Alvorlige hendelser
I juni håndterte TSOC 19 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 21 i mai.
Den 14. juni ble vi oppmerksomme på spredning av bank-trojaneren Vultur i Norge. Denne trojaneren retter seg mot Android-mobiler og gir blant annet trusselaktørene mulighet til å fjernstyre enheten, utføre klikk, skrolle, ta bilder av skjermen og laste opp og ned filer.
Det hele startet med en tilsynelatende uskyldig SMS-melding om en ubetalt faktura som nå vil bli sendt til inkasso. Denne meldingen ble sendt ut til flere tusen i Norge i løpet av noen få timer. Offeret ble bedt om å ta kontakt via telefon til et svensk nummer, for å unngå ekstra kostnader. Når offeret ringte nummeret, ble de møtt av en person som snakket godt svensk. Svindleren overbeviser så offeret om at mobilen trenger ekstra sikkerhetsprogramvare og sender en SMS til offeret med en lenke for nedlasting, som i virkeligheten er en modifisert versjon av McAfee Security-appen. Offeret blir så veiledet til å installere trojaneren, på tross av flere sikkerhetsadvarsler fra mobilen.
Noen hundre norske kunder hadde ringt opp det svenske nummeret, og et titalls kunder lastet ned den falske programvaren. Disse ble kontaktet av kundeservice for å få hjelp til å slette skadevaren fra mobilen sin. Etter kort tid sperret Fraud & Crime-avdelingen meldingene fra å bli sendt ut til kundene, samt sperret siden for nedlasting av trojaneren i Nettvern og SafeZone. Noe senere fikk vi også tatt ned de svenske numrene som ofrene ble bedt om å ringe til. Det tok heller ikke mange timer før sikkerhetsprogramvaren Google Play Protect, som er innebygget i Android-mobiler, begynte å sperre for installasjon av trojaneren på mobilene.
DDoS-angrep
Det var 115 bekreftede DDoS-angrep denne måneden, ned fra 151 i mai. 59 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 89 Gbps og varte i 9 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Nyhetsoppsummering
Flere av kundene til tjenesteleverandøren Snowflake har vært utsatt for datainnbrudd i juni, blant annet TicketMaster og Santander. Dette har mest sannsynlig skjedd etter at kundene har vært rammet av phishing eller informasjons-stjelere, der påloggingsinformasjon til Snowflake-tjenesten har blitt stjålet. Snowflake har ikke hatt krav om MFA i sin innloggingsløsning, og det har heller ikke vært mulig for en bedrift å tvinge alle sine brukere over på trygg autentisering. Google meldte etter hvert at det var den økonomisk motiverte trusselaktøren UNC5537 som stod bak flere av innbruddene. Aktøren har brutt seg inn i firma-kontoer, lastet ned store mengder interne data og presser deretter firmaene for penger, for ikke å offentliggjøre den interne informasjonen, som ofte blir avertert på diverse undergrunns-sider for salg. Vi anbefaler ikke-phishbar MFA på alle sensitive tjenester (sertifikater, hardware-baserte sikkerhetsnøkler, passkeys osv.)
I starten av juni kom nyheten om en kommende Windows-funksjon kalt "Recall". Denne tar bilder av alt på skjermen med få sekunders mellomrom, henter ut tekst i bildene ved hjelp av ODR og indeksere og lagrer alt lokalt, noe mange mente kunne føre til lekkasje av interne bedriftsdata, passord, QR-koder osv. ved eventuelle senere innbrudd på en PC. 7. juni opplyste Microsoft at de vil endre standardinnstillingen for funksjonen fra på til av. Brukerne må dermed ta et bevisst valg for å ta funksjonaliteten i bruk.
Hackergruppen "Shiny Hunters" la i starten av juni ut interne data fra Ticketmaster for salg. Disse dataene inkluderer informasjon om 560 millioner brukere, inkludert navn, adresse, e-post, telefonnummer, kjøpte billetter og noe kredittkortinformasjon. Ticketmaster bekreftet senere datainnbruddet. Innbruddet mot Ticketmaster knyttes mot skytjenesten "Snowflake", og det er flere ofre, blant annet banken Santander.
Google kom med nye detaljer rundt den finansielt motiverte trusselaktøren UNC3944, også kjent som Oktapus, Octo Tempest, Scattered Spider osv. Etter å ha fått initielt fotfeste i en bedrift, beveger de seg nå ofte over i tilknyttede SaaS (Software as a Service)-tjenester. Data fra disse tjenestene blir eksfiltrert mot andre skytjenester som aktøren kontrollerer. Initiell tilgang til firmaer blir gjerne oppnådd gjennom å kontakte bedriftens helpdesk. Aktøren gir seg ut for å være en ansatt med gode interne tilganger som har mistet mobilen sin, og dermed må innrulleres i systemene på nytt. Aktøren har på forhånd gjort klar mye relevant personlig informasjon personen de gir seg ut for, i tilfelle det kommer sikkerhetspørsmål fra helpdesk.
