Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 8. oktober 2020

Oppsummering av nyhetsbildet innen datasikkerhet for september 2020

Mange kommunalt ansatte i 10 kommuner i Innlandet fikk tilsendt phishing-epost i september. Epostene har tilsynelatende kommet fra kolleger og har inneholdt skadelige vedlegg. Det viste seg snart at det var skadevaren Emotet som stod bak utsendelsen. Denne er svært effektiv, siden den henter ut reelle eposter fra innboksen til ofrene og sender disse inn til bakmennene. Deretter blir det automatisk generert nye eposter som sendes ut for å kompromittere nye ofre. Som oftest blir skadevaren sendt som en makro i et Office-dokument som mottakeren blir lurt til å kjøre.

Et mindre antall stortingsrepresentanter fikk epost-kontoene sine hos Stortinget kompromittert. NSM bistår Stortinget i kartlegging og innføring av mitigerende tiltak. PST sa til NRK at en av hypotesene deres er at en statlig aktør står bak IT-angrepet mot Stortinget. De sier at det er mulig det ikke bare er et digitalt angrep, men at det kan være en del av en etteretningsoperasjon mot Norge. Etter angrepet har NSM (NCSC) kommet med råd om å beskytte Exchange og Office 365 ved å slå av gamle måter å logge seg inn på som ikke støtter multifaktorautentisering (MFA), som ActiveSync. Angrepet sees ikke i sammenheng med angrepet mot kommuner i Innlandet omtalt i forrige avsnitt.

Siden midten av August har det pågått en global kampanje der en eller flere grupperinger truer finansinstitusjoner og ISPer med DDoS-angrep, dersom de ikke får betalt løsepenger. I trussel-epostene gir angriperne seg gjerne ut for å være den kjente APT-gruppen Fancy Bear, mest sannsynlig for å skremme ofrene. For å stoppe angrepene forlanges det løsepenger i form av 10-20 Bitcoins, altså rundt 1-2 millioner kroner. Tidligere har denne typen trusler ofte vært tomme, det har altså ikke kommet noen angrep i etterkant, men i denne omgangen har truslene typisk vært fulgt opp med store angrep. Også bedrifter i Norge har mottatt trusler. Vi anbefaler å ikke betale løsepenger for å prøve å unngå angrep. Sørg for å ha gode rutiner på plass i tilfelle trusler eller angrep.

Shlayer er en type skadevare (adware) som har relativt stor spredning på Mac-maskiner. Malwaren sprer seg ved å gi seg ut for å være en oppdatering til Flash-player. Normalt skal Apples Gatekeeper for OS X stoppe denne typen malware fra å bli installert, men nyere varianter av Shlayer slipper forbi. Nyheten sammenfaller godt med at vi på TSOC har har sett et oppsving i maskiner som har vært infisert av Shlayer i september.

Microsoft bekreftet at aktører fra Kina, Iran og Russland har forsøkt å hacke seg inn på e-postkontoer som tilhører personer som er knyttet til valgkampen i USA. De russiske aktørene retter seg mot Biden-kampanjen og er linket til gruppen Fancy Bear/APT28. Mesteparten av angrepene ble oppdaget og blokkert, ifølge Tom Burt, konserndirektør for kundesikkerhet og tillit hos Microsoft.

USA offentliggjorde at den kinesiske statsstøttede hackergruppen APT41 orkestrerte inntrengninger hos mer enn 100 selskaper over hele verden, alt fra programvareleverandører, videospillfirmaer, telekom-selskaper og mer. Selskapene befinner seg i land som USA, Australia, Brasil, Chile, Hong Kong, India, Indonesia, Japan, Malaysia, Pakistan, Singapore, Sør-Korea, Taiwan, Thailand og Vietnam. Alle de fem APT41-medlemmene er på frifot, og navnene deres er lagt til FBIs Cyber Most Wanted List.

Det første dødsfallet i forbindelse med angrep med løsepengevirus har blitt rapportert. En pasient ble omdirigert til et nærliggende sykehus etter at Düsseldorf universitetssykehus ble rammet av løsepengevirus på mer enn 30 servere. Pasienten, som trengte akutt behandling, døde etter omveien på mer en 30 km.

Apple og Google lanserte en oppdatert versjon av innebygget programvare i iOS og Android for smittesporing. Systemet blir helt innebygd i iOS, mens det i Android trengs en automatisk generert app i tillegg. iOS fikk støtte for systemet i versjon 13.7. Android fikk støtte i slutten av måneden. Systemet skal ikke identifisere enkelt-brukere overfor myndigheter, dersom ikke brukeren selv godkjenner dette. Norske myndigheter har nå besluttet å bruke systemet i den kommende nye versjonen av Smittestopp-appen som skal utvikles fra bunnen av.

I september håndterte TSOC 164 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 175 i august. Fortsatt er det mange klienter som er infisert av skadevarene LNKR og Shlayer.

Det var 443 bekreftede DDoS-angrep denne måneden, opp fra 295 i august. 96 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.80 Gbps og varte gjennomsnittlig i 21 minutter. Det største angrepet observert i denne perioden var på 71.9 Gbps og varte i 10 minutter. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


 
>