Denne måneden bestemte EU seg for å innføre sanksjoner mot individer som var ansvarlige for eller involvert i forskjellige cyber-angrep. Dette gjelder angrepene mot OPCW (Organisation for the Prohibition of Chemical Weapons), samt NotPetya og Wannacry-angrepene. Personene og organisasjonene som rammes kommer fra Russland, Kina og Nord-Korea. Sanksjonene medfører reiseforbud og frysing av eiendeler.
I starten av august la Cyberkriminelle ut en liste med data fra hackede Pulse Secure VPN-servere. Listen inneholdt 900 passord, brukernavn, IP-adresser, SSH nøkler, admin-brukere og sesjonsnøkler i klartekst. Alle serverne i listen kjørte gammel programvare som ikke var beskyttet mot en svakhet som ble offentliggjort i 2019. Pulse Secure VPN servere brukes ofte for fjern-tilkobling av ansatte, dermed vil en angriper få full tilgang til organisasjonens nettverk dersom en VPN-server blir kompromittert.
Femte august sendte Norges Handelshøyskole (NHH) ut en melding om at de var rammet av et datainnbrudd, og ba alle ansatte om å bytte passord. Innbruddet skjedde gjennom en sårbar Pulse VPN-server som omtalt over. Skolen ble klar over innbruddet ved at det ble sendt ut en melding med informasjon om saken fra en ansatt sin epost-konto. Den ansatte hadde imidlertid blitt hacket og hadde ikke selv sendt noen epost. Brukernavn og passord til over 300 studenter og ansatte er på avveie.
22. august ble det avdekket av Sykehuspartner HF at en hittil ukjent trusselaktør hadde gjennomført et angrep mot enkelte tjenester som er eksponert mot internett. Tjenestene driftes av Sykehuset Innlandet HF. Det antas at trusselaktøren benyttet seg av SQL-injection for å få tilgang, og kan ha hentet ut personsensitiv informasjon fra disse tjenestene. Sykehuset Innlandet har satt i gang flere tiltak for å begrense skadeomfanget og har isolert og tatt ned de berørte tjenestene.
HTTPS-trafikk som bruker TLS versjon 1.3 og ESNI (Encrypted Server Name Indication) har siden slutten av juli blitt blokkert i Kinas brannmur mot resten av Internet. Den siste versjonen av TLS åpner for at domenet som nettleseren besøker blir kryptert. I noen tilfeller kan også det ukrypterte domenenavnet være noe helt annet enn det kryperte navnet. Dette kan oppnås ved å bruke en ny teknikk kalt Domain Hiding.
Etter Twitter-innbruddet i juli har flere selskaper blitt rammet av samme angrepsteknikk som ble benyttet mot selskapet, nemlig vanlige telefonsamtaler der intern informasjon blir lurt ut av ansatte. Selskapet ZeroFox melder at det tilsynelatende stort sett er yngre personer, uten tilknytning til organiserte kriminelle grupper, som står bak angrepene. Disse selger tilgangen de oppnår til større firmaer videre til høystbydende. Angriperne ringer i noen tilfeller til hundrevis av ansatte for å prøve å lure ut intern informasjon og få tilgang.
I august håndterte TSOC 175 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 33 i juli. Oppsvinget skyldtes blant annet mange Mac-maskiner som har vært infisert av skadevaren “Shlayer”, som normalt ikke er veldig alvorlig, men viser og bytter ut annonser på nettsider. Det har også vært en del Android-mobiler som har hatt malware/adware installert. En del PCer har vært infisert og har blitt brukt til å utvinne kryptovaluta. Mange nettlesere har også vært infisert med nettleserutvidelsen LNKR.
Det var 295 bekreftede DDoS-angrep denne måneden, opp fra 282 i juli. 65 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.59 Gbps og varte typisk i 17 minutter. Det største angrepet observert i denne perioden var på 65.9 Gbps og varte i 15 minutter. Fire av TSOCs bedriftskunder med DDoS-beskyttelse ble utsatt for angrep denne måneden.
Ingen kommentarer:
Legg inn en kommentar