Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 6. desember 2022

Oppsummering av nyhetsbildet innen datasikkerhet for november 2022

Microsoft har sluppet ny "Digital Defense Report" for 2022 med fokus på krigen i Ukraina, hvor det kommer frem at det generelt har vært en økning av aggressive angrep på nett fra land med autoritære ledere. Det siste året har angrep mot kritisk infrastruktur fra nasjonalstater økt fra 20% av alle angrep til 40%, noe som i stor grad skyldes Russlands stadige angrep mot Ukraina. Iran har også utført flere dristige angrep mot EU-stater og Israel etter overgangen til ny president. Nord-Korea, som inntok sin mest aggressive periode med missiltesting i første halvår av 2022, har stått bak tyveri fra luftfarts og forsknings-miljøer over hele verden. Kina økte sin spionasje og datatyverier som et forsøk på å øke sin regionale innflytelse i Sørøst-Asia og motvirke økende interesse fra USA. Mange av angrepene fra Kina er utført med helt ferske og ukjente svakheter, såkalte 0-day angrep. Borgere i Kina som oppdager nye svakheter i programvare er nå pålagt å melde fra om disse til myndighetene først.

Et angrep på en underleverandør av IT-systemer til DSB (Danske Statsbaner) førte til at nesten alle tog i Danmark måtte stanse i flere timer og flere tog var forsinket helt til neste dag. Leverandøren Supeo hadde blitt rammet av et løsepengevirus og slo av serverne sine. Dette førte til at en kritisk app for togførere ikke lengre fungerte og togene måtte stoppes av sikkerhetshensyn. Appen gir vanligvis informasjon om fartsgrenser, arbeid på linjene osv.

Australia har i de siste ukene vært utsatt for flere alvorlige cyber-angrep som også har involvert løsepenger. Medibank og Optus er blant firmaene som har blitt rammet, noe som har resultert i at store mengder personlig informasjon for kunder og ansatte er på avveie. Australske myndigheter vurderer nå å forby betaling av løsepenger, for å forsøke å få hackere til å holde seg unna landet. Det har også blitt opprettet en cyber-politi-enhet som skal kjempe tilbake mot angriperne. Enheten har medlemmer både fra det føderale politiet (AFP) og utenlandsetteretningen (ASD). Gruppen skal ha tillatelse til å utføre cyber-angrep mot kriminelle.

Nettstedet "ispoof", som har blitt brukt for å selge tjenester relatert til spoofing/forfalskning av bedrifters telefonnummer, har blitt tatt ned av politimyndigheter fra Europa, Australia og USA. Nettstedet skal ha tjent over 3,7 millioner euro i løpet av 16 måneder, samt forårsaket et estimert tap på 115 millioner euro globalt i forbindelse med svindel. 142 personer har blitt arrestert, inkludert administratoren av nettstedet.

Interpol kunngjorde også denne måneden at de hadde beslaglagt $130 millioner i virtuell valuta etter en global aksjon mot finansiell kriminalitet og hvitvasking av midler. Aksjonen har fått navnet HAECHI-III, har pågått siden juni i år og har ført til arrestasjon av 975 personer. Sakene omfatter blant annet pyramidespill og call-center aktivitet relatert til svindel.

Cloud9 er et nytt botnet som kommer i form av en nettleser-utvidelse. Skadevaren oppfører seg som en fjern-tilgang trojaner og har flere funksjoner, blant annet lagring av tastetrykk, cookie-stjeling og mulighet for å få en infisert PC til å delta i DDoS-angrep. Frem til nå har skadevaren kun blitt spredd via falske eksekverbare filer og skadelige nettsider kamuflert som Flash Player-oppdateringer. Det er ikke funnet spor av at den spres via nettleseres innebygde nedlastings-tjenester for utvidelser.

Flere nyere phishing-kampanjer har lagret skadevare, opprettet phising-infrastruktur og gjennomført andre angrep som har benyttet seg av lagring av data hos InterPlanetary Filesystem (IPFS) . IPFS er ett peer-to-peer nettverk som replikerer data på tvers av flere noder. Nettverket er laget for høy tilgjengelighet og å være motstandsdyktig mot sensur. Dette gjør at nettverket dessverre er velegnet for kriminell virksomhet, sammen med andre legitime bruksområder.

Et lenge nedlagt undergrunnsmarked for narkotika på det mørke nettet kalt the Silk Road, har vist seg å være en gullgruve for amerikanske myndigheter. I går annonserte US Department of Justice at de har siktet en mann fra Georgia for å ha stjålet over 50.000 bitcoin fra Silk Road i 2012, verdt over 3 milliarder dollar. James Zhong har allerede innrømmet saken. Nøklene til verdiene var lagret i en liten datamaskin, gjemt i en Popcorn-boks som igjen var gjemt under gulvplankene på badet.

I november håndterte TSOC 124 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 113 i oktober. Denne måneden er det nok en gang en del maskiner som har blitt infisert av malwaren Banload, som typisk laster ned enda mer malware til en rammet maskin. Vi ser også informasjons-stjeleren Red Line og diverse malware som utvinner kryptovaluta på infiserte maskiner.

Det var 176 bekreftede DDoS-angrep denne måneden, ned fra 263 i oktober. 74 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.13 Gbps og varte i 27 minutter. Det største angrepet observert i denne perioden var på 67 Gbps og varte i 24 timer. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

 
>