Myndigheter fra USA og allierte land offentliggjorde denne måneden at de har gjennomført en aksjon mot Snake-malwaren. Det er den russiske aktøren Turla (FSB) som har benyttet malwaren i stadig nyere varianter de siste 20 årene. Snake brukes for spionasje og er designet for å ikke bli oppdaget. USA har imidlertid klart å avsløre nettverket og har dekodet kommandoene som brukes av kontroll-serverne. Dette har blitt brukt til å sende en kommando til infiserte servere som har uskadeliggjort malwaren. I forbindelse med aksjonen har det blitt gitt ut en detaljert gjennomgang av malwaren og hvordan en beskytter seg mot den.
Barracuda advarte i mai om en kritisk sårbarhet som allerede var i bruk mot deres Email Security Gateway (ESG). Svakheten ligger i en modul som utfører scanning av vedlegg i innkommende e-poster, og kan dermed utnyttes ved å sende en spesielt utformet epost gjennom enheten. En patch ble sendt ut 20. mai, men noen enheter var da allerede kompromittert. Enheter som ble rammet skal ha fått et varsel om dette i bruker-interfacet med instruksjoner om hva de skal gjøre videre. Firmaets skytjenester (Saas) skal ikke være rammet. Etter hvert viste det seg at svakheten hadde vært utnyttet i det stille helt siden november 2022. Det viser seg dessverre litt for ofte at enheter som er ment å gjøre nettverket sikrere i stedet har store sikkerhetssvakheter.
Microsoft har sluppet den fjerde utgaven av Cyber Signals. Her skriver de om en økning i svindel gjort ved hjelp av BEC - Business Email Compromise. Ved denne svindelmetoden bruker angriperne forskjellige metoder via e-post, telefon-oppringninger og sosiale medier, typisk for å lure til seg penger fra bedrifter. Microsoft anbefaler sikre e-post-løsninger, å beskytte identiteter ved hjelp av to-faktor innlogging, opplæring av ansatte og å bruke en sikret betalingsplattform for å motvirke svindel-forsøkene. Alle større utbetalinger bør også kontrolleres av flere ansatte og bør verifiseres via minst to kommunikasjonsmetoder. Mange norske bedrifter og offentlige institusjoner har blitt rammet av denne typen svindel de siste årene.
Det amerikanske Justisdepartementet har beslaglagt domenene til 13 tjenester som har solgt DDoS-angrep. Tilbyderne av disse ulovlige tjenestene beskriver dem som "booter"- eller "stressor"-tjenester, som lar nettstedeiere teste robustheten og stabiliteten til infrastrukturen deres. Disse tjenestene blir imidlertid som oftest benyttet av personer som ønsker å hevne seg på nettsteder, medspillere i online-spill eller for å drive utpressing ved å ta ned Internett-forbindelsen deres.
Trusselaktører benytter seg i økende grad av Google-annonser for å få tilgang på innsiden av bedriftsnettverk. Annonsene gir seg ut for å være legitime populære applikasjoner som brukere ofte laster ned til sine PCer, men offeret blir egentlig lurt til å laste ned en bakdør sammen med applikasjonen. Denne typen annonser havner over de vanlige søkeresultatene, og mange lar seg derfor lure. Tilgangene blir typisk solgt videre på markedsplasser og brukt til spionasje eller utpressing. For å motvirke denne typen angrep bør ikke ansatte ha mulighet til å installere tilfeldig programvare fra nettet.
Ondsinnede aktører har en tendens til å utnytte populære fenomener og tjenester i sitt virke, og den mye omtalte chatboten ChatGPT er intet unntak, viser det seg. I løpet av de siste månedene har Facebook etterforsket og gått til aksjon mot flere typer skadevare som utnytter folks interesse for OpenAIs ChatGPT for å lure dem til å installere skadevare som utgir seg for å ha AI-funksjonalitet. Ofte er det nettleser-tillegg som brukes for å infisere brukerne. Vi har også sett flere tilfeller av dette på SOC. Ansatte bør kun ha mulighet til å installere forhåndsgodkjente nettleserutvidelser for å unngå denne angrepsvektoren.
En hengelås på en nettside var for noen år siden en sterk indikasjon på at nettsiden var trygg, siden sider med svindel og skadevare svært sjelden var sikret med SSL/TLS-kryptering. Etter hvert ble imidlertid også forbindelsen til svindel-nettsteder rutinemessig kryptert. Hengelåsen blir fortsatt misforstått av mange til å indikere at nettsiden er sikker, noe Google nå vil gjøre noe med. I løpet av de neste månedene vil hengelåsen bli byttet ut med et ikon for innstillinger i nettleseren Chrome, og beslektede nettlesere. Google mener at en sikker forbindelse til en nettside nå bør være en selvfølge og at hengelåsen derfor er unødvendig. Ved å trykke på ikonet kan brukeren se status på kryptering, nettsidens tilgang til mikrofon, kamera, lokasjon osv.
I mai håndterte TSOC 53 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 54 i april. Vi ser at phishing-eposter stadig er effektive. Ofte blir det først oppdaget at brukeren har blitt frastjålet passordet sitt, ved at uvedkommende prøver å logge på kontoen. Heldigvis blir dette ofte avverget ved at sikkerhetssystemer fanger opp at brukeren logger på fra en uvanlig fysisk lokasjon, gjerne i kombinasjon med at innloggingen gjøres fra en ukjent PC. To-faktor autentisering avverger også mange av denne typen angrep. Denne måneden hadde vi også noen tilfeller av maskiner som ble infisert av malwaren “SocGolish”. Trusselaktøren bak, TA569, legger inn Java-script-kode på sårbare nettsteder som viser pop-ups til brukerne om at de må oppdatere nettleseren sin. Mange lar seg dessverre lure, og resultatet kan bli uthenting av informasjon fra PCen, eller i siste instans ransomware og kryptering av data i hele nettverket.
Det var 161 bekreftede DDoS-angrep denne måneden, ned fra 200 i april. 60 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3 Gbps og varte i 35 minutter. Det største angrepet observert i denne perioden var på 48 Gbps og varte i ni minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
