Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 8. juni 2022

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2022

Tirsdag 10. mai varslet Norkart om at de hadde vært utsatt for et dataangrep mot deres tjenester for eiendomsinformasjon. NRK har estimert at det har blitt lekket informasjon for inntil 3.3 millioner innbyggere i Norge. Informasjonen som er har vært tilgjengelig fra Norkarts IT-systemer inneholder navn, adresse og fødselsnummer. Personer berørt av angrepet er alle som eier eller har eid norsk eiendom. Angrepet er meldt til Datatilsynet og politiet, men det er per nå ukjent hvem som står bak angrepet eller nøyaktig hvor mye informasjon som har blitt hentet ut. Sårbarheten skyldtes en feil i konfigurasjonen av brannmur for søketjenesten, noe som ga uautorisert tilgang til tjenesten, skriver Norkart. I etterkant av innbruddet var det stor pågang for å reservere seg mot kredittopplysninger hos norske leverandører av kredittopplysninger. Mange har vært nervøse for at enkel tilgang til fødselsnummer skal kunne gjøre det enklere å ta opp lån i deres navn.

Et Word-dokument som ble latest opp til Virustotal fra en IP-adresse i Belarus i slutten av mai, har vist seg å kunne utnytte en til nå ukjent sårbarhet i Office. Svakheten lar seg utnytte, selv uten at makroer er aktivert i Word og har fått navnet “Follina”. Dokumenter som utnytter svakheten, bruker en funksjon for tilgang til eksterne maler til å laste ned den ondsinnede HTML-filen. Deretter brukes Microsoft-supportverktøyet “ms-msdt” til å laste inn koden og å kjøre denne i PowerShell. Svakheten fungerer mot både Office 2013, 2016 og 2021. Siste versjon av Office 365 skal ikke være sårbar. Svakheten ble utnyttet allerede i april, uten at noen da var klar over problemet. Microsoft har postet informasjon om svakheten og hvordan en kan hindre utnyttelse, men enda ikke noen fullverdig patch.

For å feire "verdens passord-dag" 5. mai, lanserte de tre store operativsystem-leverandørene Apple, Google og Microsoft et samarbeid om å bevege seg vekk fra tekstbaserte passord. De ønsker å implementere et system der brukeren benytter seg av allerede innloggede enheter for å logge inn på nye, istedet for et tekstbasert passord. Utviklerne av systemet (FIDO) sier: "Disse nye funksjonene forventes å bli tilgjengelige på tvers av Apple-, Google- og Microsoft-plattformer i løpet av det kommende året." Det nye systemet vil motvirke phishing, siden det kreves at enheten du logger inn på, og enheten du bekrefter innloggingen fra, er fysisk i nærheten av hverandre. Det er dermed ingen engangspassord som kan snappes opp av angripere.

Den nyvalgte presidenten av Costa Rica, Rodrigo Chaves, har erklært nasjonal nødsituasjon etter en bølge av Conti-ransomware-angrep som har vært rettet mot flere offentlige etater i landet. Nyhetsnettstedet BleepingComputer erfarer at Conti har lekket 97% av en 672GB datadump som angivelig inneholder data stjålet fra offentlige etater i Costa Rica. Conti har tidligere krevd $10 millioner dollar fra finansdepartementet, som de har nektet å betale. Senere i måneden ble også helsevesenet i landet angrepet av ransomware-gruppen Hive, men mange spekulerer i at det er Conti-gruppen som står bak også dette angrepet. President Chaves har hevdet at Conti-gruppen har personer på innsiden av offentlige etater i landet.

Både statsministeren Pedro Sanchez og sikkerhetsministeren Margarita Robles har blitt overvåket ved hjelp av spion-programvaren Pegasus. Telefonene ble infisert i mars og juni 2021 og det har blitt bekreftet at data har blitt eksfiltrert. Spanske myndigheter har startet etterforskning for å sjekke om flere av deres ansatte har fått Pegasus på mobilen. Pegasus utvikles av det Israelske sikkerhetsselskapet NSO group, som hevder at de kun selger programvaren til statlige aktører for å overvåke kriminelle og terrorister. Denne hendelsen føyer seg inn i en rekke lignende hendelser fra det siste året.

Google TAG (Threat Analysis Group) publiserte en gjennomgang av flere målrettede angrep mot Android-brukere som benyttet seg av zero-day svakheter i 2021. Alle svakhetene ble skaffet til veie av selskapet Cytrox, som solgte dem videre til flere aktører tilknyttet myndigheter i flere land. Google mener at landene Egypt, Armenia, Hellas, Madagaskar, Elfenbenskysten, Serbia, Spania og Indonesia har vært kunder. Svakhetene brukes for å installere overvåkingsprogramvare på mobilene, og retter seg som oftest bare mot et fåtall ofre. Google sin TAG-gruppe følger for tiden over 30 selskaper som driver med salg og kjøp av denne typen svakheter og overvåkingsprogramvare.

I en ny målrettet phishing-kampanje benytter APT-29, også kjent som Cozy Bear/Nobelium, seg av legitime epost-adresser i målrettede angrep mot diplomater og myndigheter. Adressene som brukes for å sende ut epostene er legitime kompromitterte adresser fra flere forskjellige ambassader. Innholdet i epostene utgir seg for å være politiske oppdateringer, men har vedlegg som eksekverer ondsinnet kode dersom de åpnes. Dersom en klient blir infisert, vil APT 29 ta over brukeren og forsøke å eskalere rettigheter, typisk innen 12 timer. Skadevaren benytter seg av Atlassian Trello for kommunikasjon med kontrollserverne sine, som er en legitim skytjeneste.

24. februar rapporterte sikkerhetsforskeren med pseudonymet "satya0x" en kritisk feil i Wormhole sin kontrakt på blokkjeden Ethereum til Immunefi. Dersom buggen hadde blitt utnyttet, kunne dette ført til at verdiene til Wormhole sine brukere kunne ha blitt låst for alltid. Samme dagen som buggen ble rapportert, fikset Wormhole svakheten. Vedkommende som meldte fra om svakheten har nå fått utbetalt 10 millioner dollar i finnerlønn, noe som er er ny rekord.

I mai håndterte TSOC 71 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 65 i april. Denne måneden så vi blant annet en del Android-mobiler med Joker-malware og Mac-maskiner med Shlayer-trojaneren. Vi avdekket også en Windows-maskin som var infisert av informasjons-stjeleren Red Line. Denne malwaren stjeler brukernavn, passord, kredittkortinfo og alt av informasjonskapsler (cookies) som er lagret på PCen.

Det var 360 bekreftede DDoS-angrep denne måneden, opp fra 293 i april. 124 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.47 Gbps og varte i 15 minutter. Det største angrepet observert i denne perioden var på 22.2 Gbps og varte i 18 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.


Ingen kommentarer:

 
>