Albania har vært rammet av flere bølger av cyber-angrep fra Iran, etter vedvarende konflikt mellom de to landene. Etter en bølge med angrep i juli, ble landet tvunget til å slå av mange offentlige tjenester, noe som skapte store forsinkelser i betalinger og utstedelse av dokumenter for innbyggerne. Denne måneden kom det fram at Albania vurderte å utløse NATOs artikkel 5 i forbindelse med angrepene, men valgte til slutt å ikke gjøre det da ingen mennesker ble direkte fysisk skadet.
2.4TB med data som omhandler Microsofts kunder har vært åpent tilgjengelig på nettet i flere år, siden dataene ved en feil var lagret i en åpen Azure lagrings-instans. Informasjonen som var tilgjengelig var blant annet signerte fakturaer, kontrakter, kontaktinformasjon og epost-adresser til 65,000 kunder i løpet av fem år. Microsoft har fått kritikk i forbindelse med hvordan de har håndtert den nylige sikkerhetsglippen etter mangelfull informasjon og ufarliggjøring av hendelsen.
Lazarus-gruppen er den siste i en rekke av grupper som har utnyttet teknikken kalt BYOVD (Bring Your Own Vulnerable Driver). Gjennom å installere en gammel sårbar driver signert av Dell, klarte angriperne å slå av all virusbeskyttelse i Windows. Initiell tilgang til maskinen ble oppnådd gjennom Word-dokumenter som inneholdt fiendtlige makroer. Etter å ha slått av virusbeskyttelsen kunne angriperne installere en bakdør. Fortsatt finnes det mange sårbare drivere som kan utnyttes på denne måten for å få utvidet tilgang til Windows-systemer. Microsoft har en liste over drivere som Windows automatisk skal blokkere, men det viser seg at noen versjoner av Windows ikke har mottatt oppdaterte versjoner av listen.
Avisen Daily Mail hevder at telefonen til eks-statsminister Liz Truss var kompromittert av agenter fra Kremlin, mens hun var utenriksminister. Hackingen av mobilen kan ha tilgjengeliggjort sensitiv informasjon for angriperne. Etter at operasjonen ble oppdaget, ble telefonen plassert i en låst safe for å unngå videre lekkasje av informasjon. Flere forlanger nå en offisiell gransking av den påståtte hendelsen.
Microsoft har lagt til en ny “group policy” som låser kontoer i 10 minutter etter 10 feilede innloggingsforsøk mot en Windows-bruker. Dette gjelder både for standard-brukere og administrator-brukere. Funksjonen er automatisk slått på for nye installasjoner av Windows 11, men kan også skrus på for eksisterende installasjoner eller Windows 10. Denne nye standard-innstillingen vil gjøre det vanskeligere å gjennomføre angrep mot Windows-maskiner på innsiden av bedriftsnettverk ved hjelp av gjetting av passord.
En av Australias største leverandører av privat helseforsikring, Medibank Private Limited, gikk denne måneden ut med informasjon om at de hadde blitt utsatt for datainnbrudd. Angriperne hevder at de har fått tilgang til 200 GB med sensitiv informasjon om 9.7 millioner kunder, inkludert helseopplysninger, og truer nå med å selge denne informasjonen dersom Medibank ikke betaler et større beløp. Videre truer angriperne med å kontakte de 1000 mest prominente kundene og vise dem deres egne opplysninger. Dette som en "advarsel" til Medibank, som har sagt at det ikke blir aktuelt å betale løsepenger.
Sikkerhetsforskere annonserte denne uken at de har oppdaget en ny sårbarhet i logiske kontrollere (PLC) fra Siemens. Denne typen kontrollere brukes til styringssystemer i OT (Operasjonell Teknologi). Ved hjelp av sårbarheten kan man hente ut hardkodede kryptografiske nøkler fra enhetene. Disse nøklene gjør det mulig å komme seg forbi alle de fire nivåene av tilgangs-beskyttelse og utføre avanserte angrep. Siemens har publisert oppdateringer for å fikse sårbarheten og poengterer at produktet ble laget for nesten 10 år siden. Sikkerhetsløsningene som ble valgt den gangen er ikke lengre tilstrekkelige, men mange produksjonssystemer bruker dessverre gammelt utstyr.
Norske mobiloperatører går sammen om å sette en stopper for muligheten til å utgi seg for å ringe fra faste telefonnumre tilhørende norske bedrifter og etater, kjent som “spoofing”. Fra før har spoofing av mobilnumre vært sperret, men nå sperres også oppringninger fra fasttelefonnumre. Tiltaket er koordinert gjennom ITAKT – Internet og telekombransjens anti-kriminalitets tiltak.
I oktober håndterte TSOC 113 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 125 i september. Denne måneden er det nok en gang nettleserutvidelser med uærlige hensikter som dominerer. Vi har også sett noen tilfeller av Windows-maskiner som har blitt infisert av malware av typen Banload og Glupteba. Til tross for økt beredskap og årvåkenhet i forbindelse med den spente sikkerhetssituasjonen ble det ikke observert noen hendelser utenom det vanlige.
Det var 263 bekreftede DDoS-angrep denne måneden, ned fra 267 i september. 70 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 35 Gbps og varte i 21 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
