Alvorlige hendelser
I oktober håndterte TSOC 9 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 28 i september.
DDoS-angrep
Det var 142 bekreftede DDoS-angrep denne måneden, opp fra 136 i september. 81 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 13.2 Gbps og varte i 19 minutter. Det største angrepet observert i denne perioden var på 278 Gbps og varte i 12 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Denne måneden opplevde vi et aggressivt DDoS-angrep mot en av våre kunder. Angrepet var ikke så stort i volum, kun 2.5Gbps, men det bestod av en lang rekke små pakker, såkalte SYN-pakker, som normalt brukes for å opprette nye sesjoner. I stedet for å angripe bare én adresse hos kunden, som er det normale, ble 255 adresser angrepet samtidig. Et stort antall angrepspakker mot en rekke samtidige mål kan være ekstra ressurskrevende for nettverksutstyr og servere.
Angrepet ble mitigert ved å midlertidig blokkere en del geografiske regioner som stod bak mesteparten av angrepstrafikken, såkalt geo-blokkering. Denne typen blokkering blir gjort ved hjelp av forhåndsdefinerte lister over hvilke nettverk som tilhører forskjellige land/regioner.
I det siste har det vært et oppsving i DDoS-angrep mot finans-institusjoner i Norge. Nordea uttalte for eksempel til VG i oktober at de hadde vært utsatt for et større angrep i 25 dager. Også bankens søsterfilialer i andre nordiske land er rammet. Det er uklart hva motivet er eller hvem som står bak angrepene.
Nyhetsoppsummering
Europol ledet en global aksjon mot ransomware-syndikatet “LockBit”, som har stått bak over 1,800 ransomware-angrep over hele verden. I samarbeid med politimyndigheter fra USA, Storbritannia, Frankrike, Spania og flere andre land, resulterte operasjonen i arrestasjonen av fire nøkkelmedlemmer samt beslag av IT-infrastruktur som ble brukt av syndikatet. Myndigheter mener at grupperingen har tjent over 1 milliard USD i løpet av de fire årene de var aktive. Operasjonen var en del av "Operation Cronos", og myndighetene innførte sanksjoner mot tilknyttede personer. Europol har støttet utviklingen av dekrypteringsverktøy og støtter også ofre gjennom "No More Ransom"-prosjektet. I samarbeid med japansk politi, UK’s National Crime Agency, og FBI er disse verktøyene tilgjengelige gratis på nomoreransom.org.
CERT-UA har avdekket en sofistikert phishingkampanje som retter seg mot offentlige etater, industri og militære enheter i Ukraina og allierte land. Angriperne sender ut e-poster som utgir seg for å handle om integrasjon av Amazon- og Microsoft-tjenester og implementering av Zero Trust Architecture. De vedlagte RDP-filene etablerer i virkeligheten utgående Remote Desktop-forbindelser til angripernes servere. Når disse filene åpnes, får angriperne omfattende tilgang til offerets datamaskinressurser, inkludert lokale disker, nettverksressurser, skrivere og mulighet til å kjøre uautoriserte programmer. Analyser tyder på at forberedelsene til cyberangrepene startet allerede i august 2024, noe som indikerer en godt planlagt operasjon. Vi anbefaler å blokkere .rdp-filer i eposter, begrense tilgang til verktøyet der det ikke er nødvendig og sette opp group policies for å hindre redirigering av lokale ressurser via RDP-sesjoner.
Politimyndigheter i flere land tok i oktober ned informasjons-stjelerne Redline og Meta i "Operation Magnus". USA tok ut tiltale mot en russisk statsborger de mener er utvikleren bak Redline-malwaren. Det har også kommet fram at nederlandsk politi har tatt beslag i tre servere i Nederland. Belgisk politi har arrestert to personer i forbindelse med aksjonen, som skal være Redline-kunder. Sikkerhetsfirmaet ESET har lansert en scanner som kan lastes ned for å sjekke om en maskin har vært påvirket av en informasjons-stjeler. Firmaet har også hjulpet til i forbindelse med aksjonen. Det har i løpet av det siste året vært et oppsving i bruk av informasjons-stjelere. Informasjonen som blir stjålet, gjerne fra private PCer, legges ut for salg og brukes ofte til å få gyldige kontoer hos både større firmaer og myndigheter.
The Internet Archive er et nettsted som arkiverer innhold fra Internet og tar var på dette for ettertiden. Nettstedet har vært rammet av et datainnbrudd via et sårbart Javascript-bibliotek. Via svakheten har uvedkommende fått tilgang til systemene og har blant annet lastet ned en database med oversikt over de 31 millioner registrerte brukerne. Nettstedet har også vært utsatt for store DDoS-angrep de siste ukene. Det er ukjent hvem som står bak angrepene, men mange er imot tjenesten siden den lagrer “snapshots” av nettsteder som det i ettertid er vanskelig å få fjernet. Tjenesten "Have I Been Pwned" har blitt oppdatert med de kompromitterte epost-adressene.
Microsoft har varslet noen kunder om at de mangler over to uker med sikkerhetslogger for noen av deres skytjenester. Feilen oppsto mellom 2. og 19. september i en intern overvåkingsagent. Berørte tjenester inkluderer Microsoft Entra, Sentinel, Defender for Cloud og Purview. Microsoft understreker at loggtapet ikke skyldes en sikkerhetshendelse, men kan påvirke kunders evne til å analysere data, oppdage trusler og generere sikkerhetsvarslinger. Selskapet har løst problemet ved å rulle tilbake en endring i sine systemer og har varslet de berørte kundene om hendelsen.
Forskere fra ESET har avdekket at svindlernettverket Telekopye har utvidet sin virksomhet til å angripe brukere av populære booking-plattformer som Booking.com og Airbnb. Svindlerne bruker kompromitterte kontoer tilhørende legitime hoteller og utleiere for å målrettet svindle brukere som nylig har booket opphold, men ennå ikke har betalt. De sender phishing-e-poster som hevder det er problemer med betalingen og leder ofrene til godt utformede, falske nettsider som etterligner de ekte plattformene med kundens ekte informasjon inkludert. Denne typen svindel har hatt en skarp økning i 2024, særlig i sommermånedene. Politiet i Tsjekkia og Ukraina har arrestert flere cyberkriminelle knyttet til Telekopye i to felles operasjoner sent i 2023.
Ingen kommentarer:
Legg inn en kommentar