Oppsummering av nyhetsbildet innen datasikkerhet for mai 2020

Norske Norfund ble svindlet for 100 millioner kroner. Angriperne fikk først kontroll over kontoer eid av Norfund og brukte disse til å overvåke kommunikasjonen med eksterne lånemottakere. Det ble satt opp egne domener for å gjøre svindelen vanskeligere å oppdage. Ved å manipulere og forfalske informasjon mellom Norfund og lånemottakere, klarte svindlerne å få overført 100 millioner til deres konto. Det tok rundt seks uker fra svindelen ble gjennomført før den ble oppdaget. Politiet mener det er lite sannsynlig at de kommer til å få pengene tilbake.

Helseselskapet Fresenius, som har over 300 000 ansatte i over 100 land og som er Europas største driver av private sykehus, har blitt rammet av ransomwaren Snake. Selskapet klarte å fortsette operativ drift, men uttalte at ransomwaren påvirket alle deler av selskapet verden over. Dette angrepet er en del av en større bølge angrep utført av Snake i det siste.

Sikkerhetsforskere fra Check Point har funnet en ny variant av malwaren Cerberus som har blitt brukt i et angrep mot et stort multinasjonalt selskap. Malwaren ble spredd innad i selskapet via Mobile Device Manager (MDM) serveren og har infisert over 75% av enhetene i selskapet. Når den ondsinnede programvaren er installert kan den samle store mengder sensitive data fra bedriftens mobiler og sende disse til en server kontrollert av angriperne.

SaltStack patchet denne måneden en kritisk svakhet i Salt. Salt er et open-source remote-management-rammeverk som er mye brukt i datasentre og cloud-systemer. Sårbarhetene gjør at angripere kan forbigå all autentisering for så å kjøre vilkårlig kode på systemet. NSM NCSC opplyste at de var kjent med aktiv utnyttelse av sårbarhetene Norge. Svakhetene ble fikset i Salt 2019.2.4 og 3000.2.

Apple og Google samarbeider om å utvikle et felles system (API) som myndigheter kan benytte seg av for å spore smitte mellom nærkontakter. Systemet skal kun bruke blåtann til sporing og skal være anonymt, helt til smitte eventuelt påvises hos en person. Nå kommer det fram at apper som vil bruke det nye systemet ikke kan bruke nøyaktig posisjonssporing samtidig. Dette er for å beskytte personvernet til brukerne. En av appene som samler inn begge disse typene data i dag er norske Smittestopp.

NRK publiserte en serie artikler om hvordan apper samler inn posisjonsdata uten at brukeren er klar over det og selger dataene til tredjeparter. NRK kunne for eksempel kjøpe detaljerte posisjonsdata til tusenvis av mobiltelefoner i Norge. Ved hjelp av de detaljerte dataene kunne de for eksempel identifisere og følge bevegelsene til politikere og forsvarspersonell. For å motvirke dette bør en kun bruke apper fra kjente leverandører, avinstaller apper en ikke bruker og ikke gi appene tilgang til posisjonen til mobilen uten at det er strengt nødvendig for tjenesten som appen tilbyr.

Grupperingen bak ransomwaren "Ragnar Locker" benytter seg av en ny metode for å kunne kjøre ransomware uhindret. De laster ned og installerer virtuelle maskiner på kompromitterte systemer, kjører ransomware i den virtuelle maskinen for å deretter å kryptere alle diskene som er tilkoblet systemet. Prosesser som kjører i virtuelle-maskiner er utenfor rekkevidde for sikkerhetsprogramvare på host-systemet, så ransomwareprosessen kan kjøre helt uhindret.

Zerodium, som driver med kjøpe og salg av svakheter for flere plattformer, sier at de midlertidig vil slutte å ta imot flere typer svakheter for iOS siden de nå har nok av dem. Spesifikt vil de slutte å ta imot svakheter som går på rettighetseskalering i iOS, fjerneksekvering i nettleseren Safari, og verktøy for å bryte ut av virtuelle miljøer. I mai ble det også offentliggjort en ny jailbreak-svakhet for iOS som gjør det mulig for brukeren eller en angriper å ta full kontroll over telefonen. Denne svakheten fungerte mot alle versjoner av iOS.

En nylig avdekket Android spionvare, forkledd bl.a. som en kryptovaluta-lommebok samt en rekke andre tilsynelatende legitime apper, har ligget uoppdaget på Google Play i fire år. Skadevaren, kalt Mandrake, lot operatøren se alt som brukeren foretar seg på den infiserte enheten. Bitdefender opplyser at personene bak malwaren kommer fra Russia eller Kazakhstan. Operatørene har trolig brukt sosial manipulasjon for å få ofrene til å installere appene.

Videokonferanse firmaet Zoom har vært mye i vinden i det siste med tanke på sikkerheten i applikasjonen og personvern. De har nå kjøpt opp det lille sikkerhetsfirmaet Keybase, som spesialiserer seg på kryptering. Planen er nå å forbedre sikkerhetsarkitekturen ved å implementere ende-til-ende kryptering. I stedet for at Zooms servere skal håndtere krypteringen, vil det nå ligge hos klienten som vil bestemme hvem som kan motta nøkkelen.

I mai håndterte TSOC 44 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 51 i april.

Det var 970 bekreftede DDoS-angrep denne måneden, opp fra 563 i april. 136 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.33 Gbps og varte typisk i 25 minutter. Det største angrepet observert i denne perioden var på 54.5 Gbps og varte i 12 minutter. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden.