Situasjonsrapport - mars 2025

Alvorlige hendelser

I mars håndterte Telenor Cyberdefence 12 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 11 i februar.

DDoS-angrep
Det var 69 bekreftede DDoS-angrep denne måneden, opp fra 60 i februar. Over halvparten av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 17,1 Gbps og varte i 17 minutter. Det største angrepet observert i denne perioden var på 421 Gbps og varte i 18 minutter. Misbruk av DNS stod for brorparten av angrepene.

Nyhetsoppsummering
CISA informerer om at Windows- og Cisco-sårbarheter blir aktivt utnyttet. CISA har advart amerikanske føderale byråer om å sikre sine systemer mot angrep som utnytter sårbarheter i Cisco- og Windows-systemer. Den første sårbarheten (CVE-2023-20118) tillater angripere å utføre vilkårlige kommandoer på flere Cisco VPN-rutere. Selv om denne sårbarheten krever gyldige administrative legitimasjoner, kan angripere oppnå dette ved å kombinere den med CVE-2023-20025, som gir root-privilegier. Den andre sårbarheten (CVE-2018-8639) er en Win32k-privilegiumeskaleringsfeil som lokale angripere kan utnytte for å kjøre vilkårlig kode i kjernemodus, endre data eller opprette falske kontoer med fulle brukerrettigheter.

Hacking-gruppen 'Dark Storm' tar på seg ansvaret for DDoS-angrep på X. Den 10. mars 2025 opplevde det sosiale medieplattformen X (tidligere Twitter) betydelige tjenesteavbrudd globalt, noe som påvirket både mobil- og desktopbrukere. Elon Musk, eier av X, uttalte at plattformen ble utsatt for et "massivt cyberangrep" utført med betydelige ressurser, muligens av en stor, koordinert gruppe eller en nasjon. Det pro-palestinske hacktivistkollektivet Dark Storm hevdet ansvar for angrepet, og delte skjermbilder og lenker som bevis på deres DDoS-angrep mot X. Som respons aktiverte X DDoS-beskyttelsestjenester fra Cloudflare for å håndtere angrepet.

Ny SuperBlack løsepengevirus utnytter Fortinet autentiseringsomgåelses-sårbarheter. En ny løsepengevirus kalt 'SuperBlack', operert av en aktør kjent som 'Mora_001', utnytter to autentiseringsomgåelses-sårbarheter i Fortinets produkter: CVE-2024-55591 og CVE-2025-24472. Disse sårbarhetene, avslørt av Fortinet i henholdsvis januar og februar 2025, tillater uautorisert tilgang til FortiGate-brannmurer. 'SuperBlack' ble oppdaget i slutten av januar 2025, med angrep som startet så tidlig som 2. februar 2025.

Kritiske sårbarheter i Cisco Smart Licensing Utility nå utnyttet i angrep. To kritiske sårbarheter i Cisco Smart Licensing Utility (CSLU), identifisert som CVE-2024-20439 og CVE-2024-20440, blir nå aktivt utnyttet i angrep. CVE-2024-20439 er en statisk legitimasjonssårbarhet som kan tillate uautentiserte, eksterne angripere å få administrative rettigheter på sårbare systemer. CVE-2024-20440 er en informasjonslekkasjesårbarhet som kan eksponere sensitive data gjennom spesiallagde HTTP-forespørsler. Disse sårbarhetene ble opprinnelig oppdaget under intern sikkerhetstesting og påvirker kun systemer der CSLU er aktivt startet av brukeren.

Hackere bruker PowerShell og legitime Microsoft-applikasjoner for å distribuere skadelig programvare. Cyberkriminelle utnytter i økende grad PowerShell og legitime Microsoft-verktøy i såkalte “fileless” angrep, som gjør det vanskeligere for tradisjonelle antivirusprogrammer å oppdage truslene. Ved å misbruke verktøy som BITS (Background Intelligent Transfer Service), kan angripere laste ned og kjøre skadelig programvare uten å etterlate filer på disken.