Den 9. desember publiserte kinesiske Alibaba sitt sikkerhetsteam en bloggpost med detaljer rundt en 0-dags sårbarhet de hadde oppdaget i loggeverktøyet Log4j, som gis ut av Apache Software Foundation. Log4j er et populært Java-basert rammeverk for logging. Sårbarheten i systemet gjorde det mulig for en angriper å kjøre egen kode på en sårbar web-server over Internet. Log4j er i igjen brukt av mange andre systemer og rammeverk. Det viste seg snart at Internett-giganter som IBM, Cisco, Apple og Google hadde tjenester som var sårbare for svakheten. Det ble etter kort tid sluppet en oppdatert versjon av Log4j, men denne og også senere versjoner viste seg også å ha nye sårbarheter. Resten av desember har mange organisasjoner jobbet hardt med å kartlegge og patche sårbare systemer. Internasjonalt er det meldt om flere tilfeller med kompromitterte systemer etter Log4j-angrep, men i Norge har det heldigvis vært svært begrenset utnyttelse av svakheten. Selv om svakheten i prinsippet er lett å utnytte, viser det seg at de fleste systemer trenger spesialtilpasning av angrepskoden for at den skal fungere. Det finnes også flere mitigerende tiltak, som for eksempel å hindre at web-servere kan koble seg opp mot eksterne adresser på nettet og hente ned angrepskode. Det pågår fortsatt storstilt scanning på nettet etter tjenester som er sårbare for svakheten og både opportunistiske angripere og nasjonalstater prøver å utnytte den.
Hotellkjeden Nordic Choice Hotels ble rammet av et ransomware-angrep i starten av desember. Systemet for inn- og utsjekking gikk blant annet ned, og hotellene måtte i flere dager gjøre dette manuelt. Etter hvert som hotellkjeden ikke betalte løsepengene, la banden bak angrepet ut personlig informasjon tilhørende tusenvis av ansatte i kjeden ut på det mørke nettet. Dette dreier seg om data som personnummer, lønn, bankkontonummer osv. I slutten av måneden var Choice tilbake igjen i tilnærmet normal drift. Det er så langt ikke noe som tyder på at kunders passord eller kredittkortopplysninger er på avveie.
I ukene før nyttår ble enda to norske virksomheter utsatt for løsepengevirus. Nortura ble rammet like før jul og måtte stenge sine IT-systemer etter angrepet. Nortura måtte begrense produksjonen etter angrepet, og flere bønder opplevde å ikke få levert dyrene sine til slakting. Mediekonsernet Amedia ble rammet av tilsvarende angrep i romjulen. Angrepet gikk ut over flere sentrale datasystemer og onsdag 29. desember og neste dag var det flere lokalaviser som ikke kom ut. En talsmann for selskapet opplyser også at det er mulig at informasjon om ansatte kan være på avveie.
Forrige måned ble det kjent at amerikanske myndigheter innfører sanksjoner mot det israelske selskapet NSO Group, som er kjent for å selge programvare for overvåking til myndigheter. Apple saksøkte også firmaet for å ha hacket telefonene til kundenes deres. Nå har det kommet fram at også minst 11 ansatte i det amerikanske utenriksdepartementet har blitt hacket ved hjelp av Pegasus-programvare fra NSO. De ansattes telefoner av typen iPhone har blitt hacket ved bruk av en svakhet i iOS som har gjort det mulig for ukjente angripere å overvåke mobilene. Dette skjedde mens de ansatte oppholdt seg i utlandet.
Facebook opplyste at de i desember har lukket kontoer relatert til syv overvåkingsselskaper. Disse selskapene skal, i tillegg til overvåking, ha utført phishing-forsøk mot brukere for å få tak i innloggingsinformasjon og infisere PCene til brukerne med malware. Disse selskapene skal ha solgt tjenestene til de som var villige til å betale, ikke bare myndighetsorganer. Facebook har nå begynt å varsle de over 50.000 Facebook-brukerne i over 100 land som har vært utsatt for overvåking.
En handelsplattform for kryptovaluta, BitMart, ble rammet av et stort sikkerhetsbrudd lørdag 1. desember. Det var blockchain-sikkerhets- og dataanalyseselskapet PeckShield som først oppdaget sikkerhetsbruddet lørdag kveld, og de estimerer tapene til å være opp mot 200 millioner dollar – over 1,8 milliarder kroner. BitMart lovet noen dager etter angrepet at kundene skulle få tilbake alle verdier som var stjålet. Angrepet skjedde etter at noen klarte å stjele en en privat nøkkel til to av deres krypto-baserte kontoer.
I desember håndterte TSOC 119 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 171 i november. Denne måneden varslet vi flere kunder om at de hadde servere som antageligvis var sårbare for den mye omtalte Log4j-svakheten, etter at vi så at serverne kontaktet kjente “callback”-adresser. Vi har heldigvis ikke hatt noen kunder som har blitt kompromittert av svakheten. Ellers er det maskiner som driver med utvinning av kryptovaluta og er infisert av diverse trojanere som dominerer tallene.
Det var 222 bekreftede DDoS-angrep denne måneden, ned fra 279 i november. 88 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.38 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 57.8 Gbps og varte i 14 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
