Oppsummering av nyhetsbildet innen datasikkerhet for juni 2020

Det norske verftet Vard ble rammet av ransomware natt til andre pinsedag. Det norske verftets italienske morselskap, Fincantieri, har bekreftet til Bloomberg at det har skjedd et hackerangrep på det norske selskapet, som blant annet har E-tjenesten på kundelisten.

En av verdens største bilprodusenter Honda, ble også rammet av ransomware, i dette tilfellet varianten "Snake". Dette førte til en nesten komplett stans av Hondas globale operasjoner. Honda informerte på Twitter at både kundeservice og finansielle tjenester var nede på grunn av angrepet. Mye av produksjonen gikk ned mandag 8. juni, men konsernet var nesten tilbake til normal produksjon mot slutten av uka.

En ransomware-gruppe kalt REvil har annonsert auksjon av data fra et offer av gruppen. Auksjonen er etter sigende resultat av at offeret ikke var villige til å betale gruppen. Dataene som auksjoneres bort skal tilhøre et kanadisk selskap, og det er snakk om over 22000 filer og 3 databaser som er lagt ut for salg. Auksjon av eksfiltrerte data er ventet å bli en ny trend blant grupperinger som driver med utpressing av firmaer ved hjelp av ransomware.

Twitter slettet i juni 32 000 kontoer som de har linket til propaganda fra Kina, Russland og Tyrkia. Kina stod bak mesteparten av de falske kontoene. Twitter skriver at disse 32 000 kontoene har blitt "boostet" av over 150 000 andre bot-kontoer i et forsøk på å spre feilinformasjonen mest mulig.

19 sårbarheter er avdekket i et utbredt bibliotek brukt i IoT-enheter. Biblioteket implementerer en lettvekts TCP/IP-stack. Sårbarhetene går under navnet Ripple20, og fire av sårbarhetene har blitt tildelt særlig høy CVSSv3-score av Homeland Security: CVE-2020-11896, -11897, -11898 og -11899. Flere av sårbarhetene kan potensielt brukes til å ta kontroll over sårbare enheter via nettverket. Blant rammet utstyr kan det være smart-hjem enheter, utstyr for kontroll av kraft og industri, helsesystemer, printere, routere osv. Foreløpig har US CERT listet opp 46 leverandører som er rammet av svakhetene.

FHI stoppet 15. juni midlertidig å samle data fra appen Smittestopp og slettet data allerede samlet inn, etter at de fikk advarsel og forbud fra Datatilsynet. Tilsynet ser på innsamlingen av data som mer inngripende enn det som er nødvendig. FHI har fram til 23. juli på å gjøre nødvendige endringer i hvordan de samler inn data.

Første juni ble Universitetet i California angrepet av Netwalker-gjengen, som er kjent for løsepengevirus-angrep mot flere universiteter. Angrepet førte til at universitetet i California betalte 1,14 millioner dollar for å dekryptere filene sine. Dette ble avslørt av BBC, som fikk tilgang til kommunikasjonen mellom utpresserne og universitetet.

Siste uken i juni ble det offentliggjort detaljer rundt to nye rekordstore DDoS-angrep. Det ene angrepet ble fanget opp av AWS Shield og var på 2.3Tbps. Akamai registrerte også et angrep rettet mot en europeisk bank på 809 millioner pakker per sekund. Det er fortsatt lett å finne tjenester for å forsterke angrepene og botnettene som brukes for å generere dem øker også i størrelse.

En ny APT-kampanje stjeler informasjon fra utenlandske selskaper som operer i Kina. Malwaren Goldenspy ble oppdaget ved at en britisk bedrift sin betalingsløsning for en kinesisk bank skal ha blitt kompromittert. Selskapet Trustwave, som oppdaget APT-kampanjen, sier at de som står bak ikke er ute etter finansiell vekst men heller målrettet informasjonsinnhenting. Trustwave fant også ut at bakdøren angriperne brukte, var integrert i den kinesiske skatteapplikasjonen de var nødt til å bruke, for å gjøre handel med Kina.

Sign in With Apple er en funksjon som lar brukere logge på tredjepartstjenester ved hjelp av en AppleID. En bug i funksjonen gjorde at man kunne hente ut en brukers e-postadresse og deretter bruke denne for å oppnå gyldig login-respons fra Apple sine servere. Dette kunne lede til at en angriper kunne få full kontroll over en konto. Apple ble informert om feilen og har utbedret problemet. Apple slapp også iOS versjon 13.5.1 i juni for å stoppe jailbreak-exploiten kalt “Unc0ver”.

I juni håndterte TSOC 69 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 44 i mai.

Det var 428 bekreftede DDoS-angrep denne måneden, ned fra 970 i mai. 65 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.82 Gbps og varte typisk i 24 minutter. Det største angrepet observert i denne perioden var på 49 Gbps og varte i 8 minutter. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.