Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 4. mars 2022

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2022

Allerede 16. februar ble det meldt om flere bølger med DDoS-angrep mot nettsidene til myndigheter og banker i Ukraina. Blant annet ble forsvarsdepartementet og bankene PrivatBank and Oschadbank rammet. Like før Russland invaderte Ukraina, meldte ESET og Symantec fra om flere typer wiper-malware, altså malware som sletter systemene de kjører på, rettet mot myndighetsorganer i landet. Malwaren spredte seg kun internt i nettene som ble rammet, og det har så langt ikke vært spredning eller store hendelser på utsiden av Ukraina. I forbindelse med invasjonen ble det også opprettet flere falske nettsider som ga seg ut for å være styrt av ukrainske myndigheter, men som i virkeligheten infiserte besøkende med malware og spredte desinformasjon.

Dagen etter invasjonen ga NCSC i Norge (Nasjonalt Cybersikkerhetssenter) ut et oppdatert situasjonsbilde med tilhørende anbefalinger. Med bakgrunn i den svært uoversiktlig situasjonen og observasjoner av skadevare i Ukraina, vurderte de risikonivået for norske virksomheter som forhøyet. De ga også ut en liste over prioriterte tiltak som virksomheter kan iverksette i en skjerpet sikkerhetssituasjon som den vi nå er i.

Etter invasjonen spurte det ukrainske cyber-politiet om hjelp til å angripe utvalgte russiske statlige mål. Enkeltpersoner og hacktivist-grupper fra hele verden meldte seg snart til tjeneste, og flere russiske nettaviser og myndighetssider gikk ned eller fikk byttet ut innholdet med anti-krigs-informasjon. Den kjente russiske ransomware-gruppen Conti meldte på sin side at alle cyber-angrep mot Russland ville bli møtt med hevn fra deres side. Et medlem av Conti-gruppen reagerte imidlertid sterkt på uttalelsen, og slapp store mengder interne chatte-logger og verktøy som hevn. Sikkerhetseksperter har i etterkant fått mye nyttig informasjon ved studere disse loggene.

Swissport er et firma som tilbyr forskjellige tjenester innenfor luftfart på 310 flyplasser. De ble angrepet tidligere i februar, noe som førte til kansellerte og forsinkede fly, samt andre driftsforstyrrelser. Den nye ransomware-gruppen BlackCat (ALPHV) har siden tatt på seg ansvaret for angrepet og har lagt ut en mindre mengde interne data. Aktøren påstår ha kopiert ut 1.6TB data som de truer med å offentliggjøre, dersom ikke løsepengene blir betalt. Det amerikanske frakt og logistikk-firmaet Expeditors International ble også rammet av cyber-angrep i februar og måtte stenge ned deler av virksomheten.

Microsoft skal om kort tid blokkere Visual Basic for Applications (VBA) makroer som standard på en rekke Office-produkter. Endringen vil gjelde Office-filer som er lastet ned fra Internett og som inneholder denne typen makroer. Dette vil føre til at brukere ikke lengre kan kjøre makroer med et enkelt tastetrykk. Dette gjøres for å demme opp av bølgen av eposter som fører til nedlasting av malware til PCer ved hjelp av makroer i i falske dokumenter. Dette har lenge vært en av de mest populære måtene å infisere Windows-PCer på, og trusselaktørene vil måtte finne seg nye metoder for å oppnå tilgang.

Natt til 8. februar gikk en stor del av kundetjenestene til Vodafone Portugal offline over natten etter et bevisst og ondsinnet nettangrep. Tjenester for mobildata, tale og TV gikk ned. Selskapet gjenopprettet dagen etter mobil tale og datatjenester over 3G-nettet i nesten hele landet, mens andre tjenester tok flere døgn å gjenopprette. Vodafone får hjelp både lokalt og internasjonalt i det som for øyeblikket er den største cybersikkerhetshendelsen selskapet noen gang har håndtert. Selskapet samarbeider med myndighetene og basert på nåværende opplysninger ser det ikke ut til at kundedata er kompromittert.

I 2021 fortsatte Mandiant Threat Intelligence å observere ransomware-operatører som forsøkte å presse tusenvis av ofre ved å analysere flere terabyte med stjålet informasjon. Operatørene legger ofte ut denne typen informasjon på egne "lekkasje-nettsider". Dette påvirket over 1300 organisasjoner fra kritisk infrastruktur og industriell produksjonssektor på bare ett år. I ett av syv tilfeller med lekkasje av interne data, befant det seg informasjon om kritiske prosesstyringsystemer blant dataene. Dette er informasjon som avanserte aktører kan komme til å bruke til spesielt skadelige angrep senere.

Angrepet på kryptobørsen Bitfinex i 2016 ble oppklart denne måneden! Amerikanske myndigheter beslagla rundt 3,6 milliarder dollar i Bitcoin etter et gjennombrudd i saken. Dette er det største økonomiske beslaget noensinne og to personer ble arrestert, siktet for hvitvasking av penger. De to personene hadde lagret de kryptografiske nøklene til alle verdiene på en skytjeneste, som myndighetene enkelt fikk tilgang til.

I februar håndterte TSOC 67 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 138 i januar. Maskiner som utvinner kryptovaluta er fortsatt dominerende. Denne måneden har vi også hatt noen tilfeller av Android mobiler infisert av TangleBot, som gir angriperen full tilgang til å overvåke mobiltelefonen. 

Det var 141 bekreftede DDoS-angrep denne måneden, ned fra 203 i januar. 64 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.45 Gbps og varte i 30 minutter. Det største angrepet observert i denne perioden var på 288 Gbps og varte i én time. Én av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Ingen kommentarer:

 
>