Alvorlige hendelser
I mai håndterte TSOC 21 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 22 i april.
Denne måneden ble en av våre kunder forsøkt lurt ved hjelp av en e-post. Denne var spoofet til å se ut som om den kom fra en av de ansatte og ble sendt til HR-avdelingen, med en forespørsel om å endre kontonummeret for utbetaling av lønn. Saksbehandleren endret kontonummeret og svarte bekreftende tilbake at alt var i orden. Like etter fikk imidlertid saksbehandleren en dårlig følelse og varslet CSO (Chief Security Officer) i bedriften om mistanken. Etter nærmere undersøkelser ble det bekreftet at dette var et svindelforsøk, og kontonummeret ble endret tilbake før noen utbetalinger ble foretatt.
Saken viser viktigheten ved å ha en god sikkerhetskultur med oppmerksomme ansatte, samt en klar rapporteringsvei ved mistenkelige hendelser. For å unngå spoofede eposter er det også viktig å ha kontroll på epost-standarder som kan hindre spoofing, som SPF, DKIM og DMARC. Det kan også være lurt at de ansatte selv kan oppdatere sine relevante opplysninger i HR-systemet. Her er det imidlertid en forutsetning at innloggingssystemet er tilstrekkelig sikret, f.eks. med sterk 2FA-innlogging, at systemet kun kan brukes fra bedriftens nettverk osv.
DDoS-angrep
Det var 151 bekreftede DDoS-angrep denne måneden, ned fra 155 i april. 90 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7 Gbps og varte i 31 minutter. Det største angrepet observert i denne perioden var på 146 Gbps og varte i 17 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Nyhetsoppsummering
De siste årene har avanserte aktører tatt i bruk såkalte "ORB-nettverk" (Operational Relay Box Networks) for å skjule hvor deres angrepstrafikk kommer fra. Dette er proxy-nettverk som er bygget opp av kompromitterte servere og hjemmeroutere, leide virtuelle servere i skyen og andre enheter. Angriperne bruker disse enhetene til å sende trafikk ut på nettet og kan dermed bytte IP-adresser ofte. IoCer (Indicators of Compromise) som forholder seg til IP-adresser blir dermed mindre nyttige for attribusjon av angrep. Det er egne aktører som vedlikeholder og selger tilgang til disse nettverkene.
Det amerikanske selskapet Change Healthcare ble rammet av ransomware i februar 2024. I forbindelse med en høring har det nå kommet fram flere detaljer rundt hendelsen. Den startet med at en ansatt den 8. februar ble utsatt for skadevare som kopierer ut sensitiv informasjon fra en PC, blant annet brukernavn og passord til selskapets Citrix-plattform. Trusselaktøren kunne så enkelt logge på bedriftens systemer, siden MFA ikke var i bruk. Aktøren var aktiv i det interne nettverket i rundt 10 dager før kryptering av systemene startet. Change Healthcare betalte $22 millioner til trusselaktøren BlackCat for å unngå at gruppen skulle lekke personlige data tilhørende bedriftens kunder, samt låse opp interne systemer.
Angripere utnytter Microsofts Quick Assist-applikasjon for å utføre angrep ved hjelp av sosial manipulering, hvor angriperne gir seg ut for å være kjente kontakter for å få tilgang til offerets enhet og distribuere Black Basta-ransomware. Angrepskjeden involverer phishing via telefon for å få offeret til å installere fjernovervåkingsverktøy, etterfulgt av distribusjon av skadelig programvare som QakBot og Cobalt Strike, før Black Basta-ransomware aktiveres. Microsoft advarer brukere om muligheten for denne typen “tech support”-svindel og oppfordrer organisasjoner til å blokkere eller avinstallere dette og lignende verktøy, samt å trene ansatte i å gjenkjenne slike angrep.
En høytstående ansatt i FBI opplyste under en sikkerhetskonferanse at den finansielt motiverte trusselaktøren Scattered Spider består av rundt 1000 personer, hovedsakelig yngre medlemmer som ofte ikke kjenner hverandre direkte. Gruppen er også kjent som Oktapus og "UNC3944", og har stått bak profilerte angrep mot MBM Resorts og Okta. De fleste av medlemmene kommer fra UK og USA. FBI regner aktøren som én av topp tre aktører, sammen med Kina og Russland. Sosial manipulering benyttes ofte som initiell tilgang til organisasjoner, gjerne over telefon.
De siste månedene har hacktivister med knytning til Russland angrepet flere OT (Operasjonell Teknologi)-systemer i vestlige land, eksempelvis vannverk og demninger. Angrepsteknikkene er enkle og har så langt ikke hatt alvorlige konsekvenser. Som oftest blir systemene kompromittert gjennom dårlig sikrede VNC-servere for fjerninnlogging. Amerikanske CISA (Cybersecurity and Infrastructure Security Agency) anbefaler eiere av OT-systemer å sette seg inn i trusselen og gjennomføre deres anbefalinger for å stoppe denne typen angrep.
En internasjonal operasjon koordinert av Europol kalt “Operation Endgame” har tatt ned flere kjente botnet, samt skadevare-familier forbundet med disse, inkludert IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee og Trickbot. Dette er såkalt "dropper-malware", som er den første malwaren som blir installert på et system etter kompromittering. Bakmennene kan så kontrollere det infiserte systemet, hente ut informasjon og installere mer skadevare. Fire personer er arrestert og over 100 servere er tatt ned. Dette er den største aksjonen mot botnets noensinne, som er mye brukt i forbindelse med ransomware-angrep.
