I juni håndterte TSOC 49 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 53 i mai. Denne måneden hadde vi et eksempel på at uvedkommende logget på en PC hos en av våre kunder fra en TOR-node. TOR står for “The Onion Router”, og er en del av Internet som ofte omtales som “det mørke nettet” på norsk. Denne delen av Internet er kryptert og anonymisert. TOR har imidlertid rundt 2000 såkalte “exit-noder”, som gjør at trafikk fra det mørke nettet kan sendes ut på det vanlige åpne nettet. Trafikk som kommer ut fra disse nodene bærer dessverre ofte preg av kriminell virksomhet, så også i dette tilfellet. Heldigvis flagget sikkerhetssystemet innloggingen som mistenkelig, siden den stammet fra TOR-nettet. Bruker-kontoen ble derfor sperret inntil et nytt passord var satt. Det er uvisst hvordan passordet kom på avveie.
Det var 126 bekreftede DDoS-angrep denne måneden, ned fra 161 i mai. 52 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6.3 Gbps og varte i 32 minutter. Det største angrepet observert i denne perioden var på 216 Gbps og varte i 11 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Flere hundre norske bilverksteder ble rammet etter at IT-leverandøren Helios Auto i Verdal i Trøndelag ble utsatt for et angrep med løsepengevirus. Angriperne krypterte servere hos bedriften og kom med krav om løsepenger for å låse opp igjen systemene. Bilverksteder over hele landet måtte gå tilbake til manuelle rutiner, siden de nå manglet informasjon om kunder, biler, deler og priser. Helios jobbet i rundt én uke med å få systemene fullt operative igjen. Heldigvis hadde en de fersk backup av sine systemer, og ingen data gikk dermed tapt. Angriperne lyktes heller ikke i å stjele informasjon om kundene for bruk i utpressing.
MOVEit er et filoverføringssystem som brukes av større virksomheter for å kopiere store mengder data. Systemet er dessverre i mange tilfeller eksponert direkte ut mot Internett, og er dermed ekstra utsatt dersom det finnes svakheter i det. Løsepengevirus-aktøren Cl0p oppdaget en svakhet i systemet og kunne dermed utnytte denne direkte mot alle MOVEit-servere som var tilgjengelig på nettet. Tilgangen ble brukt til å laste ned store mengder data fra hundrevis av ofre. Siden svakheten var helt ny, var det ingen som oppdaget aksjonen før det var for sent. Denne gangen ble ingen data kryptert, det ble kun truet med å offentliggjøre interne stjålne data. Blant ofrene er flere departementer og offentlige etater i USA, Schneider Electric, Siemens Energy, BBC, British Airways osv. Heldigvis virker det som om MOVEit hadde få brukere i Norge. Mot slutten av måneden utlovet det amerikanske utenriksdepartementet en dusør på USD 10 millioner for informasjon som kunne knytte ransomware-aktøren Cl0p, eller lignende trusselaktører, til en utenlandsk regjering.
Russlands FSB beskylder USA for å ha hacket tusenvis av Apple-enheter tilhørende diplomater og ansatte i stats-adminstrasjonen. Det russiske cybersikkerhetsfirmaet Kaspersky ga også ut en rapport der de analyserer iOS-malwaren som har rammet deres ansatte. Malwaren infiserer mobilene uten at brukeren trenger å foreta seg noe, såkalt zero-click. Kaspersky har døpt operasjonen "Operation Triangulation". FSB påstår også at Apple samarbeider med NSA om å infisere mobilene. En talsmann for Apple har kommentert at de aldri har jobbet med noen regjering for å legge inn bakdører i Apple-produkter og at de heller aldri kommer til å gjøre det. Senere i måneden ga Apple ut sikkerhetsoppdateringer som patchet de tre svakhetene som operasjonen benyttet seg av.
Fortinet ga ut en oppdatering for sine SSL-VPN produkter som fikser en kritisk RCE (Remote Code Execution) sårbarhet. Sårbarheten tillater en ekstern aktør å koble seg opp mot med enheten over VPN uten å autentisere seg, selv med MFA (Multi Faktor Autentisering) skrudd på. Rundt tre uker etter at oppdateringen ble gjort tilgjengelig, var det fortsatt mer enn 300 000 sårbare enheter eksponert mot Internett, tross flere oppfordringer om patching fra Fortinet.
ThreatFabric rapporterer at Android-brukere fra minst fem land har blitt utsatt for en malware-kampanje, der falske apper fra Google Play Store brukes for å hente ut bankinformasjon. Den første falske appen ble oppdaget i mars 2023 der appen utga seg for å være en PDF-leser. Totalt har det blitt funnet fem lignende apper. Ved hjelp av grafiske elementer som legger seg over andre apper, kan skadevaren (kalt Anatsa) stjele sensitiv informasjon som brukernavn/passord, kredittkort, kontobalanse og betalingsinformasjon. Dette kan så brukes av trusselaktørene for å initiere falske bankoverførsler i offeret sitt navn. Det er så langt ikke meldt om ofre i Norge.
