Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 6. mars 2023

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2023

2. februar meldte Vadsø Kommune om uønsket aktivitet i deres nettverk. Nettverket ble stengt ned og kommunale brukere var uten nettforbindelse i rundt ett døgn etter hendelsen. I dagene etterpå var det også problemer med noen tjenester. Den 10. februar meldte kommunen at angrepet hadde skjedd via lekkede påloggingsdetaljer tilhørende en ekstern tjenesteleverandør og at alle kommunale tjenester igjen fungerte som normalt. 3. februar kl 13:00 stengte også Målselv Kommune ned sin Internett-forbindelse etter mistanke om datainnbrudd. Situasjonen ble avklart og nettforbindelsen åpnet igjen kl 18:45 samme dag. Begge sakene er politianmeldt og etterforskes av et team hos Kripos.

DNB melder at digitale bedragerier har økt med 832 prosent fra 2018 til 2022. Bedrageriene er også mer avanserte enn tidligere, samtidig som at de rammer både bedrifter og privatpersoner. DNB klarte i fjor å avverge bedrageriforsøk for 1067 millioner kroner, men de kriminelle lyktes med å gjennomføre bedragerier for 177 millioner kroner fra deres kunder. Over halvparten av bedrageriforsøkene skyldes phishing. Det siste året har det vært en økning i phishing-forsøk på 69 prosent og hele 920 prosent i forhold til for tre år siden. Ofte skyldes vellykket phishing at folk har mer tillit til bedrageren enn de har til bankens varslinger. Dette forklares med at bedragerne har blitt mer sofistikerte i sine angrep.

Flyselskapet SAS ble 14. februar utsatt for et tjenestenektangrep (DDoS) som rammet både nettsiden og appen til selskapet. I forkant av angrepene hadde en hacktivist-gruppe truet med å utføre DDoS-angrep mot flere svenske flyselskaper. I en tidsperiode ble kunder i mange tilfeller sendt til en annen tilfeldig profil, dersom de prøvde å logge seg inn på appen. Med dette kunne man både se personopplysninger samt bonuspoeng og kommende flyvninger. Klokken 20:45 ble innloggingsproblemene løst. Det er ikke meldt om at SAS ble utsatt for innbrudd i sine datasystemer.

Økokrim har tatt beslag i verdier for rundt 60 millioner kroner etter rekordtyveriet mot spillet Axie Infinity og 750 norske spillere i fjor. De jakter nå videre på flere milliarder kroner som fortsatt er utestående sammen med FBI. Tidligere har FBI fått tak i rundt 300 millioner i tilsvarende beslag. Ifølge det amerikanske føderale politiet FBI stod den nordkoreanske hackergruppen «Lazarus» bak tyveriet i fjor.

Rundt nyttår ble en kvinnelig sjåfør stoppet i en rutinekontroll i Paris. I bilen ble det funnet en mistenkelig gjenstand som politiet først trodde var en bombe. Det viste seg etter hvert at gjenstanden var en IMSI-catcher. Dette er avansert utstyr som brukes av politi og hemmelige tjenester for å overvåke mobilkommunikasjon og finne ut hvor mobiltelefoner befinner seg fysisk. Det viser seg nå at utstyret ble brukt til å sende ut over 400.000 SMS-meldinger til mobiler i nærheten som lurte mottakerne til å besøke en phishing-side.

Europakommisjonen har nå innført nye sikkerhetsregler som bannlyser de ansatte fra å bruke appen TikTok på sine mobile enheter betalt av arbeidsgiver. Dette blir gjort for å styrke cybersikkerhet internt i kommisjonen, gjennom å stoppe kartlegging av ansatte og innsamling av data fra mobiltelefonene. De ansatte ble bedt om å avinstallere appen på offisielle enheter umiddelbart, samt personlige enheter dersom disse blir brukt i jobbsammenheng. Appen kan fortsatt brukes på helt private mobilenheter. Det hvite hus meldte noen dager senere at den kinesisk-eide appen skal være fjernet fra telefoner og systemer som tilhører regjeringskontorene i USA innen 30 dager.

En av de største sykehus-kjedene i USA opplyser at hackere har fått tak i sensitiv helseinformasjon om rundt 1 million pasienter. Opplysingene ble stjålet etter å ha utnyttet en svakhet i filoverføringsverktøyet GoAnywhere fra Fortra. Journalisten Brian Krebs advarte to uker før angrepet om at en ny svakhet var under aktiv utnyttelse i verktøyet GoAnywhere. Svakheten ble senere kjent som CVE-2023-0669 og ble patchet av selskapet 7. februar. Flere andre firmaer skal også ha blitt kompromittert ved hjelp av svakheten. Flere har blitt utsatt for ransomware. Utnyttelse av svakheten krever tilgang til innloggings-siden til verktøyet.

Før Russland invaderte Ukraina gjennomførte den russiske regjeringen flere aksjoner mot russiske kriminelle grupper for å blidgjøre vestlige land. Etter invasjonen har den russiske regjeringens styrket båndene til cyberkriminelle, skriver The Record. Forskjellige kriminelle grupperinger utfører oppdrag som understøtter krigen, ofte ved å lekke stjålne data fra Ukraina. Dette har også ført til en økning i cyberkriminalitet, da kriminelle har fått økt støtte og beskyttelse fra regjeringen, så lenge de ikke angriper mål innenlands. Myndighetene kan også gjennomføre aksjoner gjennom de kriminelle gruppene eller gi seg ut for å være dem.

Bitwarden og 1Password er to apper for lagring av passord, såkalte passord-hvelv. Firmaene bak applikasjonene melder at cyberkriminelle lager falske nettsider som etterligner deres nettsider. De betaler også Google for annonser på deres søkesider. Når man f.eks. søker etter «bitwarden password manager» kommer det opp en falsk side som første resultat hos Google, men brukeren blir sendt til en phishing-side som ser identiske ut til originalen og også har et lignende domene-navn. Trusselaktørene prøver gjennom denne teknikken å få tilgang til alle kontoene som er lagret i ofrenes passord-hvelv, ved å lure fra dem deres hoved-passord til hvelvet. Google opplyser at å stoppe denne typen angrep har høyeste prioritet, men annonser fra Google har i det siste vært kilde til flere typer svindel og spredning av malware.

I februar håndterte TSOC 111 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 148 i januar. Denne måneden oppdaget vi flere maskiner som var kompromittert og infisert med bakdørene AsyncRAT og DCRAT. Denne typen verktøy kan brukes til å fjernstyre de infiserte maskinene, kopiere ut informasjon fra dem og bruke dem som utgangspunkt for videre innbrudd i nettverket.

Det var 252 bekreftede DDoS-angrep denne måneden, ned fra 358 i januar. 138 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.57 Gbps og varte i 3 timer. Lengden på et gjennomsnittlig angrep gikk mye opp denne måneden i forbindelse med langvarige angrep som hacktivist-grupper som Noname057 har påtatt seg ansvaret for. Det største angrepet observert i denne perioden var på 65 Gbps og varte i 44 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Ingen kommentarer:

 
>