Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 7. februar 2023

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2023

Sikkerhetsforskere har avdekket at en ny versjon av malware-rammeverket Raspberry Robin har blitt brukt i angrep mot europeiske firmaer i finans- og forsikringssektoren. Raspberry Robin sprer seg blant annet via USB-enheter og har vært observert også i Norge de siste månedene. Det er vanskelig å detektere infeksjoner med rammeverket og malwaren i seg selv er også vanskelig å dekompilere.

Torsdag 6. januar og fredag 7. januar ble TV2.no og TV 2 Play utsatt for dataangrep. Angriperne benyttet lekkede passord fra andre tjenester for å logge seg inn. Det er foreløpig meldt at 18.000 kunder må bytte sitt passord. For å stoppe videre angrep har TV 2 valgt å sperre og tilbakestille passord på berørte kontoer. Datatilsynet er rutinemessig varslet, og TV 2 er også i dialog med Nasjonal Sikkerhetsmyndighet.

DNV bekrefter i en melding på deres nettsted at de har vært utsatt for et angrep med ransomware. Angrepet skjedde lørdag 7. januar og rammet serverne til systemet "ShipManager". Dette er et system som brukes for flåtestyring. DNV råder kundene til foreløpig å bruke systemet i frakoblet modus, inntil de får opp ryddet opp. Ingen andre systemer skal være rammet og DNV jobber sammen med politiet og eksperter for å få opp igjen systemer. 23. januar opplyste DNV at de fortsatt jobbet med å få opp igjen systemet. 70 kunder med til sammen rundt 1000 skip er rammet.

11. januar advarte Royal Mail i Storbritannia om at de hadde problemer med import og eksport av post grunnet datatrøbbel. Post inn i landet ble forsinket og post ut av landet stoppet helt opp. Kundene fikk til og med beskjed om ikke å levere inn flere pakker eller brev som skulle til utlandet. Innenlands post fungerte som normalt. Først 18. januar ble begrenset eksport av post startet opp igjen. I etterkant av hendelsen har Royal Mail bekreftet at problemene skyldtes ransomware og de beskyldte russiske kriminelle for å stå bak.

Sentinel Labs har skrevet en bloggpost om gruppen NoName057(16). Den pro-russiske hacktivist-gruppen har stått bak mengder av DDoS-angrep, sist i januar mot flere banker i Danmark. Gruppen stod også bak angrep mot NAV, Arbeidstilsynet, BankID og flere andre nettsteder i Norge sist sommer. Angrepene blir koordinert via en kanal i chatte-tjenesten Telegram. Primært bruker de verktøyet DDOSIA, som startes opp manuelt av hver enkelt tilhenger av grupperingen. Angrepene foregår typisk via ressurskrevende HTTPS-forespørsler direkte mot tjenestene som angripes. Bidragsytere som genererer mest effektiv angrepstrafikk kan også få belønning av gruppen.

De siste ukene har det vært flere tilfeller der sponsede søkeresultater fra Google sender brukerne til malware. Når en gjør Google-søk kommer det ofte opp sponsede resultater i toppen av resultat-listen. Hackere har nå satt opp falske nedlastings-sider for fritt tilgjengelige applikasjoner som VLC og 7-Zip. De kjøper også annonseplasseringer som sender brukerne til disse sidene for å laste ned malware, kamuflert som legitim programvare. Malwaren har i noen tilfeller blitt brukt til å stjele store verdier i form av krypto-valuta. Husk å alltid verifisere at du henter ned programvare fra den egentlige utgiveren. Det kan også være en god idé å laste opp filer til tjenesten Virus Total for testing, før en kjører nedlastede programmer.

En gruppe sikkerhetsforskere har undersøkt appene og APIene (Application Programming Interface) til diverse billeverandører for svakheter. De benyttet seg blant annet av en teknikk kalt “fuzzing”, som går ut på å bombardere de bakenforliggende systemene med alle mulige varianter av forespørsler for å avdekke svakheter. Resultatet ble at de klarte å låse opp biler, starte biler, logge inn på interne tjenester hos leverandørene, logge inn som ansatte uten passord, ta full kontroll over brukerkontoer osv. Blant firmaene som hadde kritiske svakheter var Ferrari, BMW, Rolls Royce, Nissan og Porsche. Sårbarhetene ble meldt til leverandørene så fort de ble oppdaget.

Den russiske trusselaktøren "Turla", som forbindes med etterretningstjenesten FSB, har fått tilgang til andre trusselaktørers servere ved å registrere gamle domener assosiert med eldre USB-basert skadevare. Turla bruker dermed allerede infiserte systemer fra andre trusselaktører for å unngå å avsløre seg selv. Turla sin "piggyback"-teknikk har vært observert siden september i fjor i forbindelse med "Andromeda"-skadevaren, som først ble oppdaget i 2013. Da det amerikanske selskapet Mandiant undersøkte kommando og kontroll serveren til Andromeda, oppdaget de at et domene assosiert med Andromeda hadde blitt registrert på nytt i 2022 av Turla-grupperingen.

Europol har i samarbeid med europeiske og amerikanske myndigheter klart å ta ned infrastrukturen til HIVE, et ransomware-as-a-service produkt fra HIVE ransomware group. Fra juni 2021 til januar 2023 har over 1500 firmaer fra over 80 land blitt utsatt for HIVE ransomware. Det er estimert et tap på rundt 100 millioner euro i løsepenger. Etter at Europol beslagla infrastrukturen har flere dekrypteringsnøkler blitt funnet, noe som sparte bedrifter for opp mot 120 millioner euro i løsepenger. FBI har i forbindelse med aksjonen utlovet en dusør på $10 millioner for tips som kan knytte Hive eller andre grupperinger til nasjonalstater.

Trusselaktører har nå blitt observert i å benytte seg av OneNote-vedlegg til bruk i epost-phishing kampanjer, en teknikk tidligere brukt ved hjelp av Word- eller Excel-dokumenter. I juli i fjor endret Microsoft standardinnstillingene for makroer til å være avslått i Microsoft Office-dokumenter som var lastet ned fra nettet, som et tiltak mot potensiell skadevare. Ved å legge til Office-dokumentene som vedlegg til OneNote-filer, kan denne sperren omgås. Office-vedleggene blir startet ved hjelp av Visual Basic Script-filer som også er vedlagt dokumentet. Disse filene blir gjemt under grafikk-elementer for at brukeren ikke skal fatte mistanke. Brukeren må også godta en eller flere sikkerhetsadvarsler, men erfaring tilsier at mange brukere ignorerer disse.

I løpet av 2022 har ransomware-grupper utpresset ofre for rundt $458.8 millioner, noe som er en nedgang på 40% i forhold til de siste to årene ($765 millioner). I følge data fra Chainalysis kan den drastiske nedgangen i profitt ikke korreleres med færre angrep totalt sett, men heller at ofrene nekter å betale løsepengene. Historisk sett har majoriteten av ofrene endt opp med å betale. I 2022 har dette snudd, siden 59 prosent av ofrene ikke endte opp med å betale løsepengene.

I januar håndterte TSOC 163 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 107 i desember. Denne måneden ble flere av våre kunder utsatt for overbevisende phishing-angrep som prøvde å lure fra brukerne innloggingsdetaljer til Microsoft sine tjenester. Angrepene ble heldigvis fort oppdaget og en del brukeres passord ble byttet for sikkerhets skyld. Ellers har vi oppdaget at en del maskiner har vært infisert av bakdørene AsyncRAT og DCrat (RAT - Remote Access Trojan. Det kan lønne seg med en liste over godkjente applikasjoner (hvitelisting) på PCer for å unngå denne typen malware.

Det var 358 bekreftede DDoS-angrep denne måneden, opp fra 212 i januar. 182 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.48 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 16 Gbps og varte i 16 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Ingen kommentarer:

 
>