Microsoft meldte i starten av september at de nylig har rettet en feil i Azure Container Instances (ACI), Feilen kunne gjøre det mulig for kunder å hente ut informasjon fra andre kunders containere i tjenesten. Det var ansatte hos firmaet Palo Alto som oppdaget og meldte fra om svakheten. De opplyser at de klarte å bryte seg ut av den virtuelle containeren og ta full kontroll over hele clusteret. Dette skyldtes at Microsoft ikke hadde patchet en kjent svakhet i programvaren som ble benyttet. Feilen har nå blitt rettet og Microsoft har advart kunder som hadde containere på det samme clusteret som forskerne benyttet.
Microsoft advarte 7. september om en aktivt utnyttet null-dagers sårbarhet. Sårbarheten blir brukt til å ta kontroll over Windows-systemer ved å lure brukeren til å åpne spesielt utformede Office-dokumenter. Svakheten ligger i MSHTML (Trident), en komponent som brukes av Windows til å vise HTML-innhold og som også benyttes av Microsoft Office. Svakheten ble senere i måneden brukt av flere ransomware-bander og også i målrettede angrep mot innenriksdepartementet og flere forsvarsleverandører i Russland. Svakheten ble patchet senere i måneden.
En av Russlands mest prominente IT-gründere og CEO for Group IB, Ilya Konstantinovich Sachkov (35), ble tirsdag pågrepet i Moskva og varetektsfengslet i to måneder. Han er siktet for forræderi ved FSB-domstolen og det beryktede høyrisikofengselet Lefortovo. Det russiske nyhetsbyrået Tass siterer en ikke-navngitt sikkerhetskilde på at Sachkov er anklaget for å ha samarbeidet med utenlandsk etterretning og statsforræderi. Den siktede benekter begge anklagene, skriver Reuters. I Russland går det rykter om at arrestasjonen skyldes at firmaet Group IB har nektet å samarbeide uoffisielt med FSB.
En gratis dekrypterings-verktøy for REvils løsepengevirus-operasjon har blitt utgitt. Denne lar alle ofrene gjenopprette filene sine fra tidligere angrep gratis. “REvil master-decrypter” er laget av cybersikkerhetsfirmaet Bitdefender i samarbeid med politiet. Bitdefender vil ikke dele detaljer om hvordan de fikk tak i dekrypteringsnøkkelen.
Det ble denne måneden mulig å fjerne passordet sitt fra Microsoft-kontoen sin og erstatte det med Microsoft Authenticator App, Windows Hello eller fysiske sikkerhetsnøkler. Microsoft anbefaler dette for å redusere antall passord man bruker og fordi passord er ofte lettere å kompromittere. Dette fjerner imidlertid faktoren “noe du vet” fra innloggingen og kan også slå uheldig ut for sikkerheten, for eksempel dersom en mister en fysisk sikkerhetsnøkkel.
Apple har sluppet sikkerhetsoppdatering som fikser to nulldagssårbarheter brukt til å angripe både Mac og iPhones. Det er kjent at en av svakhetene har blitt brukt til å installere Pegasus spionprogramvare på iPhones. Denne svakheten lar en angriper ta kontroll over en iPhone uten at brukeren foretar seg noe, en såkalt “zero-click” svakhet. Pegasus selges kun til myndigheter, men det er kjent at både journalister, menneskerettighetsforkjempere og politikere har blitt overvåket ved hjelp av programvaren.
Det amerikanske finansdepartementet kunngjorde tirsdag tiltak mot bruk av digitale valutaer i ransomware-angrep og andre økonomiske forbrytelser, inkludert de første sanksjonene noensinne mot en børs for kryptovaluta. Departementet opplyste at om lag 40 prosent av transaksjonene på den sanksjonerte kryptovaluta-børsen som opererer i Russland - Suex - involverte ulovlige aktiviteter. De nye sanksjonene vil blokkere alle handler som involverer Suex og amerikanske personer og firmaer. Finansdepartementet i USA planlegger også å identifisere andre børser knyttet til ulovlige aktiviteter.
Denne måneden har det blitt kjent at det nye botnettet “Meris” har stått bak flere rekordstore DDoS-angrep i det siste. Det russiske firmaet Yandex opplyste at de ble utsatt for rekordstore angrep i august og september på opp mot 22 millioner RPS (Forespørsler per sekund), noe som skal være det største angrepet i Internetts historie. Cloudflare ble også utsatt for et stort angrep fra det samme botnettet tidligere i sommer. Meris består for det meste av hackede MikroTik routere som blir fjernstyrt av angriperne til å sende ut store mengder trafikk mot målene.
I september håndterte TSOC 116 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 70 i august. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. Det er også en del Android-mobiler med diverse uønsket programvare (adware) på noen nettverk.
Det var 216 bekreftede DDoS-angrep denne måneden, ned fra 253 i august. 89 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.55 Gbps og varte i 20 minutter. Det største angrepet observert i denne perioden var på 62.5 Gbps og varte i 15 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
