til å behandle ransomware-angrep på lik linje som andre former for data-lekkasje.

Forsvarsdepartementet i USA utgir nå en dusør på 5 millioner amerikanske dollar for informasjon som kan lede til arrestasjon av Maksim Yakubets. Yakubets, som er den antatte lederen bak Evil Corp, skal ha vært med å spre bank-trojaneren Dridex. De to personene som står bak spredningen av trojaneren skal ha stjålet over 100 millioner amerikanske dollar i løpet av en 10-års periode. Det antas også at Yakubets står bak Zeus-trojaneren som brle brukt til å stjele til sammen 70 millioner amerikanske dollar.

Informasjon om over 15 millioner individer har blitt eksponert som følge av et ransomware angrep mot LifeLabs, Canadas største medisinske lab. LifeLabs sier i en uttalelse til sine kunder at blant annet navn, adresser, e-post, fødselsdato, brukernavn, passord og test-resultater har kommet på avveie. Firmaet opplyser ikke hvor mye de var nødt til å betale eller hvem som mottok betalingen.

Facebook og Twitter har deaktivert hundrevis av falske profiler som la ut positive meldinger om Trump og skjulte sporene sine med AI-genererte bilder slik at de ble unike og vanskelige å avsløre. Profilene som teknologi-gigantene tok ned tilhørte BL, som er en mediabedrift i USA som jobber for at Trump skal bli gjenvalgt til President.

RuNet har gjennomført vellykkede tester med deres lands-lokale internett. Russland har i lengre tid jobbet med å gjøre deres innenlands-nett uavhengig av resten av Internet. Dette skal hjelpe de russiske myndighetene med å ha kontroll over hva deres borgere gjør på Internet og gjøre det enkelt å koble RuNet fra resten av Internet.

BMW oppdaget våren 2019 at deres nettverk var kompromittert ved at Cobalt Strike ble funnet på en intern datamaskin. BMW lot angriperen være aktiv en stund etter de ble oppdaget for å prøve å få innblikk i hvem de var, deres mål, og hva de hadde fått tilgang til. BMW tror at målet var bedriftshemmeligheter, og at de trolig ikke fikk tak i det de ville ha. Gruppen OceanLotus mistenkes for å stå bak innbruddet og settes i sammenheng med Vietnam. Hyundai og Toyota skal også ha vært utsatt for innbrudd fra den samme grupperingen tidligere.

Reddit opplyste at de mistenker at Russland står bak en lekkasje av dokumenter via Reddit-plattformen i forbindelse med Brexit-forhandlingene. De har bannlyst 61 kontoer de mistenker står bak aksjonen. Lekkasjen skal være gjort som et ledd i politisk påvirkning i UK.

En ny svakhet som har fått navnet Plundervolt, gjør det mulig å få tilgang til data som ligger lagret i Intel Software Guard eXtensions (SGX) ved å regulere spenningen og frekvensen på prosessorer. Intel SGX benyttes til å lagre data som skal være utilgjengelig for andre applikasjoner som kjører på operativsystemet. Intel har gitt ut Microcode og BIOS-oppdateringer som gjør det mulig å deaktivere spenning- og frekvensregulering. Plundervolt krever fysisk tilgang til maskinen for å kunne utnyttes.

I desember håndterte vi 261 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 204 i november. Denne måneden er det igjen forskjellige ondsinnede utvidelser til Chrome-nettleseren samt graving etter kryptovaluta som dominerer hendelsene.

Det var 367 bekreftede DDoS-angrep denne måneden, ned fra 388 i november. 150 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.62 Gbps og varte typisk i 24 minutter. Det største angrepet observert i denne perioden var på 37.8 Gbps og varte i 16 minutter. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden.