Cisco ble 24. mai 2022 kjent med at de kanskje hadde blitt kompromittert. Siden har Cisco Security Incident Response (CSIRT) og Cisco Talos arbeidet med analyse og opprydding. Innloggingsdetaljer tilhørende en ansatt ble kompromittert, etter at en angriper fikk tilgang til den private Google-kontoen til vedkommende, og innloggingsdetaljer lagret i nettleseren ble hentet ut. Ved bruk av phishing klarte angriperne å få den ansatte til å akseptere multifaktor-autentisering iverksatt av angriper, som ga VPN-tilgang inn i Ciscos nettverk under den ansattes navn. Cisco tror så langt at angriperen ikke har fått tilgang til kritiske interne systemer. Angriperen ble etter hvert kastet ut av systemene, men gjorde i ukene etter gjentatte forsøk på å få tilbake tilgangene uten hell. Cisco Talos opplyser at det er høy sannsynlighet for at angriperen kan ha tilknytning til en trusselaktør som tidligere har solgt tilganger til grupperingene UNC2447, Lapsus$ og Yanluowang.
Twilio, et amerikansk sky-kommunikasjonsfirma, bekreftet at kundedata var på avveie etter et SMS-phishing angrep. Angriperene utga seg for å være Twilio sin IT-avdeling via SMS og ba de ansatte om å tilbakestille passordet sitt. Nettsiden de lenket til skal ha sett identisk ut som den ekte siden. CloudFlare ble også utsatt for samme type angrep fra den samme aktøren. Tre av de ansatte ble lurt, men angriperne fikk ikke tilgang til interne systemer, da CloudFlare benytter seg av hardware-nøkler for innlogging. Denne typen nøkler gjør at innlogging er umulig å gjøre fra andre maskiner enn der nøkkelen er fysisk satt inn.
Meldingstjenesten Signal brukte Twilio for å levere SMS-meldinger for å autentisere Signal-brukere. Angrepet mot Twilio førte til at angriperen fikk tilgang til 1900 mobiltelefonnumre som var knyttet til Signal-kontoer, og deretter kunne omregistrere Signal-kontoer over til nye mobiltelefoner. Flere kontoer ble omregistrert, og aktøren kunne dermed gi seg ut for å være disse brukerne. Meldingshistorikk og kontakter blir ikke overført av Signal ved bytte av mobil. Signal oppfordrer etter hendelsen alle deres brukere til å skru på registrerings-lås på Signal-kontoen. Dette gjør at en angriper ikke uten videre kan ta over kontoen din, selv om de får tilgang til tekstmeldingen for å flytte kontoen.
Firmaet Okta bekreftet mot slutten av måneden at også de var et av ofrene etter angrepet mot Twilio. Informasjon om brukere, telefonnummer og engangspassord ble hentet ut fra Twilio og brukt mot Okta i en større phishing-kampanje. Informasjonen som ble hentet ut ble så brukt i datainnbrudd mot over 130 organisasjoner i hele verden. Så langt ser det ikke ut til at norske firmaer er rammet. Aktøren bak denne phishing-angrepsbølgen har fått navnet “0ktapus” og det er ukjent hvem som står bak.
Twitter bekreftet i starten av august at informasjon knyttet til 5.4 millioner brukere ble stjålet i januar. Dette ble oppdaget etter at telefonnumre og epost-adresser tilhørende diverse Twitter-kontoer ble laget ut for salg på "Breach Forums". Informasjonen ble stjålet ved hjelp av et sikkerhetshull som gjorde det mulig å finne ut hvilken Twitter-konto et telefonnummer eller mailadresse tilhører ved å skrive det inn under innlogging. Twitter har fikset sikkerhetshullet, men anbefaler folk som har pseudonyme kontoer på Twitter om å fjerne epost-adresser og telefonnumre fra kontoen for å redusere framtidig risiko for å bli de-anonymisert. Senere i måneden gikk også Twitters forhenværende sikkerhetssjef Peiter "Mudge" Zatko offentlig ut med opplysninger om at Twitter har alvorlige mangler i deres forsvar mot data-angrep og dårlig håndtering av spam og falske kontoer.
Amerikanske myndigheter har utlovet en dusør på inntil 10 millioner dollar for informasjon som kan medføre arrestasjon av de fem lederne i Conti. Sammen med dusøren har myndighetene utgitt et bilde av "Target" som er en av lederne. De er også interessert i informasjon om de fire andre personene kjent som "Tramp", "Dandis", "Professor" og "Reshaev" som nå deltar i flere andre løsepengevirus-grupper etter at Conti ble oppløst. Det statlige programmet “The Rewards of Justice” står bak dusøren og er kjent for å utgi belønninger for informasjon om trusselaktører som kan påvirke nasjonale sikkerhet.
USA sanksjonerte i august Tornado Cash, som er en tjeneste for å anonymisere kryptovaluta-transaksjoner. Tjenesten har legitime bruksområder for anonymitet, men blir ofte misbrukt for ulovlig aktivitet som hvitvasking av penger. Finansdepartementet i USA anslår at Tornado Cash har blitt brukt til hvitvasking av over 6 milliarder USD i kryptovaluta siden 2019. Tornado Cash har ikke innført tilfredsstillende rutiner for å kontrollere og hindre ulovlig bruk, noe som har ført til at transaksjons-mikseren nå er svartelistet av USA. GitHub-kontoen som ble brukt til å vedlikeholde kildekoden til tjenesten er også slettet. Én av utviklerne av tjenesten ble også arrestert i Nederland og sitter fortsatt fengslet.
Samtlige 7-Eleven kiosker i Danmark ble rammet av data-angrep mandag 8. august. Kasseapparatene fungerte ikke lengre, noe som førte til at de ansatte ikke kunne ta imot betaling fra kunder. Det tok flere dager før kioskene gradvis begynte å åpne igjen. 7-Eleven drives i Danmark av "Reitan Convenience Denmark" som også eier Rema 1000 i Norge.
I august håndterte TSOC 64 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 9 i juli. Denne måneden skyldes de fleste hendelsene malware som tar kontroll over nettleseren og serverer annonser og videresender brukeren til uønskede sider. Etter sommeren ser vi også at en del maskiner har blitt infisert av skadevare som utvinner kryptovaluta.
Det var 309 bekreftede DDoS-angrep denne måneden, opp fra 198 i juli. 161 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.64 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 104 Gbps og varte i 42 minutter. Én av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Ingen kommentarer:
Legg inn en kommentar