Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 4. juni 2021

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2021

Syvende mai 2021 rammet ransomware selskapet Colonial Pipeline, som driver USAs største rørledning for å frakte olje og drivstoff. Selve kontrollsystemene ble ikke rammet, men selskapets støttesystemer gikk ned og hindret dermed videre drift. USAs regjering vedtok hastelover for å få fraktet oljen med tankbiler. I mange delstater oppsto det tendenser til panikk med hamstring av bensin og tomme bensinstasjoner. Etter nesten en uke ble transporten gjenopptatt, etter at selskapet betalte over $5 millioner til utpresserne. Hendelsen førte nesten til stengte flyplasser og bensinmangel i flere delstater i USA.

Etter angrepet mot Colonial Pipeline beklaget grupperingen som stod bak, DarkSide, at angrepet hadde fått så store konsekvenser og at det ikke lå noe politisk bak aksjonen. En del mistenker etter hvert at at alle angrepene i det siste kan være en del av en statsstøttet kampanje fra Russland. Senere i måneden forsvant DarkSides nettsider, og grupperingen skal ha mistet tilgang til store deler av løsepengene de har mottatt. Det spekuleres i om gruppen selv prøver å slette sporene, eller om myndigheter har tatt beslag i utstyr og verdier. Flere hacker-forum har etter angrepet lagt ned forbud mot innlegg og reklame som omhandler ransomware.

I slutten av mai 2021 rammet løsepengevirus det Irske helsevesenet. Store deler av datasystemene og helsejournalene ble tatt ned. En minister uttalte til pressen at dette var det største dataangrepet mot Irland noensinne. I løpet av hendelsen avviste flere sykehus alle pasienter, bortsett fra de som trengte øyeblikkelig hjelp. Helsevesenet opplyste at det var helt utelukket å betale de $20 millionene i løsepenger som angriperne forlangte. Etter hvert ga angriperne fra seg verktøyet for å låse opp igjen filene, men de truet fortsatt med å offentliggjøre informasjon de hadde stjålet, dersom løsepengene ikke ble betalt.

I mai ble også det norske IT-selskapet Volue (tidligere Powel) ASA utsatt for et angrep med ransomware. Angrepet krypterte ned en del filer, databaser og applikasjoner. Inntrengerne i nettverket  ble tidlig oppdaget og videre spredning forhindret. Kunder av selskapet skal ikke være berørt, men de oppfordres uansett til å endre passord på sine kontoer. Etter angrepet har selskapet fått skryt for sin åpne håndtering av prosessen med å få alle systemene opp igjen gjennom daglige åpne webcasts.

I april 2021 ble politiet i Washington DC rammet av ransomware. Angriperne stjal interne data og personnel-filer til ansatte. Gruppen bak angrepet, Babuk, la først ut detaljerte personell-filer som omhandlet 20 politimenn. Etter at politiet nektet å betale, la banden i mai ut 250GB med informasjon, blant annet en gjeng-database, detaljert informasjon om alle ansatte og informasjon om politiets informanter.

Bloomberg meldte at forsikringsgiganten CNA Financial betalte 40 millioner USD til angriperne i løsepenger for å få kontroll på nettverket deres etter et løsepengevirus-angrep. Dette er større enn noen andre utbetalinger som har blitt offentliggjort. Den gjennomsnittlige summen på offfentlig kjente betalinger av løsepenger etter ransomware lå på rundt 312 000 USD i 2020 ifølge Palo Alto Networks.

Både Volexity og Microsoft sitt Threat Intelligence Center varslet om en større pågående phishing-kampanje fra aktøren kjent som Nobelium/APT29. Aktøren skal ha forbindelse med den russiske utenlands-etterretningen (SVR) og stod bak Solarwinds-operasjonen. Microsoft har fulgt denne kampanjen siden januar 2021 og melder om et større phishing-angrep via epost som startet 25. mai. Epostene henviser til informasjon om valget i USA i 2020, og fikk derfor ekstra oppmerksomhet i USA. Angrepet er rettet mot mange forsknings-, statlige- og store internasjonale organisasjoner både i USA og i Europa.

CryptoCore er navnet på en angrepskampanje mot kryptobørser som selskapet ClearSky har undersøkt. Denne nettkriminalitetskampanjen er hovedsakelig fokusert på tyveri av kryptovaluta og ClearSky anslår at angriperne allerede har fått tak i verdier for hundrevis av millioner dollar. ClearSky-forskerne mener det er medium til høy sannsynlighet for at Lazarus-gruppen står bak angrepene. Dette er en nordkoreansk statssponset APT-gruppe som særlig går etter økonomiske mål over hele verden. Tidligere var det øst-europeiske kriminelle som var mistenkt for å stå bak. 

Mer enn 200 organisasjoner, inkludert belgiske styresmakter, ble overveldet av et stort DDoS-angrep 4. mai. Målet med angrepet var den statlig eide Internett-leverandøren Belnet. Angrepet var avansert og teknikkene bak det endret seg i løpet av angrepet. Det er ukjent hvem som står bak.

I mai håndterte TSOC 86 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 118 i april. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt, sammen med Mac OS X-maskiner infisert av Shlayer-trojaneren.

Det var 402 bekreftede DDoS-angrep denne måneden, opp fra 355 i april. 169 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.47 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 129 Gbps og varte i 23 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Ingen kommentarer:

 
>