Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 7. september 2021

Oppsummering av nyhetsbildet innen datasikkerhet for august 2021

Hackere blokkerte Italias system for å bestille time for Corona-vaksinering. Angrepet var et ransomware-angrep, og flere servere ble kryptert. Ingen personlige data skal ha blitt stjålet i forbindelse med angrepet. Myndighetene i Italia kaller angrepet det alvorligste noen sinne mot italienske myndigheter.


T-Mobile har en pågående etterforskning etter at en trusselaktør hevder å ha kommret seg inn på T-mobile sine servere. Innbruddet skjedde etter at en intern server ved en feil hadde blitt eksponert mot Internet. Hackerne kopierte personopplysninger til rundt 9 millioner aktive kunder, samt 40 millioner tidligere eller potensielle kunder. Opplysningene som er på avveie er navn, fødselsdato, personnummer samt ID/førerkort-informasjon. Ingen passord, PIN-koder eller finansiell informasjon er på avveie. De personlige dataene ble forsøkt solgt for 6 Bitcoins.


Backend-databasen til cybersikkerhetsprosjektet Atlas har blitt lagt ut for salg på et forum for cyberkriminelle. Atlas er en nettside laget av europakommisjonen for å forenkle sikkerhetssamarbeid mellom medlemsland og inneholder offentlig tilgjengelig informasjon om cybersikkerhetseksperter, universiteter, forskningssentre og myndighetsorganisasjoner. Nyhetssiden The Record bekreftet at informasjonen som lå ute for salg var hentet fra backend-løsningen til nettsiden, og det er uvisst hvordan noen har kommet seg inn i databasen. Nettsiden ble tatt ned og satt i vedlikeholdsmodus etter hendelsen.


US Cybersecurity and Infrastructure Security Agency (CISA) har sluppet en fire-siders guide til hvordan organisasjoner kan unngå å bli utsatt for ransomware-angrep, samt gjøre skaden minst mulig dersom et angrep likevel skulle inntreffe. De foreslår blant annet:

  • Sørg for offline-backups som blir testet jevnlig.
  • Opprett, vedlikehold og tren på planer for å svare på et angrep og gjenopprette driften etter en krise.
  • Patch og sørg for riktig konfigurasjon av tjenester som er åpne mot Internet.
  • Bruk effektive spam-filtre for å unngå phishing-eposter
  • Bruk anti-malware programmer, applikasjons-hvitelisting, begrens admin-tilgang og bruk to-faktor-autentisering.

Microsoft advarte tusenvis av sine Azure Cloud-kunder, inkludert noen av verdens største selskaper, om at inntrengere kan ha hatt tilgang til deres databaser i skyen. Sikkerhetshullet har vært til stede i flere måneder, men ble fikset 14. august. Problemet lå i Cosmos-databasen og kunne utnyttes ved å få tilgang til databasen fra en vilkårlig Azure-bruker via en tjeneste kalt “Jupyter Notebook”. De som fant svakheten har fått utbetalt $40.000 for oppdagelsen.


Forskere fra Dolos Group har klart å få tilgang til en bedrifts nettverk, etter fysisk tilgang til en maskin med tilgang til nettverket, selv om maskinen er kryptert med Bitlocker for ekstra sikkerhet. Dette gjøres ved å forbigå trusted platform module (TPM) for å få tilgang til maskinen. Angrepet blir gjennomført ved å hente ut dataene som går mellom CMOS-chippen og CPUen i maskinen, som er ukrypterte og lett tilgjengelige. Etter å ha koblet til en “Salea Logic analyzer” klarte forskerne å hente ut nøkkelen til TPM. Videre brukte forskerne den allerede konfigurerte Palo Alto VPNen for å få tilgang til bedriftens nettverk. Til slutt hadde forskerne mulighet til å starte maskinen og kunne deretter infisere klienten og benytte seg av den for å nå andre interne ressurser.


Internettinfrastrukturselskapet Cloudflare avslørte i at de håndterte det største volumetriske distribuerte tjenestenekt-angrepet (DDoS) som er registrert til dags dato. Trusselaktøren brukte et botnett med mer enn 20.000 infiserte enheter for å sende HTTP-forespørsler mot kundens nettverk for å konsumere serverressurser, for dermed å forhindre legitime brukere i å bruke nettstedet. Angrepet nådde 17,2 millioner HTTP-forespørsler/sekund (RPS), et tall som Cloudflare beskrev som nesten tre ganger større enn noen andre angrep som er offentlig kjent.


I august håndterte TSOC 70 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og  Logganalyse, opp fra 40 i juli. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt.


Det var 253 bekreftede DDoS-angrep denne måneden, opp fra 233 i juli. 109 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.8 Gbps og varte i 28 minutter. Det største angrepet observert i denne perioden var på 35 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Ingen kommentarer:

 
>