Det er blitt oppdaget en ny versjon av Industroyer, som er kjent fra 2016 da Sandworm APT-gruppen kuttet strømmen til deler av Ukraina i et kortere tidsrom. Den nye versjonen av Industroyer er gitt navnet Industroyer2. Industroyer2 ble forsøkt benyttet mot høyspennings-nettet i Ukraina. Det ble også funnet bruk av annen malware som CaddyWiper og flere andre typer wiper-malware, altså programvare som har som formål å ødelegge datautstyr ved å slette data. Ukrainske myndigheter melder at angrepet denne gangen ble stoppet før det fikk gjort noen skade.
Citizen Lab har funnet nye tilfeller av bruk av overvåkingsprogramvare mot mobiltelefoner for spionasje og overvåking. Den britiske regjeringen har vært utsatt for overvåking ved hjelp av Pegasus fra NSO i 2020 og 2021. Både statsministerens kontor og utenriksdepartementet ble rammet. Myndighetene ble advart om saken. Det skal være De forente arabiske emirater som står bak denne aksjonen. Citizen Lab melder også at 65 katalanske offentlige personer ble rammet av overvåking ved hjelp av verktøyene Pegasus og Candiru. Flere av mobiltelefonene har blitt infisert ved hjelp av en til nå ukjent svakhet i iPhone kalt HOMAGE. Svakheten ble patchet i iOS versjon 13.2.
Svakere multifaktor-autentisering (MFA), som engangs-passord gjennom SMS eller push varslinger der man er nødt til å trykke en knapp etter push varslingen for å eskalere multifaktor-autentiseringen, har flere ganger blitt utnyttet av Lapsus$ og SolarWinds-hackerne. Lapsus$ har brukt denne metoden til å forbigå autentiseringen hos både Microsoft, Okta og Nvidia de siste månedene. Dette gjelder metoder som å oversvømme målet med push eller link forespørsler over lang tid. Mange innloggingsløsninger har ikke noen begrensning på hvor mange forespørsler som kan sendes, og offeret går til slutt lei og godtar forespørselen eller trykker feil.
Private meldinger fra Telegram-kanalen til LAPSUS$ viser at de flere ganger brøt seg inn i systemene til T-Mobile fram til mars 2022. Her stjal de data fra flere forskjellige prosjekter, men skal ikke ha fått tak i informasjon tilhørende myndigheter eller kundene til T-Mobile. KrebsOnSecurity har nylig fått tak i logger fra LAPSUS$ sin private Telegram-kanal. Her kommer det fram at gruppen ofte fikk initiell tilgang til systemene ved å kjøpe brukernavn og passord (eller cookies) gjennom russiske markeder.
I mars 2022 autoriserte justisdepartementet i USA en operasjon for å delvis ta ned botnettet Cyclops Blink. Det er grupperingen Sandworm, som knyttes til den russiske etterretningstjenesten GRU, som står bak botnettet. Cyclops Blink og den tidligere utgaven VPNFilter, brukes av hemmelige russiske tjenester som et privat VPN for å skjule angrep. Botnettet består av tusenvis av enheter fra produsentene Watchguard og Asus. Under operasjonen ble infiserte enheter logget inn på, malwaren fjernet og administrasjons-porten mot internett lukket. Det ble kun ryddet opp i enheter som befant seg i USA.
CISA, FBI og NSA advarer mot et nytt malwareverktøysett, kjent som Pipedream. Dette er kanskje det mest allsidige verktøyet som noen gang er laget for å målrette angrep mot kritisk infrastruktur som strømnett og oljeraffinerier. Pipedream gjør det mulig for angriperen å kapre enheter, forstyrre eller forhindre adgang for operatører, sette enhetene permanent ut av spill, eller bruke enhetene til å angripe andre deler av kontrollsystemnettverket. Det mistenkes at Russland står bak Pipedream.
Sikkerhetsforskere fra ESET har oppdaget tre sårbarheter som påvirker flere ulike modeller av Lenovo-maskiner beregnet på forbrukermarkedet. To av disse påvirker maskinvare-drivere i UEFI, som kun skulle vært aktivert når maskinene ble produsert, men som ikke har blitt fjernet. Dermed kan angripere med administrator-rettigheter på maskinen bruke disse driverne til å deaktivere SPI flash protection eller UEFI Secure Boot. Svakhetene kan brukes til å legge inn bakdører som nesten ikke lar seg oppdage og er svært vanskelige å slette. Én av driverne heter til og med SecureBackDoor.
Tysk politi har tatt ned russiskspråklige Hydra, verdens største handelssted på det mørke nettet for å hvitvaske penger og selge narkotika. Det estimeres at Hydra hadde økonomisk aktivitet på over 1 milliard dollar i 2020. Tysk politi konfiskerte serverne som ble brukt og beslagla også kryptovaluta verdt over $25 millioner.
I april håndterte TSOC 65 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 128 i mars. Denne måneden er det mange av de vanlige hendelsene som går igjen, infeksjon av forskjellige typer adware på mobiler/PCer, utvinning av kryptovaluta på infiserte PCer samt en del mobiler med Joker-trojaneren installert.
Det var 293 bekreftede DDoS-angrep denne måneden, opp fra 212 i mars. 88 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.35 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 50.8 Gbps og varte i 18 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
