Oppsummering av nyhetsbildet innen datasikkerhet for november 2021

Den amerikanske regjeringen har bestemt seg for å sanksjonere NSO Group, Candiru, Positive Technologies og Computer Security Initiative Consultancy på grunnlag at de selger og utvikler spionvare og andre hacker-verktøy. Det er kjent at flere av firmaene har solgt avanserte verktøy, som Pegasus som har vært brukt i angrep mot iPhone-telefoner, til myndigheter over hele verden. Myndighetene har siden blant annet brukt dem til å overvåke journalister, politikere og regimekritikere. Senere i måneden saksøkte Apple NSO-gruppen for å ha spionert på deres brukere. Apple vil også gi 10 millioner dollar i støtte til cybersikkerhets-forskere og forkjempere av personvern. Ansatte ved “Citizen Lab” oppdaget i september en “zero-day zero-click”-svakhet som ble brukt av NSO til å installere Pegasus på iPhone-telefoner.

Danske Vestas meldte 22. november at de hadde vært utsatt for et datainnbrudd med løsepengevirus fredag 19. november. Det interne nettverket ble kompromittert og data ble også kopiert ut av nettverket. Det er ingen indikasjoner på at innbruddet har gått ut over tredjeparter eller forsyningskjeder. I slutten av november uttalte Henrik Andersen, President and Chief Executive Officer, at hendelsen heldigvis ikke hadde gått ut over vindturbin-operasjoner og at nesten alle IT-systemene var oppe igjen.

En sikkerhetsforsker har sluppet detaljer om en svakhet i alle nyere versjoner av Windows. Svakheten lar en vanlig bruker eskalere rettighetene sine til administrator-tilgang. Exploit-kode for å utnytte svakheten ble offentliggjort sammen med informasjon om feilen. Den nye svakheten ble oppdaget etter undersøkelser av patchen til en svakhet som ble patchet i Microsoft sin november-oppdatering, CVE-2021-41379 "Windows Installer Elevation of Privilege Vulnerability. Sikkerhetsforskeren bak oppdagelsen offentliggjorde detaljene rundt svakheten for å protestere mot Microsofts stadig lavere belønning for å rapportere inn sikkerhets-svakheter til selskapet.

I starten av måneden sendte Google ut en ny versjon av nettleseren Chrome for Windows, Mac og Linux for å fikse to nulldagssårbarheter som angripere allerede var i gang med å utnytte aktivt til målrettede angrep (CVE-2021-38000 & CVE-2021-38003). Google slapp ingen informasjon om hvem som hadde brukt svakhetene, eller hvem målene var. Med denne oppdateringen har Google rettet 15 Chrome zero-day-sårbarheter siden begynnelsen av 2021.

Den årlige hacke-konkurransen som arrangeres av Zero Day Initiative er over. I løpet av fire dager med hacking ble det totalt avdekket 61 nulldagssårbarheter som resulterte i en total premieutbetaling på 1,081,250 amerikanske dollar, som tilsvarer 9,259,500 norske kroner i dagens kurs. Blant enheter som ble hacket var mobiltelefoner, NAS-enheter (lagringsenheter), printere, routere og smart-høyttalere.

Rumensk politi har arrestert to personer som er mistenkt å ha vært tilknyttet løsepengevirus-banden Sodinokibi/REvil. De to skal ha stått bak over 5000 infiseringer med ransomware og har fått inn minst en halv million Euro i løsepenger. Også fem andre personer tilknyttet Revil og CandCrab er arrestert i løpet av året. Disse personene jobbet som affiliates/partnere til løsepengevirus-gruppene. Det vil si at de tok ansvaret for å bryte seg inn hos ofre og installere malware på ofrenes maskiner. Etterforskningen og arrestasjonene har vært organisert av Europol, har kodenavn “GoldDust” og har involvert 17 land.

USA innfører sanksjoner mot kryptobørsen Chatex grunnet at de har hjulpet løsepengevirus-grupper med å unngå sanksjoner og med tilrettelegging for løsepengetransaksjoner. Ved å sanksjonerer Chatex, ønsker regjeringen i USA å ta ned en viktig kanal som er brukt av løsepengevirus-grupper til å innhente utbetalinger fra ofre. Dette er andre gangen en kryptobørs blir sanksjonert av USA. Den første var den Russisk-tilknyttede børsen Suex i september.

Hackergruppen MosesStaff retter seg kun mot selskaper i Israel. MosesStaff utfører målrettede angrep mot israelske selskaper, lekker dataene deres og krypterer nettverkene. Det er ingen krav om løsepenger og ingen mulighet for dekryptering; motivene deres er rent politiske. Innledende tilgang til ofrenes nettverk oppnås antagelig gjennom å utnytte kjente sårbarheter i eksponert infrastruktur som Microsoft Exchange-servere. MosesStaff bruker “DiskCryptor” til å utføre volumkryptering og låse ofrenes datamaskiner med en bootloader som ikke lar maskinene starte opp uten riktig passord. Det er ukjent hvem som står bak de destruktive angrepene.

I november håndterte TSOC 175 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 102 i september. Nok en gang er det PCer som utvinner kryptovaluta som dominerer tallene. Ellers blir det oppdaget mye uønsket programvare (adware/spyware) både på Windows, Mac og Android-enheter. Det er også oppdaget en del tjenester som er feilaktig eksponert mot Internett, samt tjenester som på grunn av konfigurasjonsfeil overfører brukernavn og passord i klartekst, altså ukryptert.

Det var 279 bekreftede DDoS-angrep denne måneden, opp fra 266 i oktober. 135 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7.27 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 107 Gbps og varte i 35 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2021

Politi-myndigheter fra flere land har gjennomført ransakinger på flere adresser tilknyttet 12 organiserte digitale kriminelle i Ukraina. Kripos har deltatt i etterforskningen og aksjonen etter dataangrepet mot Hydro i 2019. Etterforskningsgruppen mener de 12 personene har hatt forskjellige roller i et nettverk av kriminelle som står bak alvorlige dataangrep rettet mot over 1.800 ofre i 71 land, inkludert dataangrepet mot Hydro i mars 2019. Gruppen har systematisk angrepet store selskap, og lammet virksomheten deres med skadevare.

Mer enn 30 land deltok på møte som USA holdt for å styrke forsvaret mot løsepengevirus og danne alliansen “Counter-Ransomware Initiative”. Det ble diskutert hvordan de kunne forstyrre løsepengevirus-aktører sin infrastruktur, styrke forsvaret mot løsepengevirus, bruken av kryptovaluta til å hvitvaske pengene og legge press på land som gir løsepengevirus-aktører muligheten til å operere derfra. Det viktigste tiltaket vil i første omgang bli å forstyrre betalingskanalene som aktørene bruker, ved å få børser for kryptovaluta til å identifisere alle kundene sine (AML). Russland og Kina fikk ikke være med på møtet og blir sett på som land som ikke slår hardt nok ned på denne typen angrep. USA og den nye alliansen mot løsepengevirus ønsker å legge press på dem slik at aktører ikke kan operere trygt fra disse landene lenger.

Selskapet Syniverse er en kritisk del av den globale telekommunikasjons infrastrukturen som brukes av AT&T, T-Mobile, Verizon og flere andre rundt om i verden som Vodafone og China Mobile, avslørte at hackere har vært inne i systemene deres i flere år. Mobiltelefonbrukere over hele verden kan være påvirket. Ifølge en anonym kilde kan hackerne hatt tilgang til metadata som lengde og kostnad, innringerens og mottakerens nummer, fysisk plasseringen av partene i samtalen, samt innholdet i tekstmeldinger.

En kriminell organisasjon, som er mistenkt for å ha bygget programvare brukt i Colonial Pipeline-angrepet, rekrutterer nå personer gjennom legitime bedrifts-fronter. Den falske bedriften går under navnet Bastion Secure og utga seg for å selge sikkerhetstjenester. Gruppen som står bak bedriften er egentlig kjent som Fin7/Carbanak, en russisk finansielt motivert bande som i hovedsak angriper Amerikanske bedrifter. Personer som blir "ansatt" blir bedt om å bryte seg inn i bedrifters nettverk, mange uten å vite at de prøver å bryte seg inn hos bedrifter uten tillatelse..

Den årlige hacker-konkurransen i Tianfu, Kina har blitt avholdt. I år kunne kinesiske sikkerhetsforskere ta med seg hjem premier verdt 1.88 millioner dollar etter å ha hacket noe av verdens mest prestisjetunge programvare på landets største hacker-konkurranse. Det var to hacks som skilte seg ut i år. Den første var en ekstern kjøring av kode mot iPhone 13 med det nyeste operativsystemet iOS 15 installert. Den andre var en enkel totrinns-kjede for kjøring av ekstern kode mot Google Chrome, noe som ikke har blitt sett i en hacker-konkurranse på flere år. Blant andre mål som også ble utnyttet kan vi nevne Windows 10, Ubuntu, Safari og VMWare. Konkurransen viser nok en gang at nesten hva som helst kan hackes, dersom angriperne har de riktige insentivene.

Eberspächer er et tysk firma som lager bildeler. Søndag 24. oktober ble selskapet rammet av et løsepengevirus-angrep og mange av fabrikkene deres ble stengt. Over 1000 ansatte i Tyskland får nå penger fra myndighetene mens de venter på at fabrikkene skal åpne igjen. Firmaet har totalt over 10.000 ansatte. Også produksjonen i en fabrikk i Sverige er rammet av angrepet.

I oktober håndterte TSOC 102 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 116 i september. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. Som oftest indikere dette at en PC har blitt infisert av malware, men vi ser også noen med viten og vilje installerer denne typen programvare for å tjene virtuell valuta.

Det var 266 bekreftede DDoS-angrep denne måneden, opp fra 216 i september. 107 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.25 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 78 Gbps og varte i 6 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for september 2021

Microsoft meldte i starten av september at de nylig har rettet en feil i Azure Container Instances (ACI), Feilen kunne gjøre det mulig for kunder å hente ut informasjon fra andre kunders containere i tjenesten. Det var ansatte hos firmaet Palo Alto som oppdaget og meldte fra om svakheten. De opplyser at de klarte å bryte seg ut av den virtuelle containeren og ta full kontroll over hele clusteret. Dette skyldtes at Microsoft ikke hadde patchet en kjent svakhet i programvaren som ble benyttet. Feilen har nå blitt rettet og Microsoft har advart kunder som hadde containere på det samme clusteret som forskerne benyttet.

Microsoft advarte 7. september om en aktivt utnyttet null-dagers sårbarhet. Sårbarheten blir brukt til å ta kontroll over Windows-systemer ved å lure brukeren til å åpne spesielt utformede Office-dokumenter. Svakheten ligger i MSHTML (Trident), en komponent som brukes av Windows til å vise HTML-innhold og som også benyttes av Microsoft Office. Svakheten ble senere i måneden brukt av flere ransomware-bander og også i målrettede angrep mot innenriksdepartementet og flere forsvarsleverandører i Russland. Svakheten ble patchet senere i måneden.

En av Russlands mest prominente IT-gründere og CEO for Group IB, Ilya Konstantinovich Sachkov (35), ble tirsdag pågrepet i Moskva og varetektsfengslet i to måneder. Han er siktet for forræderi ved FSB-domstolen og det beryktede høyrisikofengselet Lefortovo. Det russiske nyhetsbyrået Tass siterer en ikke-navngitt sikkerhetskilde på at Sachkov er anklaget for å ha samarbeidet med utenlandsk etterretning og statsforræderi. Den siktede benekter begge anklagene, skriver Reuters. I Russland går det rykter om at arrestasjonen skyldes at firmaet Group IB har nektet å samarbeide uoffisielt med FSB.

En gratis dekrypterings-verktøy for REvils løsepengevirus-operasjon har blitt utgitt. Denne lar alle ofrene gjenopprette filene sine fra tidligere angrep gratis. “REvil master-decrypter” er laget av cybersikkerhetsfirmaet Bitdefender i samarbeid med politiet. Bitdefender vil ikke dele detaljer om hvordan de fikk tak i dekrypteringsnøkkelen.

Det ble denne måneden mulig å fjerne passordet sitt fra Microsoft-kontoen sin og erstatte det med Microsoft Authenticator App, Windows Hello eller fysiske sikkerhetsnøkler. Microsoft anbefaler dette for å redusere antall passord man bruker og fordi passord er ofte lettere å kompromittere. Dette fjerner imidlertid faktoren “noe du vet” fra innloggingen og kan også slå uheldig ut for sikkerheten, for eksempel dersom en mister en fysisk sikkerhetsnøkkel.

Apple har sluppet sikkerhetsoppdatering som fikser to nulldagssårbarheter brukt til å angripe både Mac og iPhones. Det er kjent at en av svakhetene har blitt brukt til å installere Pegasus spionprogramvare på iPhones. Denne svakheten lar en angriper ta kontroll over en iPhone uten at brukeren foretar seg noe, en såkalt “zero-click” svakhet. Pegasus selges kun til myndigheter, men det er kjent at både journalister, menneskerettighetsforkjempere og politikere har blitt overvåket ved hjelp av programvaren.

Det amerikanske finansdepartementet kunngjorde tirsdag tiltak mot bruk av digitale valutaer i ransomware-angrep og andre økonomiske forbrytelser, inkludert de første sanksjonene noensinne mot en børs for kryptovaluta. Departementet opplyste at om lag 40 prosent av transaksjonene på den sanksjonerte kryptovaluta-børsen som opererer i Russland - Suex - involverte ulovlige aktiviteter. De nye sanksjonene vil blokkere alle handler som involverer Suex og amerikanske personer og firmaer. Finansdepartementet i USA planlegger også å identifisere andre børser knyttet til ulovlige aktiviteter.

Denne måneden har det blitt kjent at det nye botnettet “Meris” har stått bak flere rekordstore DDoS-angrep i det siste. Det russiske firmaet Yandex opplyste at de ble utsatt for rekordstore angrep i august og september på opp mot 22 millioner RPS (Forespørsler per sekund), noe som skal være det største angrepet i Internetts historie. Cloudflare ble også utsatt for et stort angrep fra det samme botnettet tidligere i sommer. Meris består for det meste av hackede MikroTik routere som blir fjernstyrt av angriperne til å sende ut store mengder trafikk mot målene.

I september håndterte TSOC 116 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og  Logganalyse, opp fra 70 i august. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. Det er også en del Android-mobiler med diverse uønsket programvare (adware) på noen nettverk.

Det var 216 bekreftede DDoS-angrep denne måneden, ned fra 253 i august. 89 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.55 Gbps og varte i 20 minutter. Det største angrepet observert i denne perioden var på 62.5 Gbps og varte i 15 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for august 2021

Hackere blokkerte Italias system for å bestille time for Corona-vaksinering. Angrepet var et ransomware-angrep, og flere servere ble kryptert. Ingen personlige data skal ha blitt stjålet i forbindelse med angrepet. Myndighetene i Italia kaller angrepet det alvorligste noen sinne mot italienske myndigheter.

T-Mobile har en pågående etterforskning etter at en trusselaktør hevder å ha kommret seg inn på T-mobile sine servere. Innbruddet skjedde etter at en intern server ved en feil hadde blitt eksponert mot Internet. Hackerne kopierte personopplysninger til rundt 9 millioner aktive kunder, samt 40 millioner tidligere eller potensielle kunder. Opplysningene som er på avveie er navn, fødselsdato, personnummer samt ID/førerkort-informasjon. Ingen passord, PIN-koder eller finansiell informasjon er på avveie. De personlige dataene ble forsøkt solgt for 6 Bitcoins.

Backend-databasen til cybersikkerhetsprosjektet Atlas har blitt lagt ut for salg på et forum for cyberkriminelle. Atlas er en nettside laget av europakommisjonen for å forenkle sikkerhetssamarbeid mellom medlemsland og inneholder offentlig tilgjengelig informasjon om cybersikkerhetseksperter, universiteter, forskningssentre og myndighetsorganisasjoner. Nyhetssiden The Record bekreftet at informasjonen som lå ute for salg var hentet fra backend-løsningen til nettsiden, og det er uvisst hvordan noen har kommet seg inn i databasen. Nettsiden ble tatt ned og satt i vedlikeholdsmodus etter hendelsen.

US Cybersecurity and Infrastructure Security Agency (CISA) har sluppet en fire-siders guide til hvordan organisasjoner kan unngå å bli utsatt for ransomware-angrep, samt gjøre skaden minst mulig dersom et angrep likevel skulle inntreffe. De foreslår blant annet:

• Sørg for offline-backups som blir testet jevnlig.
• Opprett, vedlikehold og tren på planer for å svare på et angrep og gjenopprette driften etter en krise.
• Patch og sørg for riktig konfigurasjon av tjenester som er åpne mot Internet.
• Bruk effektive spam-filtre for å unngå phishing-eposter
• Bruk anti-malware programmer, applikasjons-hvitelisting, begrens admin-tilgang og bruk to-faktor-autentisering.

Microsoft advarte tusenvis av sine Azure Cloud-kunder, inkludert noen av verdens største selskaper, om at inntrengere kan ha hatt tilgang til deres databaser i skyen. Sikkerhetshullet har vært til stede i flere måneder, men ble fikset 14. august. Problemet lå i Cosmos-databasen og kunne utnyttes ved å få tilgang til databasen fra en vilkårlig Azure-bruker via en tjeneste kalt “Jupyter Notebook”. De som fant svakheten har fått utbetalt $40.000 for oppdagelsen.

Forskere fra Dolos Group har klart å få tilgang til en bedrifts nettverk, etter fysisk tilgang til en maskin med tilgang til nettverket, selv om maskinen er kryptert med Bitlocker for ekstra sikkerhet. Dette gjøres ved å forbigå trusted platform module (TPM) for å få tilgang til maskinen. Angrepet blir gjennomført ved å hente ut dataene som går mellom CMOS-chippen og CPUen i maskinen, som er ukrypterte og lett tilgjengelige. Etter å ha koblet til en “Salea Logic analyzer” klarte forskerne å hente ut nøkkelen til TPM. Videre brukte forskerne den allerede konfigurerte Palo Alto VPNen for å få tilgang til bedriftens nettverk. Til slutt hadde forskerne mulighet til å starte maskinen og kunne deretter infisere klienten og benytte seg av den for å nå andre interne ressurser.

Internettinfrastrukturselskapet Cloudflare avslørte i at de håndterte det største volumetriske distribuerte tjenestenekt-angrepet (DDoS) som er registrert til dags dato. Trusselaktøren brukte et botnett med mer enn 20.000 infiserte enheter for å sende HTTP-forespørsler mot kundens nettverk for å konsumere serverressurser, for dermed å forhindre legitime brukere i å bruke nettstedet. Angrepet nådde 17,2 millioner HTTP-forespørsler/sekund (RPS), et tall som Cloudflare beskrev som nesten tre ganger større enn noen andre angrep som er offentlig kjent.

I august håndterte TSOC 70 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og  Logganalyse, opp fra 40 i juli. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt.

Det var 253 bekreftede DDoS-angrep denne måneden, opp fra 233 i juli. 109 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.8 Gbps og varte i 28 minutter. Det største angrepet observert i denne perioden var på 35 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2021

Kaseya VSA er et produkt som vanligvis blir brukt av MSPer (Managed Service Providers) for å drifte og overvåke sine kunders IT-miljøer. Programvaren ble fredag 2. juli utnyttet i et forsyningskjede-angrep for å levere REvil løsepengevirus til tusenvis av organisasjoner. Angrepene har vært rettet mot over 40 tjenesteleverandører og kunder av Kaseya. Dette har påvirket over 1000 bedrifter i 17 forskjellige land. Den svenske Coop-kjeden måtte for eksempel holde over 800 butikker stengt i flere dager, etter at leverandøren av kasse-løsningen gikk ned på grunn av angrepet. Angrepet ble gjennomført ved å utnytte en zero-day svakhet i Kaseya VSA-servere som var direkte eksponert mot Internet. Tilgangen ble deretter brukt til å spre løsepengevirus til alle klientene som serveren kontrollerte. Zero-day svakheten som ble brukt av angriperne var allerede fikset av Kaseya og patchen skulle snarlig sendes ut til kundene. REvil var dessverre raskere med å utnytte svakheten. REvil fremsatte et krav på $70 millioner for å låse opp igjen alle de rammede systemene etter angrepet. Den 13. juli forsvant REvil sine nettsider fra nettet, og de har ikke dukket opp igjen siden. Den 22. juli ble det meldt at Kaseya hadde fått tak i en dekrypteringsnøkkel som kunne brukes av alle de rammede kundene. Det er uklart hvordan Kaseya fikk tak i nøkkelen.

29. juni la et sikkerhetsfirma ut en demonstrasjon på Twitter som viste hvordan en feil i Windows Print Spooler kunne utnyttes. Microsoft hadde patchet en feil i denne Windows-komponenten tidligere i juni (CVE-2021-1675), og mange trodde først at det var en exploit mot denne svakheten som ble demonstrert. Sikkerhetshullet kan brukes av lokale brukere, samt autentiserte brukere over nettet, til å ta full kontroll over en Windows-server. Det viste seg snart at svakheten som ble demonstrert ikke ble patchet av Microsoft sin juni-oppdatering og Microsoft allokerte et nytt CVE-nummer til den: CVE-2021-34527. Det ble også bekreftet at svakheten fungerte mot alle versjoner av Windows. Den 6. juli ga Microsoft ut en haste-oppdatering for svakheten, men det viste seg snart at denne ikke dekket alle varianter. Angripere kunne fortsatt utnytte svakheten lokalt, og også via nettverket på noen konfigurasjoner av Windows.

15. juli ble det sluppet detaljer om enda en svakhet i Windows Print Spooler. Denne svakheten gir en lokal bruker mulighet til å oppnå system-rettigheter og har fått benevnelsen CVE-2021-34481. Foreløpig finnes det ingen patch for denne, men svakheten kan midlertidig unngås ved å slå av Print Spooler Service.

NSA, CISA, FBI og NCSC har delt informasjon om at det russiske militæret (FRU) er ansvarlige for flere store brute-force angrep (gjetting av brukernavn og passord) mot nettsky-leverandører. Angrepene har vært pågående siden minst midten av 2019. Aktøren er omtalt som APT28 og Fancy Bear og brukte et Kubernetes-kluster for å angripe epost-tjenere innenfor offentlige og private sektorer i flere land. De benyttet seg av kompromitterte brukerkontoer og svakheter i Microsoft Exchange server kjent som CVE-2020-0688 og CVE-2020-17144. For å skjule angrepene benyttet aktøren seg av Tor-nettverket og flere kommersielle VPNer.

Et samarbeid mellom flere mediehus og Amnesty International har avslørt at spionprogrammet Pegasus har blitt brukt til å avlytte telefonene til en mengde journalister og aktivister. Pegasus er utviklet og eid av det Israelske selskapet NSO group som selv sier at programmet kun skal brukes til å overvåke terrorister og kriminelle. Fransk etterretning har senere bekreftet at spionvaren var installert på telefonene til minst tre franske journalister. Antakelig blir Pegasus installert på iPhone-enheter ved hjelp av en svakhet som infiserer telefonen, uten at brukeren ser noe tegn til unormal aktivitet. Det kan være at svakheten ble patchet i iOS versjon 14.7.1, men dette er ikke helt avklart enda og Apple har ikke kommentert svakheten.

I juli håndterte TSOC 40 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og  Logganalyse, ned fra 80 i juni. Nedgangen skyldes antageligvis mindre aktivitet grunnet fellesferien. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. Denne måneden har det også vært flere PCer infisert av trojaneren Torpig/Sinowal.

Det var 233 bekreftede DDoS-angrep denne måneden, opp fra 214 i juni. 78 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.5 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 67 Gbps og varte i 13 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.