Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 6. januar 2023

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2022

Før jule- og nyttårshelgen var det mange som var bekymret for en reprise av stresset fra de to foregående årene. Desember 2020 ble verden rammet av et svært avansert forsyningskjede-angrep via programvareselskapet Solarwinds. For ett år siden ødela svakheten Log4J julefeiringen for millioner av sikkerhetsfolk. Desember 2022 viste seg heldigvis å bli rolig på datasikkerhetsfronten, både her hjemme og internasjonalt, til tross for at den globale sikkerhetssituasjonen er mer spent enn på lenge.

Dessverre ble to norske bedrifter rammet av ransomware i løpet av måneden. 15. desember ble Stangeland Maskin rammet av ransomware. Hackere krevde millioner av kroner i løsepenger, ifølge Aftenbladet. Leverandører av selskapet ble varslet og hendelsen gikk heldigvis ikke ut over anleggsarbeidet. 19. desember meldte Rec Silicon at de hadde blitt rammet av løsepengevirus, som satte selskapets virtuelle servermiljø ut av drift en kort periode. Alle systemene kom opp igjen, men angriperne klarte dessverre å kopiere ut data fra bedriften før de ble stoppet. Disse stjålne dataene skal delvis ha blitt lagt ut offentlig. 

Passordlagringstjenesten LastPass har i det siste vært rammet av to datainnbrudd. 22. desember opplyste de at inntrengerne hadde kopiert ut data om kundene. Av ukrypterte data er både epost-adresser og hvilke tjenester kundene har lagret passord til. Dette kan brukes til å lage personlig utformede phishing-angrep for å lure fra brukerne passordene sine. Brukernes passord er heldigvis kryptert med den enkelte brukers "hovedpassord". Dersom dette passord er unikt og langt (minst 12 tegn), skal risikoen for at dataene kan dekrypteres være liten. Vi vil uansett anbefale å bytte passord på ekstra viktige tjenester som epost-konto, Apple ID, Google, BankID osv. Bytt også hoved-passord dersom dette ikke er unikt, eller ikke har tilstrekkelig antall tegn.

Flere norske SektorCERT-organisasjoner kom med advarsler mot spredning av ormen Raspberry Robin via USB-enheter i Norge. Ormen har også flere andre måter å spre seg på. Dersom en infisert USB-enhet blir satt inn i en PC, må brukeren manuelt åpne en fil for at infeksjonen skal skje. Brukerne blir imdlertid lurt til å trykke ved hjelp av falske ikoner, fristende filnavn osv. Etter at den får etablert seg på innsiden av et nettverk, blir denne tilgangen typisk videresolgt til andre kriminelle aktører for bruk i industri-spionasje, ransomware osv. Bedrifter bør vurdere å begrense kjøring av filer fra tilfeldige USB-enheter og eventuelt innføre hvitelisting av eksekerbare filer for å beskytte seg mot denne angrepsvektoren.

Det amerikanske justisdepartementet melder at de har arrestert seks personer for å ha drevet flere nettsteder som har tilbydd DDoS-angrep mot betaling. FBI har også beslaglagt 48 Internet-domener der tjenestene har blitt solgt. Denne typen tjenester ("booter"-tjenester) brukes ofte av utpressere. De velger seg ut ofre, utfører DDoS-angrep mot dem og forlanger løsepenger for å avslutte angrepene.

Apple har meldt at de nå vil tilby kryptering av bilder, chat-logger og andre sensitive bruker-data i iCloud. Den nye sikkerhetsfunksjonen ble tilgjengelig for kunder i USA før nyttår, mens resterende land vil få tilgang til tjenesten i løpet av 2023. Det er forventet at det vil komme protester fra myndigheter i forskjellige land sammen med potensielle lovforslag for å stoppe sikkerhetstiltaket. Fram til nå har mange lands myndigheter kunnet få tilgang til en ukryptert backup av Apple-enheter ved hjelp av krav om utlevering av data, noe som nå vil bli umulig

Sikkerhetsfirmaet Hold Security melder at ransomware-grupper i mange tilfeller har problemer med å få betalt. De benytter seg derfor av stadig nye utpressingsmetoder. Ransomware-gruppen Venus har for eksempel truet med å endre e-poster tilhørende høyt profilerte ledere, for å få det til å se ut som om de planlegger innsidehandel. Gruppen truer videre med å publisere disse e-postene dersom det ikke betales en sum løsepenger. En annen gruppe kalt CLOP har begynt å sende infiserte filer utformet til som ultralyd-bilder eller andre medisinske dokumenter. Deretter skaffer de helseforsikring og betalingsbevis for å booke en konsultasjonstime, i håp om at helsepersonell vil gå igjennom de infiserte filene før timen og dermed infisere systemene sine.

Tilgang til bedrifters stjålne e-post-kontoer blir solgt på markedsplasser for cyberkriminelle for så lite som $2. Det israelske cyber-etterretningsselskapet KELA rapporterer at minst 225.000 e-post-kontoer er til salgs på slike markedsplasser. Kontoene blir som regel stjålet ved hjelp av cracking (av stjålne passord-filer), gjetting av passord mot eksponerte tjenester (credential stuffing) eller phishing. De som kjøper kontoene bruker de gjerne til å utføre målrettede phishing-angrep eller som en inngangsport til dypere nettverks-infiltrering med industrispionasje eller ransomware som endelig mål.

I desember håndterte TSOC 107 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 124 i november. Denne måneden oppdaget vi blant annet at en USB-minnepinne ble satt inn i en PC til en av våre kunder. Infisering via USB-enheter har hatt en oppblomstring de siste måneden, spesielt fra skadevaren Raspberry Robin. En maskin infisert av malware fra grupperingen TA569/SocGholish ble oppdaget hos en annen kunde. Denne grupperingen har i de siste månedene infisert maskiner ved hjelp av annonser som videresender til nedlasting av malware.

Det var 212 bekreftede DDoS-angrep denne måneden, opp fra 176 i november. 82 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.72 Gbps og varte i 2 timer. Det største angrepet observert i denne perioden var på 20.3 Gbps og varte i 33 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Ingen kommentarer:

 
>