Mandag 12. oktober 2020 ble Telenor rammet av et betydelig tjenestenektangrep. Angrepet varte i ca. to timer. Noen av tjenestene til Telenor var ustabile eller utilgjengelige i litt under én time. Angrepet rammet ikke Telenors kjernetjenester; alle telefonsamtaler, mobildata, sms og bredbåndsforbindelser fungerte som normalt. Kort tid etter angrepet ble det oppdaget et trusselbrev som informerte Telenor om at dette kun var en forsmak på hva som kunne komme, dersom Telenor ikke betalte rundt 2,5 millioner kroner i løsepenger til angriperne. De siste månedene har flere virksomheter over hele verden blitt utsatt for ransom-DDoS-angrep (rDDoS), der det blir stilt krav om å utbetale løsepenger for å ikke å fortsette angrepene. Målet for angrepet var Telenors autorative DNS-tjenere, var på litt over 400Gbps og bestod av reflektert UDP-trafikk. Angrepstrafikken ble sendt fra feilkonfigurerte servere over hele verden. Telenor betalte selvfølgelig ikke løsepengene og har så langt ikke sett noen nye angrep.
Stortinget varslet om et datainnbrudd i deres e-postsystemer den 24.august 2020. I oktober opplyste regjeringen at det var Russland som stod bak aktiviteten. Det er så langt ikke lagt fram noen beviser, noe som heller ikke er vanlig i slike tilfeller. Dette er første gang Norge går ut med en slik attribusjon etter et dataangrep. Den russiske ambassaden svarte med at beskyldningene var uakseptable og at dette var en alvorlig og bevisst provokasjon fra Norges side.
NKom har lagt fram risikovurdering for ekom-sektoren for 2020. NKom vurderer tilliten til ekomtjenester i Norge som høy. Da Norge stengte ned i mars på grunn av Covid-19, ble det tatt i bruk digitale løsninger. Norge regnes som en av de beste i europa på digitalisering. Elektronisk kommunikasjon er et viktig virkemiddel for etterretnings- og trusselaktivitet i og mot Norge. I årene fremover er det viktig å sikre at Norge har en underliggende kapasitet, funksjonalitet og samtrafikk på internett som sikrer oss også i ekstraordinære situasjoner.
Både US Cyber Command og Microsoft har jobbet med å forstyrre Trickbot-botnettet i oktober. Trickbot er et kjent botnett som brukes både til å stjele sensitiv informasjon, stjele penger, installere løsepengevirus osv. Tilgang til de infiserte maskinene i botnettet blir ofte solgt videre. US Cyber Command sendte falske konfigurasjonsfiler til infiserte maskiner, noe som førte til at de ikke klarte å kontakte sine kontroll-servere. Microsoft fikk en amerikansk domstol til å gi dem kontroll over flere servere som var i bruk av nettverket. Microsoft har også tatt direkte kontakt med ISPer over hele verden for å få dem til å ta ned kontroll-servere. Antall kontrollerte maskiner i botnettet gikk kraftig ned etter aksjonene, men har dessverre økt igjen siden.
Datasystemet til selskapet Vastaamo, et psykoterapisenter med 20 lokasjoner i Finland, ble utsatt for datainnbrudd i 2018 og 2019. Ledelsen i selskapet ble forsøkt presset til å betale 40 Bitcoin for at utpresseren ikke skulle publisere pasientjournalene. Etter at kravet ble avvist, begynte utpresseren å publisere journaler på det mørke nettet samt gjøre utpressing mot enkeltpasienter, blant dem er parlamentarikeren Eeva-Johanna Eloranta.
Det svenske firmaet Gunnebo ble utsatt for datainnbrudd i august. Totalt ble 19 gigabyte med informasjon stjålet. Blant innholdet var plantegninger av bygg, dokumentasjon av alarmsystemer og plasseringer av kamera og annet overvåkingsutstyr. Flere banker og Riksdagen er blant kundene som har fått sine data lekket.
Det amerikanske justisdepartementet kunngjorde i oktober en tiltale mot seks russiske GRU-offiserer som er siktet for å ha deltatt i en rekke operasjoner for å angripe andre lands infrastruktur, valg og andre handlinger designet for å fremme Russlands interesser. I tiltalen er blant annet følgende innbrudd nevnt: Regjering/infrastruktur i Ukraina, valg i frankrike, Notpetya og etterforskningen etter Novichok-angrepene i 2018.
I september ble en bedrift rammet av Ryuk ransomware og fikk nettverket kryptert på kun 29 timer. Angrepet begynte via en e-post som inneholdt en malware-loader kjent som Bazar. Etter å ha brukt en mengde metoder for å undersøke det interne nettverket, satte Ryuk-gruppen i gang med å ta over en domenekontroller og spre seg i nettverket. 29 timer etter initiell infeksjon, ble kryptering av infiserte klienter og servere startet. Gruppen forlangte deretter 600 Bitcoin i betaling. FBI anslår at Ryuk-gruppen har mottatt over 61 millioner dollar i løsepengeutbetalinger fram til og med februar i år.
Det amerikanske finansdepartementet har lagt ut et dokument som advarer mot at betaling av løsepenger etter angrep av løsepengevirus, kan føre til at en bryter amerikanske sanksjoner mot land eller firmaer. Ofte vet ikke firmaene som betaler hvor pengene ender opp. Dersom en kommer i skade for å bryte sanksjonene, kan dette føre til reaksjoner fra USA. Dette er altså enda et argument for ikke å betale løsepenger til kriminelle etter dataangrep.
I oktober håndterte TSOC 146 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 164 i august. Fortsatt er det mange klienter som er infisert av skadevaren Shlayer. En del maskiner blir også kompromittert og brukt til å utvinne kryptovaluta.
Det var 543 bekreftede DDoS-angrep denne måneden, opp fra 443 i september. 144 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.27 Gbps og varte gjennomsnittlig i 21 minutter. Det største angrepet observert i denne perioden var på 411 Gbps og varte i omtrent to timer. Dette var angrepet mot Telenors DNS-tjenere som har blitt omtalt i media. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Ingen kommentarer:
Legg inn en kommentar