Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 7. mai 2021

Oppsummering av nyhetsbildet innen datasikkerhet for april 2021

Den nylig opprettede Ransomware Task Force (RTF) er organisert av “Institute for Security and Technology” i samarbeid med representanter fra teknologi- og sikkerhetsbedrifter, regjeringer, politi og internasjonale organisasjoner. Ransomware-bølgen har etter hvert økt i omfang til å bli en fare for samfunnet, med flere eksempler på ødeleggende angrep mot sykehus, kommuner, politi og offentlig infrastruktur. RTF mener at det må et internasjonalt samarbeid til for å stoppe bølgen. De har akkurat gitt ut sin første rapport med anbefalinger. Disse går blant annet ut på å få politiet til å prioritere denne typen saker, pålegge organisasjoner å informere myndighetene om betalinger av løsepenger og å få kryptobørser til å vite hvem kundene er og overvåke transaksjoner.

Bedriften ClickStudios la ut en melding om at de hadde vært utsatt for et sikkerhetsbrudd mellom 20. og 22. april. Bedriften lager et produkt kalt Passwordstate, som brukes av større organisasjoner for å holde orden på passord og automatisere innlogginger. Denne programvaren ble kompromittert og en bakdør ble lagt inn. Versjonen av Passwordstate med bakdøren var tilgjengelig for nedlasting i 28 timer. Clickstudios har sluppet informasjon om hvordan en kan sjekke om den kompromitterte utgaven av Passwordstate er installert.

Noen av de store løsepengegruppene har begynt å presse bedrifter til å betale løsepenger ved å sende eposter direkte til både kunder og partnere av offeret. I epostene står det at sensitive data om dem som kunder/brukere vil bli lekket, dersom offeret ikke betaler. Mottakerne oppfordres videre til å legge press på offeret for å ordne betaling.

Den store nyheten i mars var Exchange-svakheten “ProxyLogon” som ble benyttet til å plassere bakdører på servere over hele verden. FBI i USA benyttet denne måneden den samme Exchange-bakdøren til å slette den opprinnelige bakdøren som ble lagt inn. Eierne av serverne som ble berørt ble ikke kontaktet først og det diskuteres i sikkerhetsmiljøet om dette var en lovlig og etisk  teknikk eller ikke.

NSA, FBI og Cybersecurity and Information Security Agency sier at  Russland stod bak supply-chain angrepet mot Solarwinds. Angrepet førte til at en bakdør ble sendt ut til over 18 000 kunder via oppdateringer. USA har nå lagt sanksjoner mot Russland og seks russiske selskaper som støttet Russland i å utføre dette angrepet. Amerikanske myndigheter advarer videre om at russisk etterretning fortsetter angrepene sine ved å utnytte kjente sårbarheter i populære produkter fra leverandører som Fortinet, Pulse Secure, Citrix og VMWare.

I april ble det meldt om en kritisk svakhet i Pulse Secure VPN-enheter som lar angripere omgå autentisering. Svakheten er svært enkel å utnytte og FireEye meldte raskt at flere trusselaktører allerede utnyttet svakheten til å installere forskjellige typer malware. Blant annet er flere amerikanske forsvars-underleverandører rammet. Kinesisk-støttede aktører skal hovedsakelig stå bak angrepene.

Den kjente malware gruppen BazarLoader jobber med tvilsomme call-center for å lure ofrene til å laste ned et infisert dokument. Phishing-epostene ber personer om å ringe et nummer for å oppgradere et abonnement eller lignende. Når personene ringer nummeret, blir de guidet til å laste ned et Office-dokument og deretter slå av sikkerhetsfunksjoner i Office for å tillate makroer å kjøre. Makroen laster deretter ned malware og infiserer maskinen.

Mot slutten av april mottok mange nordmenn tekstmeldinger på engelsk om å hente en tilsendt pakke. Dersom en lar seg lure og følger lenken fra en Android-mobil, leder den til en nedlastingsside for malware. For å installere malwaren må brukeren slå på muligheten for å installere apper fra ukjente kilder og svare ja til flere sikkerhetsadvarsler. Det er malwaren Flubot som blir installert, og denne vil laste ned personlige detaljer og prøve å lure brukeren til å gi fra seg nettbank-detaljer. Flubot vil også fortsette å sende SMS-meldingene videre til brukerens kontakter. Hittil har heldigvis Flubot hatt begrenset spredning i Norge, muligens fordi få benytter seg av tredjeparts app-butikker i Norge.

I løpet av årets Pwn2Own konkurranse ble det utbetalt over $1.2 millioner kroner i premier til deltakerne. I løpet av konkurransen ble helt nye måter å hacke Safari, Chrome, Edge, Windows 10, Ubuntu, Microsoft Teams, Zoom og Exchange vist fram. Alle teknikkene ble demonstrert og detaljer rundt disse deretter overlevert til arrangørene og leverandørene. Nok en gang viser det seg at alle større softwareprodukter er forholdsvis enkle å utnytte, bare en er motivert nok.

I april håndterte TSOC 118 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 140 i mars. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 355 bekreftede DDoS-angrep denne måneden, ned fra 415 i mars. 137 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.63 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 37.5 Gbps og varte i 23 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


Ingen kommentarer:

 
>