Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 3. mars 2020

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2020

Ransomware-varianten som kalles DoppelPaymer eksfiltrerer (sender ut en kopi av) offerets data før de krypteres. De truer så med å selge eller publisere dataene som er blitt eksfiltrert hvis offeret ikke betaler. Gruppen som står bak skadevaren skal ha sagt at de tidligere har solgt data fra kompromitterte systemer når offeret ikke har betalt.

FBI opplyser at de etterforsker over 1000 tilfeller av kinesisk industrispionasje mot amerikanske bedrifter og institusjoner. De kom med opplysningene på en konferanse om kinesisk industrispionasje mot amerikanske teknologibedrifter. Bedriftene blir advart mot spionasje og får råd om hvordan de kan hindre og oppdage virksomheten. Myndighetene sier at aksjonene er beordret direkte fra myndighetene i Kina. Senere i måneden sikter USA kinesiske Huawei for å ha forsøkt å tilegne seg forretningshemmeligheter fra seks ulike amerikanske selskaper. Den nye siktelsen anklager Huawei for å tilby bonuser til ansatte for å stjele forretningshemmeligheter fra konkurrenter.

I februar ble det avslørt 12 svakheter i Bluetooth Low Energy-enheter fra syv forskjellige leverandører. Svakhetene kan bl.a. tillate en angriper å krasje, fryse, re-starte eller få tilgang til å lese/skrive funksjoner i enheten. Enheter som er verifisert til å være sårbare er bl.a. Fitbit Inspire smartwatch, Eve Energy smart plug, August Smart Lock eGee Touch TSA Lock og CubiTag item tracking tag.

Sikkerhetsfirmaet Clearsky har publisert en rapport som omhandler operasjoner utført av den Iranske aktøren kjent som Fox Kitten. Ett av funnene i rapporten er at aktøren prioriterer å utnytte kjente svakheter i forskjellige VPN- og RDP (Remote Desktop)-løsninger så fort de blir kjent. Dette gjøres for å tilegne seg og beholde tilgang til målenes infrastruktur over tid. Svakheter som er identifisert brukt av aktøren ligger blant annet i Pulse Secure, Fortinet FortiOS og Palo Alto Networks VPN.

Amerikanske myndigheter har gått ut med beskyldninger mot den russiske militære etterretningstjenesten GRU etter lang tids etterforskning. I uttalelsen beskyldes GRU for aktivt å forstyrre georgiske private og statlige interesser med angrep som har pågått over lengre tid. Russlands GRU er aktive i flere av de gamle sovjetstatene, og har blitt knyttet til aktivitet fra APT-grupperingen Sandworm. Sandworm har blitt identifisert som hovedaktøren bak bl.a. NotPetya-ormen og Olympic Destroyer skadevaren. NotPetya-ormen ble designet for å ta ned og forstyrre Ukrainske interesser, og den spredte seg globalt på svært kort tid og tok ned nettverket til store selskaper, blant annet Maersk. Olympic Destroyer skapte store forstyrrelser under OL i Pyongyang.

Microsoft har sluppet flere kritiske oppdateringer til Windows og andre produkter i februar. Totalt ga Microsoft ut hele 99 oppdateringer! Av de mest kritiske nevnes en zero-day svakhet i Internet Explorer som kan utnyttes ved hjelp av en spesiallaget nettside (CVE-2020-0674). Denne svakheten ble offentliggjort i januar og har allerede vært aktivt utnyttet i målrettede angrep.

Et system driftet av Defense Information Systems Agency (DISA), som er en del av Department of Defence, har sendt ut varsler til en rekke personer om at personlig informasjon er på avveie. DISA har blant annet ansvaret for sikker kommunikasjon for presidenten, secret service, deler av militæret m.m. DISA har rundt 8000 militære og sivile ansatte, men behandler også data fra flere kontraktører. Det spekuleres i at en nasjonalstat står bak innbruddet.

En nylig avdekket Emotet-variant har muligheten til å spre seg til usikre WiFi-nettverk som ligger i nærheten til en infisert enhet. Den allerede etablerte og utbredte Emotet-skadevaren, har siden tilbakekomsten i september brukt flere nye taktikker for å stjele innloggingsdetaljer og spre trojaneren. Den nye varianten ble oppdaget 23. januar, men selve programfilen har et tidsstempel fra 4/16/2018. Forskere anbefaler å blokkere denne nye Emotet-teknikken ved bruk av sterke passord for å sikre trådløse nettverk slik at de ikke enkelt kan gjettes av skadevaren.

Det rapporteres at en ransomware-type, som blant annet kalles EKANS, har en liste med prosesser den vil forsøke å stoppe. På denne listen står blant annet flere komponenter som brukes i forbindelse med ulike industrielle kontrollsystemer. Dette er den første kjente ransomware-varianten som er delvis rettet mot kontrollsystemer.

En gruppe forskere hos Check Point har avdekket muligheten for å misbruke en sårbar lyspære for å angripe Philips Hue Bridge. Via enda en sårbarhet i Hue Bridge kan så resten av nettverket angripes. Informasjonen ble gitt til leverandøren for 3 måneder siden, og en oppdatering ble utgitt i januar 2020. Sårbarhetene skal allerede ha blitt automatisk patchet på utstyr som er i bruk.

I februar håndterte vi 145 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 204 i januar. Denne måneden har det vært en økning i antall maskiner som har vært infisert av trojaneren Glupteba.

Det var 401 bekreftede DDoS-angrep denne måneden, ned fra 438 i januar. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.47 Gbps og varte typisk i 36 minutter. Det største angrepet observert i denne perioden var på 92.3 Gbps og varte i én time. Åtte av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

 
>