Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 5. februar 2021

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2021

Den kjente sikkerhetsleverandøren Malwarebytes har blitt kompromittert av den samme trusselaktøren som stod bak SolarWinds-angrepet. Amerikanske tjenestemenn kaller aktøren UNC2452 / Dark Halo, og mener at den kan knyttes til russisk etterretning. Malwarebytes opplyser at innbruddet ikke er gjort via SolarWinds supply-chain hendelsen som skjdde tidligere i 2020. Innbruddet ble derimot gjort via en svakhet i et produkt for epost-sikkerhet, som var installert i deres Office 365-instans.Etter en undersøkelse av hendelsen, har Malwarebytes kommet frem til at angriperne kun hadde fått tilgang til ett fåtall av bedriftens interne eposter.

Hackerne som stod bak SolarWinds-innbruddet var i stand til å bryte seg inn i Microsoft Corporation og få tilgang til noe av selskapets kildekode, opplyste Microsoft på nyttårsaften. SolarWinds-saken er blant de mest ambisiøse cyber-operasjonene som noensinne er avslørt, og har kompromittert flere føderale etater og større firmaer. Microsoft opplyser at angriperne ikke har hatt tilgang til å gjøre endringer i kildekoden. Å lese kildekoden skal heller ikke gjøre det enklere å oppdage svakheter, i henhold til Microsoft.

En gruppe bestående av FBI, CISA, ODNI og NSA kalt Cyber Unified Coordination Group (UCG) jobber med å undersøke og håndtere angrepet gjennomført ved hjelp av SolarWinds Orion. De la i januar fram en pressemelding om arbeidet så langt. Her kunne de opplyse at over 18.000 kunder av SolarWindows fikk bakdøren installert, men kun et titall av disse ble utsatt for videre angrep. Gruppen mener også at det trolig er en russisk APT som står bak, hvor formålet er etterretning.

Natt til 9. januar ble det gjennomført et løsepengevirus-angrep mot Østre Toten kommune. Angriperne har ifølge kommunen kommet seg bak brannmuren og slettet sikkerhetskopier, og deretter kryptert alle datasystemer de har fått tilgang til. Kommunen måtte i flere dager delvis gå over til manuelle rutiner. Oppbygging av systemene har i ettertid tatt flere uker. Det er så langt ukjent hvordan angriperne fikk tilgang til det interne nettverket til kommunen.

Mandag 11. januar meldte også oppdrettsleverandøren Akva Group at de hadde mottatt krav om  løsepenger etter et dataangrep. Angrepet satte deler av deres systemer ut av spill. Teknologiselskapet leverer utstyr og tjenester til oppdrettsnæringen, og omsetter for rundt tre milliarder kroner i året.

Ciaran Martin, som var sjef for National Cyber Security Centre i UK til august i fjor, mener at ransomware-angrep er i ferd med å komme ut av kontroll. Han mener at forsikringsselskapene bidrar til problemet, siden det enkleste og billigste for firmaer med forsikring ofte er å betale løsepengene.

Googles trusselanalysegruppe (TAG) publiserte en blogg-post hvor de informerer om at det har blitt identifisert en pågående kampanje mot sikkerhetsforskere som jobber med sårbarhetsforskning og utvikling hos forskjellige selskaper. Angriperne bruker flere sosiale medieplattformer og epost til å levere ondsinnet kode og bakdører til spesifikke personer. Angriperne har blant annet satt opp et nettsted med reelle artikler om relevante svakheter som ble brukt til vannhullsangrep. Angrepskode på denne bloggen skal ha kompromittert fullt patchede Chrome-nettlesere. I andre tilfeller fikk ofrene oversendt Visual Studio-prosjekter med bakdører. Det antas at myndighetene i Nord-Korea står bak og at målet er å samle inn informasjon om nye svakheter for å bruke dem i videre operasjoner.

Selskapet Mimecast, som lager sikkerhetsprodukter for epost, sier i en uttalelse at de har vært utsatt for en avansert trusselaktør som har klart å kompromittere sertifikatene som benyttes for å kryptere kommunikasjonen mellom selskapets produkter og Microsoft sine skytjenester. Mimecast ble varslet om forholdet av Microsoft. Uavhengige sikkerhetseksperter spekulerer i om dette angrepet kan ha blitt utført av samme trusselaktør som stod bak angrepet mot SolarWinds. Angrepet kan ha gjort det mulig å lese eposter og andre data i kundenes Microsoft 365-kontoer.

Sønstebyprisen er en pris som tildeles de som i krigshelt Gunnar Sønsteby sin ånd, forsvarer demokratiske verdier i Norge. I år gikk prisen til en rekke organisasjoner som har en sentral rolle i å forsvare verdens mest digitale folkeslag mot digitale trusler. Med andre ord, prisen ble tildelt landets cyberforsvarere. Virksomhetene som mottar prisen er FSH/Cyberingeniørskolen, Etterretningstjenesten, Kripos NC3, Telenor Norge, Næringslivets Sikkerhetsråd, Politiets sikkerhetstjeneste (PST), NTNU, Nasjonal sikkerhetsmyndighet (NSM), Norsk Senter for Informasjonssikring – NorSIS, CSS og Norwegian Maritime Cyber Resilience Centre (Norma Cyber).

I januar håndterte TSOC 83 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 112 i desember i fjor. I januar ble de fleste kompromitterte maskinene brukt til å utvinne kryptovaluta.

Det var 457 bekreftede DDoS-angrep denne måneden, opp fra 361 i desember i fjor. 128 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.9 Gbps og varte i 16 minutter. Det største angrepet observert i denne perioden var på 269 Gbps og varte i fire timer. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Ingen kommentarer:

 
>