Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 9. april 2021

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2021

Den store nyheten denne måneden var kompromitteringen av titusenvis av Exchange-servere over hele verden. Microsoft meldte 2. mars om at avanserte angripere brukte fire nye og til da ukjente svakheter til å kompromittere Exchange-servere som var eksponert mot Internet. Exchange-tjenester hostet hos Microsoft var ikke rammet. Angrepene startet egentlig så tidlig som 6. januar og i begynnelsen var det den kinesiske APT-gruppen Hafnium som stod bak angrepene, som for det meste rammet mål i USA. Det er trolig spionasje som var formålet med operasjonen. Microsoft ga raskt ut patcher for svakhetene som ble utnyttet, men i de påfølgende dagene fikk flere trusselaktører tak i verktøyene for å utnytte svakhetene. Exchange-servere som ikke hadde blitt patchet ble kompromittert og disse ble brukt som brohode inn i mange bedrifter for å stjele data, installere programvare for å utvinne kryptovaluta eller å ta ned hele bedriften ved hjelp av ransomware.

I forbindelse med angrepet mot Exchange-serverne ble Stortinget kompromittert for andre gang i løpet av få måneder. Angrepet er under etterforskning og det er bekreftet at data fra eposter har blitt hentet ut. Etter at angrepet ble kjent gikk Stortinget ut og opplyste om at alle sikringstiltakene som ble vedtatt gjennomført etter det forrige angrepet nå har blitt gjennomført.

Google har oppdaget en hackergruppe som har utnyttet minst 11 forskjellige 0-dagssvakheter i deres ni måneder lange operasjon som ble gjennomført i 2020. Operasjonen har blitt omtalt tidligere, men Google slipper nå flere detaljer. Ofrene ble lurt inn på spesielt utformede nettsider og både Android, iOS og Windows brukere ble utnyttet. Svakhetene ble utnyttet etter hverandre, slik at angriperne til slutt kunne få tilgang til det underliggende operativsystemet, med permanent tilgang til enheten. Etter hvert ble det klart at operasjonen var en del av en vestlig stats anti-terror operasjon. Det har i etterkant vært diskusjoner om det er riktig å ta ned denne typen operasjoner eller ikke.

Sikkerhetsfirmaet Qualys har blitt frastjålet data via et vellykket angrep mot sine Accellion FTA-servere. Dette var del av en større kampanje som startet i desember 2020. I mars slapp Clop ransomware-gjengen skjermdumper som viser at de har fått tak i filer som tilhører Qualys. Dette inkluderer bestillinger, fakturaer, skatte-dokumentasjon og rapporter fra skanninger.

OVH er et hosting-selskap som tilbyr kapasitet i datasentre på forskjellige steder. Natt til 10. mars begynte deres datasenter SBG2 å brenne. SBG1, 2, 3 og 4 ble også stengt ned som følge av brannen. SBG2 ble helt ødelagt etter brannen og OVH ber kundene om å følge sine kriseplaner. Brannen viser hvor viktig det er å ha kopi av sine data på flere fysiske steder.

I desember ble Hurtigruten utsatt for et datainnbrudd. Det er nå funnet at personlige opplysninger om ansatte er på avveie på det mørke nettet, blant annet fødselsnumre og sykemeldinger. Ransomware-gjenger slipper gjerne slike opplysninger på det mørke nettet for å tvinge bedrifter til å betale. Senere i måneden ble også data fra angrepet mot Østre Toten kommune gjort tilgjengelig på det mørke nettet.

Oppdrettsleverandøren Akva Group ble rammet av et løsepengevirus i januar 2021. Selskapet anslår at de direkte kostnadene som følge av angrepet vil havne et sted mellom 40 og 50 millioner kroner. Da systemene ble rammet ble også alle sikkerhetskopier kryptert. Akva Group har ikke kommet med noen uttalelse om de har betalt løsepenger for å dekryptere filene. De melder at ingen data har gått tapt som følge av angrepet.

Telenor har lansert et nytt system for å redusere telefonsvindel. Systemet vil avdekke om mobilen med nummeret det ringes fra, er en mobil som faktisk befinner seg i Norge. Dersom den gjør det, men oppringingen skjer fra utlandet, vil det flagges som svindelforsøk og vises for mottaker som skjult nummer. Dette vil gjøre det lettere å identifisere svindel for mottakeren og spoofede nummer som benyttes til svindel vil ikke bli utsatt for store mengder anrop.

I mars håndterte TSOC 140 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 82 i januar. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 415 bekreftede DDoS-angrep denne måneden, ned fra 349 i februar. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.1 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 32.2 Gbps og varte i 8 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

 
>