Situasjonsrapport - juni 2025

Alvorlige hendelser

I juni håndterte Telenor Cyberdefence 18 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i mai.

DDoS-angrep
Det var 68 bekreftede DDoS-angrep denne måneden, ned fra 69 i mai. 46 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 11,1 Gbps og varte i 16 minutter. Det største angrepet observert i denne perioden var på 262 Gbps og varte i 9 minutter. Misbruk av DNS, sammen med IP fragmentering, stod for 80% av angrepene.

Nyhetsoppsummering
Interlock-ransomwaregruppen har begynt å bruke en ny fjernstyrings trojaner (RAT) kalt NodeSnake. NodeSnake, skrevet i JavaScript og kjørt via Node.js, etablerer persistens ved å opprette en falsk registeroppføring kalt 'ChromeUpdater' som etterligner Google Chrome oppdateringer. Den benytter PowerShell eller CMD skript for å opprette denne oppføringen. Angrepene starter med phishing e-poster som inneholder ondsinnede lenker eller vedlegg som fører til infeksjon med NodeSnake.

CISA har utstedt en advarsel om aktiv utnyttelse av en nylig patchet sårbarhet i ConnectWise ScreenConnect, identifisert som CVE-2025-3935. Sårbarheten tillater potensielt fjernkjøring av kode på servere via ViewState-injeksjon, forutsatt at angriperen har tilgang til maskinnøkler. Denne sårbarheten er knyttet til en nylig sikkerhetshendelse hos ConnectWise, mistenkt å være en statssponset operasjon.

FBI, i samarbeid med CISA og det australske cybersikkerhetssenteret, har oppdatert sin rådgivning om Play-ransomware, også kjent som Playcrypt. Siden juni 2022 har gruppen kompromittert omtrent 900 organisasjoner globalt, inkludert kritisk infrastruktur i Nord-Amerika, Sør-Amerika og Europa.

Password‑spraying attacks target 80 000 Microsoft Entra ID‑kontoer. Hackere fra gruppen UNK_SneakyStrike har siden desember 2024 benyttet det offentlige rammeverket TeamFiltration for passordsprøyteangrep mot mer enn 80 000 Microsoft Entra ID-kontoer i hundrevis av organisasjoner. Angrepene skjer i bølger med opptil 16 500 kontoer per dag. TeamFiltration kartlegger brukere, eksfilerer data og legger inn bakdører via O365/EntraID.

Anubis, en kjent ransomware-as-a-service (RaaS) aktør har implementert en ny “wipe mode”. Dette destruerer filinnholdet og setter filstørrelsen til 0 KB, slik at ingen gjenoppretting er mulig selv om løsepengene betales. Denne funksjonen intensiverer presset på ofre gjennom en kombinert modell av kryptering (med .anubis-utvidelse) og dataødeleggelse. Angrepene starter med spear-phishing, etterfølges av privilegie-eskalering, sletting av shadow copies, kryptering (ECIES), og wiper-funksjon.

Cloudflare avverget i midten av mai 2025 et nytt rekordangrep av typen distribuert tjenestenekt (DDoS) rettet mot en hosting-leverandørs IP. Angrepet nådde en topp på 7,3 Tbps og sendte totalt 37,4 TB trafikk på bare 45 sekunder—det tilsvarer cirka 9 350 HD-filmer. Trafikken kom fra over 122 000 IP-adresser i 161 land, fordelt over 5 433 autonome systemer, med hoveddeler fra Brasil og Vietnam. Angrepet benyttet flere vektorer, først og fremst UDP-flood (99,996 %), men inkluderte også refleksjonsangrep som QOTD, Echo, NTP, Portmap og RIPv1. Cloudflare håndterte angrepet automatisk gjennom Magic Transit og sitt distribuerte anycast-nettverk uten behov for menneskelig intervensjon.