Mandag 4. juli ble nettsiden til NSM (Nasjonal Sikkerhetsmyndighet) utsatt for et tjenestenektangrep, sammen med en del transport-firmaer som Bastø Fosen og Boreal. Angrepet minner om angrepsbølgen som traff flere norske nettsteder i slutten av juni, der grupperingen Killnet stod bak. Denne gangen var det den russisk-vennlige grupperingen "NoName057" som tok på seg ansvaret. Nedetiden for tjenestene var ikke langvarig.
Google har skrevet en blogg-post om hacker-grupper som bedrifter og privatpersoner kan leie tjenester fra på timebasis. Disse gruppene blir gjerne brukt i angrep mot politiske aktivister, advokater og journalister. De kan også leies inn til å utføre industrispionasje. Reuters har også skrevet en spesial-rapport om en indisk gruppering som har spesialisert seg i å hacke advokatkontorer. I forbindelse med rettssaker kan det ha svært stor verdi å få tak i motpartens saksdokumenter.
Project Zero, et team av sikkerhetsanalytikere ansatt hos Google, rapporterer at 18 nulldagssårbarheter har blitt oppdaget og utnyttet så langt i 2022. Minst ni av svakhetene er varianter av tidligere sårbarheter fra 2021, der flere lett kunne blitt unngått med grundigere analyse og patching av sårbarheten. Nulldagssårbarhetene påvirker produkter som Windows, iOS og Chromium.
Apple har sluppet en testversjon av en ny funksjon for iOS som heter "Lockdown Mode" hvor de fleste typer vedlegg og forhåndsvising av web-linker vil bli blokkert. Lockdown mode vil også skru av kablede forbindelser til PCer og tilbehør. Den nye modusen kan enkelt skrus av og på av brukeren. Funksjonen er ment brukt av personer som har høy risiko for å bli utsatt for målrettede angrep med kommersiell spionprogramvare, f.eks. fra NSO Group.
Nye versjoner av Windows 11 kommer nå med "Account Lockout Policy" skrudd på som standard. Dette fører til at bruker- og admin-kontoer blir automatisk låst i ti minutter etter ti mislykkede forsøk på innlogging. Microsoft sin VP David Weston skriver at å prøve å logge inn gjentatte ganger automatisk (brute-force) er en populær teknikk for å bryte seg inn i Windows-miljøer via Remote Desktop Protocol (RDP). Microsoft har også planer om å sakte men sikkert blokkere andre populære angrepsvektorer som brukes i forbindelse med løsepengevirus og innbrudd i Windows-miljøer.
Den 8. juli oppdaget sikkerhetfirmaet CrowdStrike Intelligence en callback phishing-kampanje, hvor angriperne utgir seg for å være fra CrowdStrike og andre store cybersikkerhetsfirmaer. I e-postene som blir sendt ut, skriver de at mottakerens firma har blitt utsatt for hackerangrep og ber dem ringe nummeret i e-posten for å avtale analyse av mottakerens PC. CrowdStrike forventer at angriperne vil prøve å lure mottakerne til å installere RAT-programvare på PCen når de ringer nummeret. Formålet med den nye teknikken er mest sannsynlig å installerer ransomware i bedriftenes datasystemer med påfølgende utpressing.
I juli håndterte TSOC 9 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 59 i juni. Sommeren er som vanlig preget av et stort fall i antall alvorlige hendelser. Dette skyldes at de fleste hendelser blir utløst av menneskelige handlinger, som åpning av vedlegg, besøk på ondsinnede nettsider, flytting av PCer fra eksternt til interne nett osv. Aktiviteten hos våre kunder er lavere i ferietiden, og da gjenspeiles dette også i antall alvorlige hendelser.
Det var 198 bekreftede DDoS-angrep denne måneden, ned fra 267 i juni 85 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.64 Gbps og varte i 27 minutter. Det største angrepet observert i denne perioden var på 78.3 Gbps og varte i 12 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
