Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 5. mars 2021

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2021

 Mandag 22. februar kveld fikk TietoEvry problemer med tjenester som ble levert til 25 av sine kunder. Dette skyldes et løsepengevirus som krypterte flere servere hos bedriften. NSM og Kripos er varslet og bistår selskapet med håndteringen av saken videre. Selskapet har opplyst at det ikke er noe som tyder på at personopplysninger er lekket. Så langt har det heller ikke blitt lekket data ut på det mørke nettet fra angrepet, noe som etter hvert har blitt vanlig ved denne typen angrep.

Nettkriminaliteten øker, men politiet henger ikke med, mener Riksrevisjonen. “– Kriminaliteten har flyttet seg fra gata til data. Det har dessverre ikke politiet”, uttalte riksrevisor Per-Kristian Foss i en pressemelding. I Riksrevisjonens rapport går det fram at politiet mangler oversikt over kriminaliteten som foregår digitalt og også mangler kompetanse og kapasitet til å etterforske den. Det er for lite samordning mellom politidistriktene, og internasjonalt samarbeid er vanskelig. Politidirektoratet og Justis- og beredskapsdepartementet har ikke prioritert dette høyt nok, heter det.

I februar ble det avslørt en skadevare-kampanje mot sårbare Centreon-systemer. Centreon er et fransk firma som produserer programvare for system- og nettverksmonitorering. Frankrikes Cyber-Security enhet knytter kampanjen mot Sandworm, som igjen knyttes til russlands militære etterretning GRU. Kampanjen skal ha pågått i årevis frem til 2020, hvor de første ofrene ble kompromittert allerede i 2017. Sikkerhetseksperter mener at denne kampanjen ikke er et forsyningskjede-angrep, men heller opportunistisk utnyttelse av sårbarheter i eksponerte systemer.

Appen Barcode Scanner av LAVABIRD LTD, som kunne lastes ned fra Google Play, gikk fra å være en legitim scanner-app til å inneholde malware/adware etter siste oppdatering. Appen vil etter oppdateringen åpne nettleseren og en rekke ondsinnede nettsider og annonser. Google Play har fjernet appen, men enheter med appen installert kan fortsatt bli rammet dersom appen har blitt oppdatert. Appen hadde over 10 millioner nedlastinger før den ble fjernet. Saken belyser et økende problem, nemlig at apper og nettleser-tillegg kjøpes opp og fylles med malware. For kriminelle er dette en forholdsvis billig måte å kjøpe seg eksponering mot millioner av brukere.

En sikkerhetsforsker har klart å få kontroll over interne systemer hos over 35 store IT-selskaper, inkludert Microsoft, Apple, PayPal, Netflix, Tesla og Uber, ved å laste opp ondsinnet kode til forskjellige kildekodelager på internett. Forskeren kom seg inn ved å laste opp editerte oppgraderingspakker til programvare med et høyere versjonsnummer, som deretter hentes ned automatisk av systemene hos selskapene. Det er dermed viktig at det blir verifisert hvilke kildelager som er tatt i bruk for henting av programmer hos alle systemer og om det er et internt eller eksternt lager som skal brukes. Dette angrepet er en variant av forsyningskjedeangrep.

Etter etterforskningssamarbeid mellom FBI, CISA, og the Department of Treasury, blir tre nordkoreanske hackere tiltalt for å ha stjålet over 1.2 milliarder dollar fra organisasjoner rundt om i verden. Hackerne skal tilhøre det nordkoreanske Reconnaissance General Bureau (RGB) som gjennom kampanjen "AppleJeus" har utført målrettede angrep mot firmaer som utfører transaksjoner med kryptovaluta og også tradisjonelle finansinstitusjoner.

Politi fra USA, UK, Belgia, Malta og Canada har arrestert 10 personer i USA, Malta og Belgia. Personene er mistenkt for en mengde SIM-swap angrep mot kjendiser, Internett-influensere og innhavere av store mengder krypto-valuta. Ved å ta kontroll over SIM-kortene til ofrene sine, skal da ha fått tak i verdier for over 100 millioner dollar.

Google Project Zero melder om at rundt 25% av 0-dagssvakhetene som ble utnyttet i fjor er nære slektninger av 0-dagssvakheter som ble publisert tidligere. Disse svakhetene mener Project Zero at kunne vært unngått om det ble gjort bedre undersøkelser samt hatt bedre forståelse for hva som faktisk var feilen før man prøvde å fikse 0-dagssvakheten. Oppdateringene som leverandørene gir ut er ofte for spesifikke, og det skal bare en liten endring i angrepskoden til for å få den til å virke igjen.

Med det økende behovet for fjernaksess, øker også trenden for å tilegne seg og videreselge tilgang til nettverk. Firmaet Digital Shadows melder at RDP-tilganger i snitt går for 9765 dollar, og det er ofte ransomware-aktører som kjøper disse tilgangene. RDP og andre tjenester for fjerntilgang bør alltid gjemmes bak en trygg VPN-forbindelse med to-faktor autentisering.

I februar håndterte TSOC 82 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 83 i januar. Fortsatt er det klienter og servere infisert av malware som utvinner kryptovaluta som dominerer hendelsene.

Det var 349 bekreftede DDoS-angrep denne måneden, ned fra 457 i januar. 120 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.44 Gbps og varte i 14 minutter. Det største angrepet observert i denne perioden var på 395 Gbps og varte i 32 minutter. Ti av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Ingen kommentarer:

 
>