Situasjonsrapport fra Telenor SOC - juli 2024

Alvorlige hendelser
I juli håndterte TSOC 8 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 19 i juni. Det er vanlig at antallet hendelser reduseres under sommerferien, ettersom færre ansatte er på jobb og det skjer mindre hos kundene våre.

Sommermåneden juli forløp relativt rolig på Telenor SOC. Den 11. juli ble imidlertid noen av Telenors nettsteder rammet av et relativt kraftig DDoS-angrep, noe som førte til treghet for kundene som brukte nettsidene. En kjent russisk hacktivist-gruppe tok på seg ansvaret for angrepet mot Telenor, samt noen andre norske nettsteder, i deres Telegram-kanal. Motivet for angrepet var Norges støtte til Ukraina. Angrepstrafikken ble raskt filtrert bort og nettsidene ble tilgjengelige igjen.

Denne typen politisk motiverte angrep fra forskjellige grupperinger har etter hvert blitt vanlig. Det er mange aktive grupper, og målene for angrepene endres ofte. De fleste større selskaper har heldigvis fått på plass effektive systemer eller tjenester for å raskt filtrere bort angrepstrafikken.

DDoS-angrep
Det var 110 bekreftede DDoS-angrep denne måneden, ned fra 115 i juni. 51 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6.3 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 91 Gbps og varte i 11 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. 

Nyhetsoppsummering
Den største hendelsen innenfor cybersikkerhet i juli var ikke forårsaket av en trusselaktør, men av en leverandør av sikkerhetsprogramvare. En feilaktig oppdatering fra cybersikkerhetsselskapet CrowdStrike levert fredag 19. juli, førte til at Windows-maskiner over hele verden krasjet. Dette skyldtes en feil i en kjerne-driver i produktet, levert gjennom en automatisk deteksjons-oppdatering. De påvirkede maskinene ble stående fast i en “Blue Screen of Death”-feilmelding, og måtte startes opp i “Safe Mode” for å fikses. Dette er en manuell prosess som må gjøres på hver enkelt maskin, og mange maskiner måtte også ha en spesiell BitLocker gjenopprettingsnøkkel. Det ble rapportert om tekniske problemer fra en rekke sektorer, inkludert flyselskaper, banker og mediehus over hele verden. Microsoft anslo at 8.5 millioner Windows-systemer ble påvirket av den feilaktige oppdateringen fra CrowdStrike.

Microsoft poengterte etter hendelsen at restriksjoner pålagt av EU-kommisjonen kan ha forsterket problemene med Windows-systemene. Selskapet peker på en avtale fra 2009 som krevde at Microsoft gir sikkerhetsleverandører samme tilgang til Windows som selskapet selv har. Denne avtalen, som skulle fremme konkurranse, kan gjøre det enklere for tredjepartsleverandører å forstyrre systemer ved en feil, siden de har full tilgang til kjernen i systemet.

I en gjennomgang etter hendelsen, avslørte CrowdStrike at det var en feil i et system for å teste programvareoppdateringer som var årsaken. Selskapet har lovet å forbedre sine rutiner og gjøre mer fullstendige tester før oppdateringer. Utrulling av oppdateringer skal også gjøres puljevis i framtiden. Etter hendelsen estimerte forsikringsselskapet Paramtrix at amerikanske firmaer hadde tapt $5.4 milliarder. Flere firmaer forbereder nå søksmål mot sikkerhetsfirmaet.

Fredag 12. juli avslørte AT&T at de hadde blitt rammet av et datainnbrudd i april 2024. Innbruddet har blitt knyttet til en amerikansk hacker bosatt i Tyrkia, som angivelig har fått 370.000 dollar i løsepenger for å sikre at den stjålne informasjonen ble slettet. Informasjon fra samtlige av AT&T sine kunder ble stjålet, og dataene inkluderte blant annet oversikt over samtaler og tekstmeldinger fra mai 2022 til januar 2023. Selskapet opplyste at ingen sensitive personopplysninger, som innholdet av samtaler eller tekstmeldinger, ble kompromittert. AT&T sine data ble stjålet fra en tredjeparts skyplattform. Mest sannsynlig dreier det seg om en kompromittert kundekonto hos selskapet Snowflake, som brukes av mange firmaer for å analysere interne data. Hackere har i de siste månedene brutt seg inn i Snowflake-kontoer tilhørende en rekke teknologi-selskaper.

TeamViewer ble utsatt for et datainnbrudd fra den russiske aktøren APT-29, også kjent som Cozy Bear og Midnight Blizzard. Aktøren forbindes med den russiske militære etterretningstjenesten SVR. Innbruddet ble gjort ved å logge seg inn med brukernavn og passord tilhørende en vanlig ansatt. Det er ukjent hvordan trusselaktøren fikk tak i denne informasjonen. Firmaet opplyser at angrepet ble stoppet i deres interne nettverk og ikke spredde seg til produksjonsnettverket.

Det legitime sikkerhetsverktøyet Cobalt Strike brukes ofte av kriminelle aktører for å bryte seg inn i bedrifter, samt å beholde tilgang til nettverket. Verktøyet er egentlig laget for legitim bruk i forbindelse med sikkerhetstester, men det blir ofte misbrukt i piratkopierte utgaver. I forbindelse med en aksjon, kjent som "Operation MORPHEUS", har Europol sørget for å ta ned 593 Cobalt Strike-servere i 27 land. Europol har blant annet samarbeidet med BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch og The Shadowserver Foundation i forbindelse med aksjonen. Europol vil nå følge med på denne typen misbruk framover og aksjonere etter hvert som det trengs.

En alvorlig sårbarhet kalt PKfail har blitt oppdaget i Secure Boot-funksjonen til PCer, som lar angripere installere UEFI-skadevare på hundrevis av enheter fra ti forskjellige produsenter. Denne svakheten skyldes bruk av testnøkler i stedet for sikre plattformnøkler, noe som undergraver hele sikkerhetskjeden fra firmware til operativsystemet. Berørte produsenter inkluderer Acer, Dell, HP, Intel, Lenovo og Supermicro. Brukere anbefales å oppdatere til siste firmware når fikset versjon er tilgjengelig for å beskytte sine enheter.

En sikkerhetsforsker ved eSentire har skrevet om nedgraderingsangrep mot passkey-autentisering i forbindelse med AitM (Adversary In The Middle)-angrep. Mange tjenester tilbyr nå login ved hjelp hardware eller software-baserte FIDO2-kompatible sikkerhetsnøkler, eller passkeys. Disse gjør i teorien phishing-angrep umulig å gjennomføre. Ved hjelp av phishing-sider som benytter seg av AitM-teknikker, kan imidlertid innloggings-sidene skrives om i sanntid, til kun å tilby usikre innloggingsmetoder. Bloggposten demonstrerer disse teknikkene og tar for seg forskjellige metoder for å motvirke angrepene, samt hvordan best å håndtere mistede sikkerhetsnøkler. Vi anbefaler en gjennomlesning her.

Situasjonsrapport fra Telenor SOC - juni 2024

Alvorlige hendelser
I juni håndterte TSOC 19 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 21 i mai.

Den 14. juni ble vi oppmerksomme på spredning av bank-trojaneren Vultur i Norge. Denne trojaneren retter seg mot Android-mobiler og gir blant annet trusselaktørene mulighet til å fjernstyre enheten, utføre klikk, skrolle, ta bilder av skjermen og laste opp og ned filer.

Det hele startet med en tilsynelatende uskyldig SMS-melding om en ubetalt faktura som nå vil bli sendt til inkasso. Denne meldingen ble sendt ut til flere tusen i Norge i løpet av noen få timer. Offeret ble bedt om å ta kontakt via telefon til et svensk nummer, for å unngå ekstra kostnader. Når offeret ringte nummeret, ble de møtt av en person som snakket godt svensk. Svindleren overbeviser så offeret om at mobilen trenger ekstra sikkerhetsprogramvare og sender en SMS til offeret med en lenke for nedlasting, som i virkeligheten er en modifisert versjon av McAfee Security-appen. Offeret blir så veiledet til å installere trojaneren, på tross av flere sikkerhetsadvarsler fra mobilen.

Noen hundre norske kunder hadde ringt opp det svenske nummeret, og et titalls kunder lastet ned den falske programvaren. Disse ble kontaktet av kundeservice for å få hjelp til å slette skadevaren fra mobilen sin. Etter kort tid sperret Fraud & Crime-avdelingen meldingene fra å bli sendt ut til kundene, samt sperret siden for nedlasting av trojaneren i Nettvern og SafeZone. Noe senere fikk vi også tatt ned de svenske numrene som ofrene ble bedt om å ringe til. Det tok heller ikke mange timer før sikkerhetsprogramvaren Google Play Protect, som er innebygget i Android-mobiler, begynte å sperre for installasjon av trojaneren på mobilene.

DDoS-angrep
Det var 115 bekreftede DDoS-angrep denne måneden, ned fra 151 i mai. 59 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 89 Gbps og varte i 9 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. 

Nyhetsoppsummering
Flere av kundene til tjenesteleverandøren Snowflake har vært utsatt for datainnbrudd i juni, blant annet TicketMaster og Santander. Dette har mest sannsynlig skjedd etter at kundene har vært rammet av phishing eller informasjons-stjelere, der påloggingsinformasjon til Snowflake-tjenesten har blitt stjålet. Snowflake har ikke hatt krav om MFA i sin innloggingsløsning, og det har heller ikke vært mulig for en bedrift å tvinge alle sine brukere over på trygg autentisering. Google meldte etter hvert at det var den økonomisk motiverte trusselaktøren UNC5537 som stod bak flere av innbruddene. Aktøren har brutt seg inn i firma-kontoer, lastet ned store mengder interne data og presser deretter firmaene for penger, for ikke å offentliggjøre den interne informasjonen, som ofte blir avertert på diverse undergrunns-sider for salg. Vi anbefaler ikke-phishbar MFA på alle sensitive tjenester (sertifikater, hardware-baserte sikkerhetsnøkler, passkeys osv.)

I starten av juni kom nyheten om en kommende Windows-funksjon kalt "Recall". Denne tar bilder av alt på skjermen med få sekunders mellomrom, henter ut tekst i bildene ved hjelp av ODR og indeksere og lagrer alt lokalt, noe mange mente kunne føre til lekkasje av interne bedriftsdata, passord, QR-koder osv. ved eventuelle senere innbrudd på en PC. 7. juni opplyste Microsoft at de vil endre standardinnstillingen for funksjonen fra på til av. Brukerne må dermed ta et bevisst valg for å ta funksjonaliteten i bruk.

Hackergruppen "Shiny Hunters" la i starten av juni ut interne data fra Ticketmaster for salg. Disse dataene inkluderer informasjon om 560 millioner brukere, inkludert navn, adresse, e-post, telefonnummer, kjøpte billetter og noe kredittkortinformasjon. Ticketmaster bekreftet senere datainnbruddet. Innbruddet mot Ticketmaster knyttes mot skytjenesten "Snowflake", og det er flere ofre, blant annet banken Santander. 

Google kom med nye detaljer rundt den finansielt motiverte trusselaktøren UNC3944, også kjent som Oktapus, Octo Tempest, Scattered Spider osv. Etter å ha fått initielt fotfeste i en bedrift, beveger de seg nå ofte over i tilknyttede SaaS (Software as a Service)-tjenester. Data fra disse tjenestene blir eksfiltrert mot andre skytjenester som aktøren kontrollerer. Initiell tilgang til firmaer blir gjerne oppnådd gjennom å kontakte bedriftens helpdesk. Aktøren gir seg ut for å være en ansatt med gode interne tilganger som har mistet mobilen sin, og dermed må innrulleres i systemene på nytt. Aktøren har på forhånd gjort klar mye relevant personlig informasjon personen de gir seg ut for, i tilfelle det kommer sikkerhetspørsmål fra helpdesk.

Situasjonsrapport fra Telenor SOC - mai 2024

Alvorlige hendelser
I mai håndterte TSOC 21 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 22 i april.

Denne måneden ble en av våre kunder forsøkt lurt ved hjelp av en e-post. Denne var spoofet til å se ut som om den kom fra en av de ansatte og ble sendt til HR-avdelingen, med en forespørsel om å endre kontonummeret for utbetaling av lønn. Saksbehandleren endret kontonummeret og svarte bekreftende tilbake at alt var i orden. Like etter fikk imidlertid saksbehandleren en dårlig følelse og varslet CSO (Chief Security Officer) i bedriften om mistanken. Etter nærmere undersøkelser ble det bekreftet at dette var et svindelforsøk, og kontonummeret ble endret tilbake før noen utbetalinger ble foretatt.

Saken viser viktigheten ved å ha en god sikkerhetskultur med oppmerksomme ansatte, samt en klar rapporteringsvei ved mistenkelige hendelser. For å unngå spoofede eposter er det også viktig å ha kontroll på epost-standarder som kan hindre spoofing, som SPF, DKIM og DMARC. Det kan også være lurt at de ansatte selv kan oppdatere sine relevante opplysninger i HR-systemet. Her er det imidlertid en forutsetning at innloggingssystemet er tilstrekkelig sikret, f.eks. med sterk 2FA-innlogging, at systemet kun kan brukes fra bedriftens nettverk osv.

DDoS-angrep
Det var 151 bekreftede DDoS-angrep denne måneden, ned fra 155 i april. 90 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7 Gbps og varte i 31 minutter. Det største angrepet observert i denne perioden var på 146 Gbps og varte i 17 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. 

Nyhetsoppsummering
De siste årene har avanserte aktører tatt i bruk såkalte "ORB-nettverk" (Operational Relay Box Networks) for å skjule hvor deres angrepstrafikk kommer fra. Dette er proxy-nettverk som er bygget opp av kompromitterte servere og hjemmeroutere, leide virtuelle servere i skyen og andre enheter. Angriperne bruker disse enhetene til å sende trafikk ut på nettet og kan dermed bytte IP-adresser ofte. IoCer (Indicators of Compromise) som forholder seg til IP-adresser blir dermed mindre nyttige for attribusjon av angrep. Det er egne aktører som vedlikeholder og selger tilgang til disse nettverkene.

Det amerikanske selskapet Change Healthcare ble rammet av ransomware i februar 2024. I forbindelse med en høring har det nå kommet fram flere detaljer rundt hendelsen. Den startet med at en ansatt den 8. februar ble utsatt for skadevare som kopierer ut sensitiv informasjon fra en PC, blant annet brukernavn og passord til selskapets Citrix-plattform. Trusselaktøren kunne så enkelt logge på bedriftens systemer, siden MFA ikke var i bruk. Aktøren var aktiv i det interne nettverket i rundt 10 dager før kryptering av systemene startet. Change Healthcare betalte $22 millioner til trusselaktøren BlackCat for å unngå at gruppen skulle lekke personlige data tilhørende bedriftens kunder, samt låse opp interne systemer.

Angripere utnytter Microsofts Quick Assist-applikasjon for å utføre angrep ved hjelp av sosial manipulering, hvor angriperne gir seg ut for å være kjente kontakter for å få tilgang til offerets enhet og distribuere Black Basta-ransomware. Angrepskjeden involverer phishing via telefon for å få offeret til å installere fjernovervåkingsverktøy, etterfulgt av distribusjon av skadelig programvare som QakBot og Cobalt Strike, før Black Basta-ransomware aktiveres. Microsoft advarer brukere om muligheten for denne typen “tech support”-svindel og oppfordrer organisasjoner til å blokkere eller avinstallere dette og lignende verktøy, samt å trene ansatte i å gjenkjenne slike angrep.

En høytstående ansatt i FBI opplyste under en sikkerhetskonferanse at den finansielt motiverte trusselaktøren Scattered Spider består av rundt 1000 personer, hovedsakelig yngre medlemmer som ofte ikke kjenner hverandre direkte. Gruppen er også kjent som Oktapus og "UNC3944", og har stått bak profilerte angrep mot MBM Resorts og Okta. De fleste av medlemmene kommer fra UK og USA. FBI regner aktøren som én av topp tre aktører, sammen med Kina og Russland. Sosial manipulering benyttes ofte som initiell tilgang til organisasjoner, gjerne over telefon.

De siste månedene har hacktivister med knytning til Russland angrepet flere OT (Operasjonell Teknologi)-systemer i vestlige land, eksempelvis vannverk og demninger. Angrepsteknikkene er enkle og har så langt ikke hatt alvorlige konsekvenser. Som oftest blir systemene kompromittert gjennom dårlig sikrede VNC-servere for fjerninnlogging. Amerikanske CISA (Cybersecurity and Infrastructure Security Agency) anbefaler eiere av OT-systemer å sette seg inn i trusselen og gjennomføre deres anbefalinger for å stoppe denne typen angrep.

En internasjonal operasjon koordinert av Europol kalt “Operation Endgame” har tatt ned flere kjente botnet, samt skadevare-familier forbundet med disse, inkludert IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee og Trickbot. Dette er såkalt "dropper-malware", som er den første malwaren som blir installert på et system etter kompromittering. Bakmennene kan så kontrollere det infiserte systemet, hente ut informasjon og installere mer skadevare. Fire personer er arrestert og over 100 servere er tatt ned. Dette er den største aksjonen mot botnets noensinne, som er mye brukt i forbindelse med ransomware-angrep.

Situasjonsrapport fra Telenor SOC - april 2024

Alvorlige hendelser
I april håndterte TSOC 22 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, det samme antallet som i mars. Denne måneden oppdaget vi bruk av verktøyene SharpHound og BloodHound hos én av våre kunder. Førstnevnte er laget for å samle inn data fra en domenekontroller (Active Directory) for å få oversikt over brukere med utvidete rettigheter, objekter satt opp med feil rettigheter osv. Verktøyet BloodHound brukes deretter for å analysere de innsamlede dataene i et grafisk grensesnitt, slik at det blir enklere for en angriper å finne forskjellige måter å utvide rettighetene sine på i nettverket som angripes. Det viste seg heldigvis at verktøyene ble brukt i forbindelse med en sikkerhetstest, noe som nesten alltid er tilfellet med denne typen verktøy. Selv om vi mistenker at bruken er en test, varsler vi uansett kunden så fort som mulig for å få en sikker avklaring. Disse og beslektede verktøy brukes typisk etter at en angriper har fått et initielt fotfeste i et nettverk for videre kartlegging og utnyttelse.

DDoS-angrep
Det var 155 bekreftede DDoS-angrep denne måneden, opp fra 130 i mars. 98 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 10.1 Gbps og varte i 37 minutter. Det største angrepet observert i denne perioden var på 190 Gbps og varte i 8 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. 

Nyhetsoppsummering
Palo Alto Networks meldte 12. april om en kritisk sårbarhet i GlobalProtect-funksjonaliteten i PAN-OS programvaren, med alvorlighets-score (CVSS) på 10 av 10 mulige. Svakheten ble oppdaget 10. april og ble utnyttet av en sofistikert trusselaktør. Den lar angripere injisere kommandoer og dermed kjøre vilkårlig kode på brannmuren med administrator-privilegier. En oppdatering for svakheten ble gitt ut to dager senere. Utnyttelseskode for svakheten ble offentlig tilgjengelig 16. april. Utover i måneden ble det meldt om flere trusselaktører som utnyttet svakheten. Brukere av denne typen brannmur bør sjekke for kompromittering, dersom den har vært eksponert mot Internett før patchen ble installert.

24. april meldte Cisco at en avansert trusselaktør utnyttet flere nulldagssårbarheter i Cisco ASA VPN i kritisk infrastruktur. Kampanjen har pågått siden november 2023. Initiell inngangsvektor i kampanjen er så langt ukjent, men kan i mange tilfeller skyldes vellykket gjetting av passord mot enheten. Sårbarhetene som omtales av Cisco krever enten autentisering for å utnyttes eller tillater ellers tjenestenekt. Cisco publiserte sikkerhetsoppdateringer som adresserte sårbarhetene. I forbindelse med svakheten kom Nasjonal Sikkerhetsmyndighet (NSM) med flere forslag til tiltak, spesielt for samfunnsviktige virksomheter.

Cisco Talos advarer i en bloggpost om storskala innloggingsforsøk mot VPN- og SSH-tjenester som er tilgjengelig fra Internet. Angrepene har tiltatt i det siste og utnytter ofte benyttede brukernavn og passord. Innloggingsforsøkene kommer gjerne fra VPN-endepunkter eller TOR exit-noder. Typiske angrepsmål er: Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek og Ubiquiti. Vi anbefaler å sjekke for standard-kontoer på systemer, slå på MFA og benytte sertifikat-basert innlogging dersom mulig.

Apple har varslet brukere av deres produkter i 92 land om at de har vært utsatt for angrep via avansert overvåkingsprogramvare. Denne typen programvare blir typisk brukt av nasjonalstater for å bekjempe terrorisme og overvåke kriminelle, men mange bruker det også for overvåking av journalister, opposisjonen osv. Det mest kjente firmaet som leverer denne typen tjenester er israelske NSO Group med systemet "Pegasus". Det er ukjent hvem som står bak denne siste bølgen med angrep. Personer som står i fare for å rammes av denne typen angrep anbefales å slå på "Lockdown Mode" på sin Apple-enhet. Denne gjør enheten sikrere, mot noe tap i funksjonalitet.

Malwarebytes har skrevet en bloggpost om en pågående kampanje som forsøker å levere skadevare til systemadministratorer. Ved søk på populære programmer som PuTTy og FileZilla, dukker det opp annonser i toppen av søkeresultatet som fører til nedlasting av skadevare av typen Nitrogen. Denne brukes for initiell tilgang til kompromitterte systemer, og etterfølges gjerne av tyveri av informasjon eller installasjon av ransomware. Annonsene har blitt rapportert til Google, men kampanjen fortsetter. Vi anbefaler å sjekke nøye hvilke sider en laster ned programvare fra og sjekke installasjonsfiler før de kjøres. Sponsede søkeresultater bør unngås ved søk på programvare!

Netcraft har sett nærmere på phishing-tjenesten Darcula. Tjenesten støtter ikke bare SMS, men også iMessage mot iPhones og RCS mot Android-telefoner. Bruken av disse krypterte tjenestene kan inngi økt tillit hos mottakeren. De gjør det også umulig for mobilleverandøren å filtrere ut spam, siden meldingene ikke kan leses av leverandøren. I de siste månedene har phishing via iMessage og RCS rammet også norske brukere.

Google har gjennomgått alle kjente zero-day svakheter som ble brukt i 2023. I fjor ble det oppdaget 97 nye zero-days totalt, en økning på over 50% fra 2022. I fjor var det en økning i svakheter som rettet seg mot tredjeparts-komponenter og kode-biblioteker. Gjennom å kompromittere deler av forsyningskjeden, kan trusselaktørene ofte utnytte flere systemer som inkluderer dem. De to største gruppene som benyttet seg av ferske svakheter var kommersielle leverandører av overvåkingsprogramvare og spionasje-relaterte aktører. På tredjeplass kom finansielt motiverte aktører.

Etter innlogging på nettsteder opprettes det typisk en sesjonsnøkkel lagret i en cookie/informasjonskapsel for å holde brukeren innlogget. I forbindelse med malware og phishing blir disse gjerne stjålet, og angriperen kan deretter misbruke disse fritt fra andre PCer for å bli innlogget som offeret. Google introduserer nå en ny funksjon i Chrome som binder sesjonsnøkkelen opp mot den fysiske PCen til brukeren. Dette gjøres ved å opprette et offentlig/privat krypto-nøkkelpar der den private delen lagres i PCens TPM-chip (Trusted Platform Module). Stjålne sesjonsnøkler vil bli ubrukelige uten den private nøkkelen som er lagret i TPM. Funksjonen er foreløpig i test, men kan slås på manuelt.

Situasjonsrapport fra Telenor SOC - mars 2024

Alvorlige hendelser
I mars håndterte TSOC 22 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 24 i februar. Denne måneden så vi blant annet at brukere blir lurt til å laste ned skadelig programvare etter å ha foretatt Google-søk etter legitim programvare. De øverste treffene i søkemotorene er ofte sponsede søkeresultater, altså annonser knyttet opp mot bestemte søkeord. Disse resultatene fører ofte til nettsider som er kopier av de ekte sidene. Når brukeren laster ned programvaren, er den pakket sammen med malware. Ved installasjon av programvaren, blir malware installert sammen med programvaren som brukeren har søkt etter. Installasjonen ble i dette tilfellet heldigvis oppdaget av sikkerhetsprogramvare på PCen som ble rammet og rapportert, slik at PCen raskt ble ryddet. Vi anbefaler at PCer konfigureres slik at brukerne kun kan installere forhåndsgodkjent programvare. Risikoen er ellers stor for at PCer kan rammes av malware som informasjonsstjelere, ransomware, programvare for krypto-utvinning osv.

DDoS-angrep
Det var 130 bekreftede DDoS-angrep denne måneden, opp fra 127 i februar. 87 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 4.2 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 72 Gbps og varte i 11 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Den største saken denne måneden var et avansert forsyningskjede-angrep, som fikk mye oppmerksomhet gjennom påsken. En trusselaktør har i over to år jobbet målrettet med å få lagt til en bakdør i Linux-distribusjoner, gjennom et komprimeringsbibliotek kalt “xz”. Aktøren manipulerte til seg kontrollen over kildekoden til biblioteket og la til kode for å implementere en avansert og godt skjult bakdør. Denne gjorde det mulig å logge inn via ssh (fjerninnlogging) på sårbare systemer, ved å benytte seg av en spesiell krypteringsnøkkel. Operasjonen ble heldigvis oppdaget av en Microsoft-ansatt på grunn av at login noen ganger feilet, samt at den tok rundt et halvt sekund mer tid enn vanlig. Så langt ser det ikke ut til at bakdøren kom inn i noen mye brukte Linux-varianter, men det var bare snakk om uker før de store Linux-distribusjonene hadde oppdatert til en versjon med bakdøren inkludert. Aktøren har også manipulert andre prosjekter for å gjøre det vanskeligere å oppdage bakdøren. Mange prosjekter basert på åpen kildekode foretar nå gjennomganger for å se etter lignende operasjoner.

Microsoft meldte i januar at hackere med tilknytning til Russland (Midnight Blizzard/Nobelium/APT-29) hadde klart å oppnå tilgang til deres interne systemer og kundedata ved hjelp av en service-konto uten MFA (Multi-Faktor Autentisering) aktivert. Fredag 8. mars, opplyste Microsoft at angriperne fikk tak i tilgangsnøkler, passord og andre hemmeligheter i forbindelse med innbruddet. Noen av disse ble delt i eposter mellom Microsoft og kunder, og har siden blitt eksfiltrert av trusselaktøren i angrepene. Tilgangsnøklene har videre blitt brukt for å få tilgang til intern kildekode, interne systemer og også kundedata. Angriperne har fortsatt sine angrep, med blant annet forsøk på å gjette riktige passord til kontoer. Microsoft opplyser at ingen systemer som brukes av deres kunder så langt har blitt kompromittert. Selskapet har også tatt kontakt med kunder som har blitt kompromittert i forbindelse med angrepene.

Biden-administrasjonen melder at de vil vurdere trusler mot nasjonal sikkerhet på grunn av sensorer i stadig mer avanserte biler. Biler produsert i utlandet kan brukes til å spore kundene, kartlegge sensitive objekter, ta opp lyd/film osv. Noen biler har også LIDAR-teknologi som kan lage detaljerte 3D-kart av områder de kjører i. Administrasjonen ser også på trusler rundt at bilene kan slås av for å lamme trafikken. Det har tidligere blitt meldt at amerikanske Tesla-biler ikke tillates i nærheten av mange statlige kinesiske kontorer.

NCSC (National Cyber Security Centre) i Sveits har sluppet en rapport etter at leverandøren Xplain ble utsatt for et ransomware-angrep fra gruppen "Play" i mai 2023. I juni 2023 ble det sluppet store mengder informasjon som var stjålet fra leverandøren, etter at løsepenger ikke ble betalt. Av rundt 1.3 millioner lekkede filer var omtrent 65.000 dokumenter tilhørende en rekke myndighetsorganer. Rundt 5000 av dokumentene inneholdt sensitiv informasjon som personopplysninger, tekniske opplysninger, gradert informasjon osv.

Et forholdsvis nytt phishing-verktøy kalt "Tycoon 2FA" har i den siste tiden blitt mer populært. Verktøyet leveres som en tjeneste av utgiverne, og det krever dermed lite teknisk kunnskap å bruke det. Verktøyet benytter seg av en falsk web-server som står mellom offeret og tjenesten det egentlig blir forsøkt logget inn på, såkalt MitM-angrep (Machine in the Middle). Dette gjør at sesjonsnøkler (cookies) og engangskoder brukt i forbindelse med MFA, kan kopieres ut av angriperne. Det beste tiltaket for å forsvare seg mot denne typen angrep er å implementere phishing-resistent autentisering, som Yubikeys, passnøkler, sertifikater osv. Det kan også hjelpe å stramme inn på reglene for “conditional access” for innlogging.

Google sin Chrome nettleser har lenge hatt innebygget beskyttelse mot phishing, svindel og skadevare gjennom "Safe Browsing"-systemet. Dette fungerer ved at nettleseren en til to ganger i timen laster ned en ny liste over "blokkerte" sider fra Google. Nå vil Google lansere en forbedret versjon, der spørringene gjøres i sanntid, i motsetning til dagens periodiske oppdateringer. Dette tvinger seg frem, siden phishing-sidene får kortere og kortere levetid for å unngå blokkering. Systemet skal være implementert på en slik måte at Google ikke har mulighet til å knytte spørringene mot enkeltpersoner, ved hjelp av hashing og miksing av spørringer.

Sikkerhetsforskere har oppdaget en svakhet de kaller "Unsaflok" i låser brukt i over 3 millioner hotelldører i 131 land. Svakheten ligger i låsesystemet “Saflok” som igjen brukes av mange leverandører. Svakheten lar seg utnytte ved å lage et spesielt utformet nøkkelkort, som vil fungere som en universal-nøkkel. Berørte hoteller begynte å oppgradere låser i 2023, men fortsatt er det mange som ikke oppgradert. Forskerne bak oppdagelsen har gitt ut en app til iOS og Android som i visse tilfeller kan påvise et nøkkelkort som er programmert til å brukes mot en sårbar lås.

Situasjonsrapport fra Telenor SOC - februar 2024

Alvorlige hendelser
I februar håndterte TSOC 24 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 45 i januar. Denne måneden oppdaget vi at en av våre kunder tillot trafikk over SMB-protokollen ut fra sitt nettverk mot Internet. SMB står for “Server Message Block”, og er en Windows-protokoll, opprinnelig fra 1983, for utveksling av filer, printer-utskrifter osv. Protokollen brukes normalt kun internt i bedrifters nettverk, men noen glemmer å sperre for denne i brannmuren mot Internett. Ved flere tilfeller har svakheter ført til at protokollen kan misbrukes, nå sist denne måneden. Microsoft patchet en svakhet (CVE-2024-21413) i Outlook, som kunne føre til lekkasje av brukernavn og kryptert passord over SMB-protokollen og ut mot angripere på Internett. Svakheten blir utnyttet ved å lure offeret til å trykke på en lenke, f.eks. i en e-post. Denne typen svakheter har dukket opp ved flere tilfeller de siste årene. Vi anbefaler derfor å blokkere all SMB-trafikk mellom det interne nettverket og Internett i brannmuren.

DDoS-angrep
Det var 127 bekreftede DDoS-angrep denne måneden, ned fra 166 i januar. 79 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 4.6 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 86 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Det amerikanske justisdepartementet meldte at de hadde tatt ned et botnett som i stor grad er bygget opp av kompromitterte hjemmeroutere fra Cisco og Netgear. Det skal være den kineiske trusselaktøren Volt Typhoon som stod bak operasjonen. Botnettet har blitt brukt til å kartlegge og kompromittere kritisk infrastruktur i USA. Ved å bruke botnettet som et proxy-nettverk, har angriperne kunnet sende angrepstrafikken ut fra routere i nærheten av angrepsmålet. Dette gjør at trafikken er lettere å gjemme i lokal legitim nettverkstrafikk. Senere i måneden meldte også FBI at de hadde tatt ned et lignende botnett brukt av APT 28/Fancy Bear, bestående av Ubiquiti Edge OS-routere. Routerne var før kompromittering eksponert mot Internet med standard-passord satt av produsenten. Norske PST var også med i denne aksjonen ved å ta kontakt med eierne av rundft ti kompromitterte routere i Norge for å få tettet svakheten.

Ofre for ransomware betalte over 1 milliard USD til ransomware-bandene i 2023. Dette er nesten en dobling i forhold til 2022, som virker å være et unntaksår. Tallene er hentet fra analyse-selskapet Chainalysis, som sporer blokkjede-betalinger for både myndigheter og private. 2023 var preget av mange høye utbetalinger, spesielt etter de omfattende angrepene mot organisasjoner som benyttet seg av MOVEit-programvaren for filoverføringer.

Internasjonale politistyrker hacket seg inn i infrastrukturen til ransomware-gjengen Lockbit. Europol arresterte siden tre mistenkte i Polen og Ukraina. Flere russiske bakmenn ble også etterlyst. Amerikanske myndigheter har utlovet en dusør på $15 millioner USD for opplysninger som kan føre til arrestasjon av lederne av banden. Dekrypteringsnøkler for flere hundre ofre er også tllgjengelig. Den siste utviklingen i saken er at fildelings-tjenesten Mega og epost-tjenestene Tutanota og Protonmail har stengt ned 14.000 kontoer i forbindelse med aksjonen. Kontoene ble identifisert brukt av Lockbit eller deres underleverandører, eller i forbindelse med andre ransomware-operasjoner. Etter aksjonen har Lockbit etter hvert bygget opp igjen infrastrukturen sin og også meldt om nye ofre på nettsider på nye adresser kompromittert ved hjelp av en ny versjon av sin ransomware.

Microsoft og OpenAI har avdekket at flere trusselaktører fra Kina, Russland, Iran og Nord-Korea har benyttet seg av AI-verktøyet ChatGPT i varierende grad. Bruken har blitt analysert og kontoene har blitt sperret. Foreløpig ser det ikke ut til at aktørene benytter de nye verktøyene i vesentlig grad eller på en automatisert måte. Eksempler på bruk som har blitt avdekket så langt er: Finne informasjon om firmaer og sikkerhetsverktøy, fjerne bugs i og generere kode, generering av scripts, produksjon av innhold til phishing-eposter, oversette tekniske dokumenter osv. OpenAI opplyser at de har slettet flere kontoer etter sine undersøkelser.

Cloudflare opplyser at de har vært utsatt for et datainnbrudd, mest sannsynlig fra en statlig aktør, i perioden mellom 14. og 24. november. Aktøren benyttet seg av innloggingsdetaljer de først hadde stjålet i et tidligere innbrudd mot Okta, én tilgangsnøkkel og tre brukernavn/passord til Cloudflares AWS-konto, Atlassian Bitbucket, Moveworks og Smartsheet. Angriperne fikk tilgang til intern dokumentasjon og kildekode. Etter innbruddet har Cloudflare nullstilt over 5000 tilganger, gjennomført bedre fysisk segmentering mellom test- og produksjonsnettverket, gjennomsøkt 4893 systemer etter tegn på innbrudd og kjørt omstart på alle servere.

Google har gitt ut en detaljert rapport om den kommersielle overvåkingsindustrien og hvilke konsekvenser den har for ytringsfriheten og pressefriheten. Denne industrien benytter seg av store mengder ferske svakheter for å bryte seg inn i mobiltelefoner og PCer og overvåke brukerne. Egentlig er meningen at produktene skal brukes av myndighetene for å overvåke kriminelle og hindre terrorisme, men mange stater benytter også verktøyet for å overvåke regimemotstandere, journalister og opposisjonen. 80% av de nye svakhetene Google oppdaget i bruk i 2023 ble først brukt av aktører i denne industrien, som NSO Group, Cy4Gate, Intellexa og Negg Group. Google følger rundt 40 produsenter av overvåkingsprogramvare.

Internasjonale politimyndigheter annonserte 1. februar at de hadde arrestert 31 cyberkriminelle og har identifisert 1300 servere som har vært brukt til å utføre phishing-angrep og distribuere skadevare. Operasjonen pågikk fra september til november 2023 og har fått navnet "Synergia". Over 60 politi-organisasjoner fra forskjellige land deltok. Operasjonen ble utført som et svar på globaliseringen og profesjonaliseringen innenfor cyberkriminalitet.

Situasjonsrapport fra Telenor SOC - januar 2024

Alvorlige hendelser
I januar håndterte TSOC 45 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 32 i desember. Denne måneden var det mye oppmerksomhet rundt ransomware-gruppen Akira på SOC, etter flere angrep mot nordiske mål i det siste. Denne gruppen bruker ofte bedrifters VPN-forbindelser som inngangsvektor. Dette er tjenester som gjerne eksponeres ut offentlig og kan utnyttes både gjennom passord-spraying (vanlige passord brukt mot store mengder kontoer) og svakheter. Det er viktig å holde VPN-utstyr oppdatert med patcher, MFA-autentisering bør være slått på og det kan være fornuftig å vurdere å kun tillate innlogging fra forhåndsgodkjente IP-adresser eller nettverk.

DDoS-angrep
Det var 166 bekreftede DDoS-angrep denne måneden, opp fra 144 i desember. 97 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 149 Gbps og varte i 7 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Sikkerhetsselskapet Volexity meldte 10. januar at de hadde oppdaget at to ferske svakheter i Ivanti Connect Secure VPN (tidligere Pulse Secure) ble utnyttet aktivt i angrep, trolig siden starten av desember. Svakhetene ble utnyttet etter hverandre for å kunne kjøre vilkårlig kode på en sårbar server, uten å måtte autentisere seg. Etter å ha tatt seg inn på enheten, endret trusselaktøren konfigurasjonen for å slå på tastatur-logging, lagre passord og åpne for fjernadministrasjon. Tilgangen ble også typisk benyttet for å få videre tilgang inn i interne nettverk. Volexity meldte at det i starten var en trusselaktør med kinesisk tilknytning som utnyttet svakhetene. Etter hvert begynte også andre aktører å benytte seg av svakhetene, og det ble rapportert at minst 1700 VPN-enheter ble kompromittert. Ivanti ga først ut instruksjoner for hvordan kundene kunne konfigurere VPN-enhetene for å unngå at de ble utnyttet. Patcher for svakhetene ble først levert 31. januar.

Microsoft oppdaget den 12. januar at en aktør med tilknytning til den russiske stat hadde tilgang til deres interne systemer. Microsoft kaller aktøren for Midnight Blizzard, men den er også kjent som Nobelium, APT29 og Cozy Bear. Aktøren knyttes til den russiske Utenriksetterretningstjenesten SVR. Microsoft avdekket at aktøren først fikk tilgang til deres systemer i november 2023, ved hjelp av et passord-spray angrep, der mye brukte passord blir prøvd mot en rekke kontoer. Aktøren fikk på denne måten tilgang til en konto i en test-tenant, hvor de senere fikk utvidet sine tilganger. Disse ble brukt til å lese interne epost-kontoer i Microsoft, blant annet kontoene til ledelsen. Microsoft mener at aktøren blant annet hadde som mål å finne ut hva slags informasjon Microsoft hadde om aktøren selv. Etter hendelsen har Microsoft lovet å innføre nye tiltak for å øke sikkerheten.

Senere i måneden meldte også Hewlett Packard Enterprise (HPE) at de hadde vært utsatt for datainnbrudd fra den samme trusselaktøren, som hadde hatt tilgang til deres skybaserte epost-systemer siden mai 2023. HPE undersøker fortsatt innbruddet og tror at det kan skyldes at trusselaktøren tidlig i 2023 fikk tilgang til filer i deres Sharepoint-server.

Natten mellom 19. og 20. januar ble et av Tietoevrys datasentre i Sverige rammet av ransomware-angrep og noen av deres systemer gikk ned. Hendelsen var isolert til kun den svenske delen av Tietoevry og deres kunder. Selskapet meldte etter hvert at det var rasomware-gruppen Akira som stod bak angrepet. Den 29. januar meldte selskapet at flere kundesystemer var gjenopprettet, men at gjenoppretting for noen kunder med avanserte oppsett fortsatt pågikk.

Orange Spain opplevde internett-avbrudd etter at en angriper brøt seg inn i selskapets RIPE-konto. Angriperen feilkonfigurerte med overlegg BGP-ruting og RPKI-konfigurasjonen, noe som resulterte i ytelsesproblemer i Orange Spain sitt nettverk og påvirket surfingen for noen kunder. Ifølge Cloudflare førte angrepet til omdirigering av trafikk til ondsinnede nettsteder. Angrepet ble utført av en trusselaktør kjent som 'Snow'. Orange Spain forsikret etter hendelsen at kundedata ikke ble kompromittert, og tjenesten kom raskt tilbake igjen. Årsaken til bruddet ble knyttet til fravær av tofaktorautentisering på RIPE-kontoen til selskapet.

En person ble arrestert i Ukraina i januar for å ha opprettet og brukt 1 million virtuelle servere for å utvinne kryptovaluta, noe som resulterte i en gevinst på over 2 millioner USD. Tilgangen til serverne blir skaffet gjennom å hacke seg inn i bedrifters kontoer og så opprette serverne gjennom deres kontoer. For å forsvare seg mot denne typen angrep er det viktig med god kontroll på tilganger og overvåking av egen ressursbruk i skytjenester.

To sykehus i USA har i det siste blitt rammet av ransomware-angrep og angriperne har stjålet store mengder sensitive pasientdata. Noen av pasientene mottar nå trusler direkte fra ransomware-banden der de truer med å offentliggjøre personlige detaljer eller å utføre "swatting"-angrep mot dem. Pasientene blir oppfordret av angriperne til å prøve å overbevise sykehuset om å betale løsepengene. "Swatting" er relativt utbredt i USA og går ut på å ringe politiets nødtelefon og si at det foregår en gissel-situasjon eller lignende, og videre oppgi adressen til offeret til politiet. Politiet vil da ofte møte opp tungt bevæpnet hos offeret og farlige situasjoner kan oppstå.

Situasjonsrapport fra Telenor SOC - desember 2023

Alvorlige hendelser
I desember håndterte TSOC 32 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 79 i november.

Mange fryktet at det skulle bli et oppsving i angrep med løsepengevirus i løpet av jule- og nyttårshelgen, noe som ofte skjer i høytider. Trusselaktørene benytter seg noen ganger av disse rolige periodene, i håp om at det er færre på jobb til å oppdage sikkerhetshendelser. Det viste seg heldigvis at det heller ble færre hendelser enn vanlig over nyttårshelgen. Starten av desember var også relativt rolig på vårt sikkerhetssenter.

DDoS-angrep
Det var 144 bekreftede DDoS-angrep denne måneden, ned fra 188 i november. 103 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6.8 Gbps og varte i 30 minutter. Det største angrepet observert i denne perioden var på 86 Gbps og varte i 20 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Tirsdag 12. desember ble den ukrainske teleoperatøren Kyivstar rammet av et større cyber-angrep. Både tale- og data-trafikk gikk ned og det tok flere dager før tjenestene var operative igjen. Store mengder interne systemer og kjernenettet ble slettet av angriperne ved hjelp av såkalt “wiper”-malware. Selskapet tok også selv ned flere interne systemer etter å ha oppdaget angrepet, for å unngå videre ødeleggelser mens omfanget av ødeleggelsene ble kartlagt. Angriperne hadde antagelig vært inne i nettverket siden mai 2023. Det er så langt uvisst hva som var angrepsvektoren, men det er gruppen “Sandworm” fra den russiske militære etterretningen GRU som mistenkes å stå bak. Angrepet førte blant annet til at varsling av flyangrep gikk ned i deler av Kyiv. Noen minibanker sluttet også å virke. Ukrainske myndigheter har opplyst at nedetiden ikke skal ha gått ut over militære operasjoner.

Volt Typhoon er en trusselaktør som har kartlagt blant annet amerikansk kritisk infrastruktur. Aktøren benytter seg av et eget botnet bestående av utdaterte hjemmeroutere fra blant annet Cisco, Netgear og Fortinet. Enhetene har typisk flere sårbarheter eller svake passord, og det leveres ikke lengre oppdatert programvare for dem. Trusselaktøren benytter disse enhetene for å skjule sin kommunikasjon og få det til å virke som om datatrafikken går til enheter som er geografisk i nærheten av målet som angripes. Dette gjør at innbruddsdeteksjon som tar hensyn til hvor i verden brukeren logger inn fra kan feile, noe som spesielt kan gå ut over deteksjon av vellykkede phishing-angrep.

En ny samling sårbarheter i UEFI-firmware (Unified Extensible Firmware Interface) kalt “LogoFail”, tillater angripere å levere skadelig kode som omgår sikker oppstart på PCer fra mange leverandører. UEFI er en standard for å starte opp PCen, før selve operativsystemet lastes. LogoFail utnytter forskjellige sårbarheter i biblioteker for å dekode bilder i Firmware, og påvirker enheter fra Intel, Acer, og Lenovo. Svakhetene kan brukes til å plante skadelig kode som lastes inn før operativsystemet, og dermed er vanskelig å oppdage.

Kjente trusselaktører med forbindelser til Nord-Korea har nylig brukt den to år gamle Log4Shell-sårbarheten til å angripe organisasjoner med tre nye trojanere for fjernstyring (RAT). Fortsatt bruker rundt 1/3 av applikasjoner som benytter seg av Log4j-biblioteket en gammel og sårbar versjon. Trusselaktørene har nylig skiftet taktikk ved å bruke sårbarheten til å installere skadelig programvare og utfører kommandoer for å samle blant annet systeminformasjon og passord. Det er primært eksponerte VMware Horizon-servere som har blitt kompromittert.

Den amerikanske senatoren Ron Wyden har avslørt at Apple og Google gir regjeringer i flere land tilgang til push-varslene som kommer opp på telefoner. Disse varslene behandles ofte av Apple og Google før de dukker opp på mobilene. Varslene kan inneholde tekst som kan avsløre bruk av spesifikke apper og noen ganger også utdrag med tekst fra ellers krypterte apper. Google gir allerede detaljert informasjon rundt pålegg om å utlevere denne typen informasjon i jevnlige innsynsrapporter, mens Apple skal begynne å ta med dette i sine rapporter fra nå av.

Interpol melder at de har beslaglagt over 300 millioner USD og arrestert 3500 mistenkte i en global operasjon kalt "HAECHI IV". Aksjonen har pågått i seks måneder i 34 land og har rettet seg mot syv typer svindel-operasjoner: voice phishing, dating-svindel, sex-utpressing, investerings-svindel, hvitvasking i forbindelse med pengespill, BEC (business email compromise)-svindel og falske nettbutikker.

Sikkerhetsforskere ved EURECOM har avdekket et nytt angrep mot Bluetooth-chipset som åpner for å ta over sesjoner mellom allerede sammenkoblede enheter. Angrepet fungerer ved at en spoofer de to enhetene, setter seg i midten av kommunikasjonen og får til en nedgradering av krypteringen som er brukt mellom enhetene. Flere leverandører jobber med en fiks for svakheten. Foreløpig anbefales det at produsenter av utstyr får utstyret til å avvise forbindelser med svak kryptering.