Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 5. juli 2021

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2021

I starten av måneden ble det multinasjonale selskapet JBS Foods rammet av ransomware. Firmaet produserer 20% av kjøttet i USA og produksjonen ble rammet. Etter kort tid valgte firmaet å betale $11 millioner til utpresserne i et forsøk for å få produksjonen i gang igjen så fort som mulig. Ransomware-angrepet ble utført av den russiske grupperingen REvil. USAs president, Joe Biden, uttalte etter angrepet at ansvarlige nasjoner burde straffeforfølge grupperinger som REvil. Dette med klar adresse til Russland sin manglende oppfølging av russiske grupperinger som i stor stil angriper og utpresser firmaer i vesten.

Justisdepartementet i USA prioriterer nå etterforskning av løsepengevirus på samme nivå som terrorisme etter angrepet på Colonial Pipeline 6. mai 2021, samt andre høyprofilerte angrep i det siste. Det er også opprettet en egen "task force" i Washington for å koordinere etterforskning av angrepene.

President Biden har utvidet sanksjonene mot kinesiske selskaper, som først ble innført av Trump. Listen over firmaer som ikke kan motta investeringer fra USA økes fra 31 til 59. Biden fordømmer også Kinas bruk av overvåkingsprogramvare for å kontrollere befolkningen. Firmaer som allerede har gjort investeringer vil ha ett år på seg til å avslutte forholdene.

Ukrainsk politi arresterte kriminelle assosiert med ransomware-gjengen Clop. De stengte også ned infrastrukturen til grupperingen, som har vært aktive siden 2019. De arresterte skal først og fremst ha drevet med hvitvasking av penger, mens bakmennene i banden fortsatt er på frifot i Russland. 

SITA, en internasjonal leverandør av IT-tjenester til rundt 90% av flybransjen, ble i mars utsatt for et datainnbrudd. Sikkerhetsselskapet Group-IB skriver at dette førte til et forsyningskjedeangrep som rammet flere store flyselskap og millioner av passasjerer er rammet. Sikkerhetsselskapet mistenker at den kinesiske aktøren APT41 står bak. Motivasjonen bak angrepet er mest sannsynlig å følge reisene til personer av interesse. Flyselskaper blir bedt om å sjekke systemene sine etter tegn til innbrudd etter kampanjen.

Datasystemene til halvparten av bibliotekene over hele landet gikk ned 22. juni etter et dataangrep. Angriperne krevde løsepenger. Det er Axiell Norge AS som levere datatjenestene og de gikk ikke med på kravet om å betale løsepenger. Ingen persondata skal være på avveie, og selskapet hadde sikkerhetskopier av all data angriperne hadde kryptert. Angrepet er meldt til politiet i Norge, Sverige og Finland. Den 28. juni lyktes selskapet i å delvis få opp igjen systemene sine.

I juli avslørte politi fra flere land den tre år lange operasjonen “Operation Ironside. Politiet hadde i flere år drevet den krypterte meldingsplattformen “ANOM”. Plattformen bestod av spesielt sikret mobilutstyr og en kryptert meldingsapp. Millioner av meldinger ble avlyttet av politiet, noe som førte til over 800 arrestasjoner, beslag av 40 tonn narkotika, 250 skytevåpen, 55 luksusbiler osv. I Norge ble ni personer pågrepet etter operasjonen. I Norge var det en stund uklart om bevisene som ble innhentet kunne brukes i en norsk rett, men høyesterett kom 23. juni fram til at dette ikke strider mot grunnleggende norske verdier.

En gruppe som kaller seg Fancy Lazarus driver nå en målrettet DDoS utpressingskampanje mot større bedrifter. Sikkerhetsselskapet Proofpoint skriver at bedrifter i mange ulike sektorer har blitt kontaktet av gruppen. Kontakten skjer per e-post, hvor gruppen forlanger en utbetaling på 2 Bitcoin (ca. 600 000 NOK) for at bedriften ikke skal bli utsatt for et større DDoS-angrep. Om bedriften ikke betaler innen en gitt tidsfrist dobles summen, og deretter øker den med én Bitcoin hver dag. Det er ikke alltid at gruppen gjennomfører truslene, men flere bedrifter har blitt utsatt for DDoS-angrep (demo-angrep) etter at de har blitt kontaktet. I løpet av de siste ukene har også noen norske bedrifter mottatt trusler med tilhørende demo-angrep fra denne grupperingen.

Statsforvalteren i Oslo og Viken var ett av statsforvalterembetene som ble direkte rammet av angrepet mot flere statsforvalterembeter i 2018. PSTs Hanne Blomberg opplyser at de nå har etterretning som peker mot Kina. "Vi har i denne konkrete saken etterretningsinformasjon som peker i en tydelig retning mot at det er aktøren APT31 som står bak operasjonen mot statsforvaltningsembetene", opplyste hun til NRK.

Det store spillselskapet Electronic Arts ble denne måneden frastjålet kildekode til flere spill. En representant for hackerne som stod bak angrepet, avslørte at angrepet ble utført ved hjelp av en informasjonskapsel kjøpt for $10. Netkapselen ble kjøpt fra undergrunnsmarkedet “Genesis Market” og gav hackerne tilgang til EA sin interne Slack-chat. Informasjonskapsler stjeles fra store mengder hackede PCer og legges ut for salg på denne typen illegale markeder. Angriperne klarte via chatten å lure EA sin IT-support til å gi dem tilgang til resten av nettverket, under påskudd av å ha glemt et passord.

I juni håndterte TSOC 80 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 86 i april. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. En del klienter har også fått installert ondsinnede nettleserutvidelser.

Det var 214 bekreftede DDoS-angrep denne måneden, ned fra 402 i mai. 113 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5 Gbps og varte i 36 minutter. Det største angrepet observert i denne perioden var på 71 Gbps og varte i 31 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


Ingen kommentarer:

 
>