Oppsummering av nyhetsbildet innen datasikkerhet for juni 2022

Flere store norske nettsteder ble denne måneden utsatt for DDoS-angrep fra grupperingen Killnet. Disse har siden Russlands invasjon av Ukraina stått bak DDoS-angrep mot en rekke vestlige land som har støttet Ukraina i krigen. I det siste har blant annet Litauen og Italia vært mål. Gruppen legger ut målene for angrepene i en egen Telegram-kanal og ber følgerne sine om å angripe lister med mål. Natt til onsdag 29. juni la gruppen ut en liste med en rekke norske mål, som utover dagen ble angrepet. Blant målene som ble angrepet var Politiet, UDI, BankID, ID-porten hos Difi, NAV og flere andre norske nettsider. Flere av nettstedene ble ustabile eller sluttet helt å svare i løpet av dagen. Rundt kl 17 på ettermiddagen ble det lagt ut en melding fra Killnet til sine følgere om å avslutte angrepene.

Typiske DDoS-angrep blir gjennomført ved å sende store mengder "søppeltrafikk" mot nettsteder, mens angrepene fra Killnet ble gjennomført på lag 7 (applikasjonslaget) med full oppkobling av forbindelse mot nettstedet som blir angrepet. Dette gjør at angrepene kan være vanskelig å skille fra vanlig nyttetrafikk. Volummessig er også angrepene veldig små. De oppnår sin virkning ved å binde opp ressurser på selve web-serveren som blir angrepet, ikke ved å fylle opp Internett-linjen til offeret.

Nettstedet Digi.no så på budskapet som ble lagt ut av Killnet i forbindelse med angrepene. Det kan virke som om hovedmotivet for angrepene er norsk nei til transport av russiske varer over Storskog for frakt videre til Svalbard. I dagene etter de første angrepene la Killnet og andre lignende russisk-vennlige grupperinger ut stadig nye lister med mål. Disse påfølgende angrepene hadde enda mindre effekt enn de første. DDoS-angrep har heldigvis ikke noen varig effekt og tjenestene som er rammet begynner å fungere igjen så fort angrepstrafikken opphører eller trafikken blir filtrert vekk.

I over ett år har kunder av Telenor og andre teleoperatører over store deler av verden vært plaget av Flubot, en type malware for Android som sprer seg via SMS og MMS-meldinger. Skadevaren stjal blant annet passord samt bank- og kredittkortinformasjon. Europol meldte 1. juni at nederlandsk politi hadde tatt ned infrastrukturen som ble brukt av Flubot-banden. Dette skjedde etter et samarbeid mellom politimyndigheter fra 11 land. Det pågår fortsatt etterforskning for å avsløre hvem som stod bak operasjonen. I Telenors mobilnettverk har vi ikke sett spor av Flubot-aktivitet etter at aksjonen ble gjennomført.

Google har gitt ut en ny rapport der de har undersøkt bruk av spionvare mot mobiltelefon-brukere i Italia og Kasakhstan. Programvaren som er brukt er produsert av Milan-baserte RCS Lab. RCS har kommentert at deres produkter og tjenester overholder europeisk lovgivning og hjelper myndighetene med å oppklare saker. Google mener at noen av infeksjonene ble gjennomført i samarbeid med mobiloperatørene som målene brukte. Mobiloperatøren slo med vilje av dataforbindelsen til målet og det ble sendt ut en tekst-melding med lenke til en app som måtte lastes ned for å få tilbake forbindelsen. Appen som ble lastet ned var forkledd som en offisiell app fra mobiloperatøren, men var i virkeligheten spionvare. Appene for iOS var gyldige og signerte, men ikke tilgjengelig fra de offisielle app-butikkene.

Den 23. juni ble blokkjede-selskapet Harmony One rammet av et data-angrep. Uvedkommende hadde fått tak i kryptonøkler for å hente ut kryptovaluta som var låst i en bro mellom to blokkjeder, Ethereum og Harmony. Dette ble gjort ved å få tak i de private nøklene til broen, slik at verdiene kunne tas ut. Det er mistanke om den Nord-koreanske stats-støttede grupperingen Lazarus Group står bak tyveriet. De har de siste årene stått bak flere høyprofilerte datainnbrudd der store verdier blir stjålet. De benytter seg både av hacking og sosial manipulering for å nå sine mål.

Secureworks har publisert informasjon om de to statlig tilknyttede APTene (Advanced Persistent Threat) Bronze Riverside og Bronze Starlight. Begge har vært involvert i en koordinert kampanje for å stjele intern informasjon fra bedrifter og stater. Etter å ha kopiert ut informasjonen fra bedriften, har aktørene gjennomført angrep med ransomware mot de samme ofrene for å skjule sporene og den egentlige grunnen til data-innbruddene.

Det russiske botnettet "RSOCKS", som tilbød kundene sine tilgang til et stort utvalg av ulovlige IP-adresser, har blitt stanset av et partnerskap mellom USA, Tyskland, Nederland og Storbritannia. RSOCKS fungerte som en ulovlig proxy-tjeneste som ga kundene tilgang til IP-adresser tilhørende kompromitterte klienter (botnett) slik at trafikk kan gå ut på nettet anonymt. Både myndigheter og kriminelle aktører har brukt tjenesten for anonymisering.

I juni håndterte TSOC 59 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 71 i mai. Denne måneden er det fortsatt mye aktivitet fra kryptovaluta-utvinnere, selv om verdien av kryptovaluta har stupt i det siste. En del Windows-maskiner har fått installert verktøy for fjernadministrering og overvåking, blant annet NJRat. På Android-mobiler har vi sett enheter infisert av både Joker- og Plankton-malware, mens en del Mac-maskiner har vært infisert av Shlayer-malware.

Det var 267 bekreftede DDoS-angrep denne måneden, ned fra 360 i mai. 126 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.80 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 46.6 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2022

Tirsdag 10. mai varslet Norkart om at de hadde vært utsatt for et dataangrep mot deres tjenester for eiendomsinformasjon. NRK har estimert at det har blitt lekket informasjon for inntil 3.3 millioner innbyggere i Norge. Informasjonen som er har vært tilgjengelig fra Norkarts IT-systemer inneholder navn, adresse og fødselsnummer. Personer berørt av angrepet er alle som eier eller har eid norsk eiendom. Angrepet er meldt til Datatilsynet og politiet, men det er per nå ukjent hvem som står bak angrepet eller nøyaktig hvor mye informasjon som har blitt hentet ut. Sårbarheten skyldtes en feil i konfigurasjonen av brannmur for søketjenesten, noe som ga uautorisert tilgang til tjenesten, skriver Norkart. I etterkant av innbruddet var det stor pågang for å reservere seg mot kredittopplysninger hos norske leverandører av kredittopplysninger. Mange har vært nervøse for at enkel tilgang til fødselsnummer skal kunne gjøre det enklere å ta opp lån i deres navn.

Et Word-dokument som ble latest opp til Virustotal fra en IP-adresse i Belarus i slutten av mai, har vist seg å kunne utnytte en til nå ukjent sårbarhet i Office. Svakheten lar seg utnytte, selv uten at makroer er aktivert i Word og har fått navnet “Follina”. Dokumenter som utnytter svakheten, bruker en funksjon for tilgang til eksterne maler til å laste ned den ondsinnede HTML-filen. Deretter brukes Microsoft-supportverktøyet “ms-msdt” til å laste inn koden og å kjøre denne i PowerShell. Svakheten fungerer mot både Office 2013, 2016 og 2021. Siste versjon av Office 365 skal ikke være sårbar. Svakheten ble utnyttet allerede i april, uten at noen da var klar over problemet. Microsoft har postet informasjon om svakheten og hvordan en kan hindre utnyttelse, men enda ikke noen fullverdig patch.

For å feire "verdens passord-dag" 5. mai, lanserte de tre store operativsystem-leverandørene Apple, Google og Microsoft et samarbeid om å bevege seg vekk fra tekstbaserte passord. De ønsker å implementere et system der brukeren benytter seg av allerede innloggede enheter for å logge inn på nye, istedet for et tekstbasert passord. Utviklerne av systemet (FIDO) sier: "Disse nye funksjonene forventes å bli tilgjengelige på tvers av Apple-, Google- og Microsoft-plattformer i løpet av det kommende året." Det nye systemet vil motvirke phishing, siden det kreves at enheten du logger inn på, og enheten du bekrefter innloggingen fra, er fysisk i nærheten av hverandre. Det er dermed ingen engangspassord som kan snappes opp av angripere.

Den nyvalgte presidenten av Costa Rica, Rodrigo Chaves, har erklært nasjonal nødsituasjon etter en bølge av Conti-ransomware-angrep som har vært rettet mot flere offentlige etater i landet. Nyhetsnettstedet BleepingComputer erfarer at Conti har lekket 97% av en 672GB datadump som angivelig inneholder data stjålet fra offentlige etater i Costa Rica. Conti har tidligere krevd $10 millioner dollar fra finansdepartementet, som de har nektet å betale. Senere i måneden ble også helsevesenet i landet angrepet av ransomware-gruppen Hive, men mange spekulerer i at det er Conti-gruppen som står bak også dette angrepet. President Chaves har hevdet at Conti-gruppen har personer på innsiden av offentlige etater i landet.

Både statsministeren Pedro Sanchez og sikkerhetsministeren Margarita Robles har blitt overvåket ved hjelp av spion-programvaren Pegasus. Telefonene ble infisert i mars og juni 2021 og det har blitt bekreftet at data har blitt eksfiltrert. Spanske myndigheter har startet etterforskning for å sjekke om flere av deres ansatte har fått Pegasus på mobilen. Pegasus utvikles av det Israelske sikkerhetsselskapet NSO group, som hevder at de kun selger programvaren til statlige aktører for å overvåke kriminelle og terrorister. Denne hendelsen føyer seg inn i en rekke lignende hendelser fra det siste året.

Google TAG (Threat Analysis Group) publiserte en gjennomgang av flere målrettede angrep mot Android-brukere som benyttet seg av zero-day svakheter i 2021. Alle svakhetene ble skaffet til veie av selskapet Cytrox, som solgte dem videre til flere aktører tilknyttet myndigheter i flere land. Google mener at landene Egypt, Armenia, Hellas, Madagaskar, Elfenbenskysten, Serbia, Spania og Indonesia har vært kunder. Svakhetene brukes for å installere overvåkingsprogramvare på mobilene, og retter seg som oftest bare mot et fåtall ofre. Google sin TAG-gruppe følger for tiden over 30 selskaper som driver med salg og kjøp av denne typen svakheter og overvåkingsprogramvare.

I en ny målrettet phishing-kampanje benytter APT-29, også kjent som Cozy Bear/Nobelium, seg av legitime epost-adresser i målrettede angrep mot diplomater og myndigheter. Adressene som brukes for å sende ut epostene er legitime kompromitterte adresser fra flere forskjellige ambassader. Innholdet i epostene utgir seg for å være politiske oppdateringer, men har vedlegg som eksekverer ondsinnet kode dersom de åpnes. Dersom en klient blir infisert, vil APT 29 ta over brukeren og forsøke å eskalere rettigheter, typisk innen 12 timer. Skadevaren benytter seg av Atlassian Trello for kommunikasjon med kontrollserverne sine, som er en legitim skytjeneste.

24. februar rapporterte sikkerhetsforskeren med pseudonymet "satya0x" en kritisk feil i Wormhole sin kontrakt på blokkjeden Ethereum til Immunefi. Dersom buggen hadde blitt utnyttet, kunne dette ført til at verdiene til Wormhole sine brukere kunne ha blitt låst for alltid. Samme dagen som buggen ble rapportert, fikset Wormhole svakheten. Vedkommende som meldte fra om svakheten har nå fått utbetalt 10 millioner dollar i finnerlønn, noe som er er ny rekord.

I mai håndterte TSOC 71 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 65 i april. Denne måneden så vi blant annet en del Android-mobiler med Joker-malware og Mac-maskiner med Shlayer-trojaneren. Vi avdekket også en Windows-maskin som var infisert av informasjons-stjeleren Red Line. Denne malwaren stjeler brukernavn, passord, kredittkortinfo og alt av informasjonskapsler (cookies) som er lagret på PCen.

Det var 360 bekreftede DDoS-angrep denne måneden, opp fra 293 i april. 124 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.47 Gbps og varte i 15 minutter. Det største angrepet observert i denne perioden var på 22.2 Gbps og varte i 18 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for april 2022

Det er blitt oppdaget en ny versjon av Industroyer, som er kjent fra 2016 da Sandworm APT-gruppen kuttet strømmen til deler av Ukraina i et kortere tidsrom. Den nye versjonen av Industroyer er gitt navnet Industroyer2. Industroyer2 ble forsøkt benyttet mot høyspennings-nettet i Ukraina. Det ble også funnet bruk av annen malware som CaddyWiper og flere andre typer wiper-malware, altså programvare som har som formål å ødelegge datautstyr ved å slette data. Ukrainske myndigheter melder at angrepet denne gangen ble stoppet før det fikk gjort noen skade.

Citizen Lab har funnet nye tilfeller av bruk av overvåkingsprogramvare mot mobiltelefoner for spionasje og overvåking. Den britiske regjeringen har vært utsatt for overvåking ved hjelp av Pegasus fra NSO i 2020 og 2021. Både statsministerens kontor og utenriksdepartementet ble rammet. Myndighetene ble advart om saken. Det skal være De forente arabiske emirater som står bak denne aksjonen. Citizen Lab melder også at 65 katalanske offentlige personer ble rammet av overvåking ved hjelp av verktøyene Pegasus og Candiru. Flere av mobiltelefonene har blitt infisert ved hjelp av en til nå ukjent svakhet i iPhone kalt HOMAGE. Svakheten ble patchet i iOS versjon 13.2.

Svakere multifaktor-autentisering (MFA), som engangs-passord gjennom SMS eller push varslinger der man er nødt til å trykke en knapp etter push varslingen for å eskalere multifaktor-autentiseringen, har flere ganger blitt utnyttet av Lapsus$ og SolarWinds-hackerne. Lapsus$ har brukt denne metoden til å forbigå autentiseringen hos både Microsoft, Okta og Nvidia de siste månedene. Dette gjelder metoder som å oversvømme målet med push eller link forespørsler over lang tid. Mange innloggingsløsninger har ikke noen begrensning på hvor mange forespørsler som kan sendes, og offeret går til slutt lei og godtar forespørselen eller trykker feil.

Private meldinger fra Telegram-kanalen til LAPSUS$ viser at de flere ganger brøt seg inn i systemene til T-Mobile fram til mars 2022. Her stjal de data fra flere forskjellige prosjekter, men skal ikke ha fått tak i informasjon tilhørende myndigheter eller kundene til T-Mobile. KrebsOnSecurity har nylig fått tak i logger fra LAPSUS$ sin private Telegram-kanal. Her kommer det fram at gruppen ofte fikk initiell tilgang til systemene ved å kjøpe brukernavn og passord (eller cookies) gjennom russiske markeder. 

I mars 2022 autoriserte justisdepartementet i USA en operasjon for å delvis ta ned botnettet Cyclops Blink. Det er grupperingen Sandworm, som knyttes til den russiske etterretningstjenesten GRU, som står bak botnettet. Cyclops Blink og den tidligere utgaven VPNFilter, brukes av hemmelige russiske tjenester som et privat VPN for å skjule angrep. Botnettet består av tusenvis av enheter fra produsentene Watchguard og Asus. Under operasjonen ble infiserte enheter logget inn på, malwaren fjernet og administrasjons-porten mot internett lukket. Det ble kun ryddet opp i enheter som befant seg i USA.

CISA, FBI og NSA advarer mot et nytt malwareverktøysett, kjent som Pipedream. Dette er kanskje det mest allsidige verktøyet som noen gang er laget for å målrette angrep mot kritisk infrastruktur som strømnett og oljeraffinerier. Pipedream gjør det mulig for angriperen å kapre enheter, forstyrre eller forhindre adgang for operatører, sette enhetene permanent ut av spill, eller bruke enhetene til å angripe andre deler av kontrollsystemnettverket. Det mistenkes at Russland står bak Pipedream.

Sikkerhetsforskere fra ESET har oppdaget tre sårbarheter som påvirker flere ulike modeller av Lenovo-maskiner beregnet på forbrukermarkedet. To av disse påvirker maskinvare-drivere i UEFI, som kun skulle vært aktivert når maskinene ble produsert, men som ikke har blitt fjernet. Dermed kan angripere med administrator-rettigheter på maskinen bruke disse driverne til å deaktivere SPI flash protection eller UEFI Secure Boot. Svakhetene kan brukes til å legge inn bakdører som nesten ikke lar seg oppdage og er svært vanskelige å slette. Én av driverne heter til og med SecureBackDoor.

Tysk politi har tatt ned russiskspråklige Hydra, verdens største handelssted på det mørke nettet for å hvitvaske penger og selge narkotika. Det estimeres at Hydra hadde økonomisk aktivitet på over 1 milliard dollar i 2020. Tysk politi konfiskerte serverne som ble brukt og beslagla også kryptovaluta verdt over $25 millioner.

I april håndterte TSOC 65 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 128 i mars. Denne måneden er det mange av de vanlige hendelsene som går igjen, infeksjon av forskjellige typer adware på mobiler/PCer, utvinning av kryptovaluta på infiserte PCer samt en del mobiler med Joker-trojaneren installert.

Det var 293 bekreftede DDoS-angrep denne måneden, opp fra 212 i mars. 88 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.35 Gbps og varte i 23 minutter. Det største angrepet observert i denne perioden var på 50.8 Gbps og varte i 18 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2022

Det ukrainske cyberpolitiet, som nå engasjerer seg i cyberkrigføring, hevder at flere viktige russiske nettsteder og statlige nettportaler har blitt tatt ned av angrep. Etter invasjonen fra Russland bestemte Ukrainske embetsmenn seg for å danne en spesiell "IT-hær" som består av frivillige hackere fra hele verden. Medlemmer av styrken har siden invasjonen angrepet nettressursene til Russland og Hviterussland. Flere russiske nettsteder tilhørende myndigheter og banker har gått ned og data fra flere offentlige nettsteder har blitt lekket. Gruppen oppdaterer en liste med mål som deles offentlig. På den andre siden melder Google om flere målrettede angrep mot ukrainske myndighetspersoner, blant annet fra den kjente grupperingen Fancy Bear/APT-28.

Det amerikanske satellitt-firmaet Viasat Inc har etterforsket et cyberangrep etter delvis utfall for bredbåndstjenester via KA-SAT-nettverk for Ukraina og andre europeiske land. Utfallet i tjenesten sammenfalt med Russlands invasjon av Ukraina. Etterforskningen viste at uvedkommende hadde fått tilgang til driftsnettverket til Viasat, lastet opp destruktiv malware (wiper) kalt “AcidRain” til over 10.000 modemer og deretter sendt en kommando til alle modemene for å få dem til å slette seg selv. Dette er det mest alvorlige cyberangrepet så langt i forbindelse med Russlands invasjon av Ukraina.

Denne måneden har hacker-gjengen Lapsus$ herjet på Internett. Den kjente hardware-leverandøren Nvidia ble hacket, og persondata til mer enn 71.000 ansatte ble lekket. Senere i måneden ble Microsoft rammet, og kildekode til Cortana og Bing ble lagt ut offentlig. Sertifikater for å signere kode ble også stjålet fra både Nvidia og Microsoft og brukt til å signere malware, for å gjøre det lettere å bryte seg inn hos andre mål. Samsung ble også offer for banden, og det ble lagt ut 190GB med kildekode, blant annet algoritmene til deres biometriske ID-system, kildekode fra Qualcomm og all kildekode for autentisering og verifisering av Samsung-brukere

Lapsus$ bryter seg for det meste inn hos sine ofre ved hjelp av sosial manipulering. De prøver også å rekruttere innsidere til å gi dem tilgang til interne nettverk hos store bedrifter. Etter å ha fått tak i intern informasjon, driver de med utpressing mot bedriftene for å la være å offentliggjøre stjålen informasjon. Mot slutten av måneden ble to britiske tenåringer tiltalt for å være medlemmer av Lapsus$-banden. Det har imidlertid i ettertid fortsatt kommet kommunikasjon fra gruppen, og den har antakelig flere medlemmer i flere land.

Verdens største bilprodusent, Toyota, så seg nødt til å stoppe all produksjon av nye biler i Japan i over ett døgn i starten av mars. Dette skjer etter at Toyotas underleverandør Kojima Industries ble kompromittert. Toyota har selv flere ganger blitt kompromittert av hackere de siste årene. I 2019 ble 3.1 millioner brukerdata kompromittert, samt at de ble rammet av en større svindelsak som kostet Toyota 37 millioner USD.

Natt til torsdag 17. mars ble IT-systemene til bilforhandler-kjeden Mobile utsatt for et angrep som resulterte i at minst 30 bilbutikker ikke hadde fungerende IT-systemer. Angrepet skal stamme fra Russland, og det har så langt ikke ikke kommet frem om kundedata er lekket. Mot slutten av måneden hadde Mobile fortsatt ikke fått opp igjen alle sine datasystemer, blant annet fungerte ikke epost som det skal.

Apple og Meta har ved flere tilfeller gitt ut brukerinformasjon til hackere som ga seg ut for å være politietterforskere fra forskjellige land, forteller tre personer som har kunnskap om saken til Bloomberg. Brukerinformasjonen som ble gitt ut var informasjon som adresse, telefonnummer og IP-adresse. Hackerne hadde først kompromittert e-post-kontoene til politietterforskerne, før de sendte henvendelsene. Det var derfor vanskelig for mottakerne å avsløre svindelen.

Nordkoreanske hackere har utnyttet en ukjent (zero-day) svakhet i Chrome i opptil en måned før en sikkerhetsoppdatering ble tilgjengelig 14. februar. Angrepene var rettet mot nyhetsmedier, IT-selskaper, kryptobørser og selskaper som står for bankløsninger. Den skadelige koden ble levert både via eposter, falske nettsteder og kompromitterte legitime nettsider. Nord-Korea er ofte ute etter å stjele penger eller kryptovaluta i sine angrep, for å omgå sanksjonene som er rettet mot dem.

Etter en PST-etterforskning viser det seg at hackere tok seg målrettet inn i e-posten til en rekke nordområde-forskere i 2020. PST, Etterretningstjenesten, og Nasjonal sikkerhetsmyndighet har trukket fram Russland som en betydelig trusselaktør i sine siste trusselvurderinger. NRK skriver at de har opplysninger som tyder på at det er Russland som står bak angrepet. Myndighetene har ikke klart å finne konkrete personer som står bak, og dermed henlegges saken.

Ukjente tyver har kommet seg unna med Ethereum og USDC (kryptovaluta) verdt over 5 milliarder kroner fra blokkjede-plattformen Ronin Network. Tyveriet skjedde 23. mars, men ble ikke oppdaget før 6 dager senere. Angrepet rettet seg mer spesifikt mot Ronin Bridge, som er en bro-tjeneste for å overføre verdier mellom ETH- og Ronin-blokkjeden. Ronin brukes primært av det populære blokkjede-baserte spillet Axie Infinity.

I mars håndterte TSOC 128 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 67 i februar. Denne måneden var det mange Android-mobiler som var infisert av malwaren TangleBot. Denne malwaren kan få full tilgang til mobilen og hente ut personlige data som meldinger, bilder og spore posisjonen til brukeren. Malwaren blir typisk installert på mobilen av brukeren selv, etter at vedkommende har blitt lurt til å trykke på en lenke i en nettside eller SMS.

Det var 212 bekreftede DDoS-angrep denne måneden, opp fra 141 i februar. 18 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.4 Gbps og varte i 29 minutter. Det største angrepet observert i denne perioden var på 48.9 Gbps og varte i 7 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2022

Allerede 16. februar ble det meldt om flere bølger med DDoS-angrep mot nettsidene til myndigheter og banker i Ukraina. Blant annet ble forsvarsdepartementet og bankene PrivatBank and Oschadbank rammet. Like før Russland invaderte Ukraina, meldte ESET og Symantec fra om flere typer wiper-malware, altså malware som sletter systemene de kjører på, rettet mot myndighetsorganer i landet. Malwaren spredte seg kun internt i nettene som ble rammet, og det har så langt ikke vært spredning eller store hendelser på utsiden av Ukraina. I forbindelse med invasjonen ble det også opprettet flere falske nettsider som ga seg ut for å være styrt av ukrainske myndigheter, men som i virkeligheten infiserte besøkende med malware og spredte desinformasjon.

Dagen etter invasjonen ga NCSC i Norge (Nasjonalt Cybersikkerhetssenter) ut et oppdatert situasjonsbilde med tilhørende anbefalinger. Med bakgrunn i den svært uoversiktlig situasjonen og observasjoner av skadevare i Ukraina, vurderte de risikonivået for norske virksomheter som forhøyet. De ga også ut en liste over prioriterte tiltak som virksomheter kan iverksette i en skjerpet sikkerhetssituasjon som den vi nå er i.

Etter invasjonen spurte det ukrainske cyber-politiet om hjelp til å angripe utvalgte russiske statlige mål. Enkeltpersoner og hacktivist-grupper fra hele verden meldte seg snart til tjeneste, og flere russiske nettaviser og myndighetssider gikk ned eller fikk byttet ut innholdet med anti-krigs-informasjon. Den kjente russiske ransomware-gruppen Conti meldte på sin side at alle cyber-angrep mot Russland ville bli møtt med hevn fra deres side. Et medlem av Conti-gruppen reagerte imidlertid sterkt på uttalelsen, og slapp store mengder interne chatte-logger og verktøy som hevn. Sikkerhetseksperter har i etterkant fått mye nyttig informasjon ved studere disse loggene.

Swissport er et firma som tilbyr forskjellige tjenester innenfor luftfart på 310 flyplasser. De ble angrepet tidligere i februar, noe som førte til kansellerte og forsinkede fly, samt andre driftsforstyrrelser. Den nye ransomware-gruppen BlackCat (ALPHV) har siden tatt på seg ansvaret for angrepet og har lagt ut en mindre mengde interne data. Aktøren påstår ha kopiert ut 1.6TB data som de truer med å offentliggjøre, dersom ikke løsepengene blir betalt. Det amerikanske frakt og logistikk-firmaet Expeditors International ble også rammet av cyber-angrep i februar og måtte stenge ned deler av virksomheten.

Microsoft skal om kort tid blokkere Visual Basic for Applications (VBA) makroer som standard på en rekke Office-produkter. Endringen vil gjelde Office-filer som er lastet ned fra Internett og som inneholder denne typen makroer. Dette vil føre til at brukere ikke lengre kan kjøre makroer med et enkelt tastetrykk. Dette gjøres for å demme opp av bølgen av eposter som fører til nedlasting av malware til PCer ved hjelp av makroer i i falske dokumenter. Dette har lenge vært en av de mest populære måtene å infisere Windows-PCer på, og trusselaktørene vil måtte finne seg nye metoder for å oppnå tilgang.

Natt til 8. februar gikk en stor del av kundetjenestene til Vodafone Portugal offline over natten etter et bevisst og ondsinnet nettangrep. Tjenester for mobildata, tale og TV gikk ned. Selskapet gjenopprettet dagen etter mobil tale og datatjenester over 3G-nettet i nesten hele landet, mens andre tjenester tok flere døgn å gjenopprette. Vodafone får hjelp både lokalt og internasjonalt i det som for øyeblikket er den største cybersikkerhetshendelsen selskapet noen gang har håndtert. Selskapet samarbeider med myndighetene og basert på nåværende opplysninger ser det ikke ut til at kundedata er kompromittert.

I 2021 fortsatte Mandiant Threat Intelligence å observere ransomware-operatører som forsøkte å presse tusenvis av ofre ved å analysere flere terabyte med stjålet informasjon. Operatørene legger ofte ut denne typen informasjon på egne "lekkasje-nettsider". Dette påvirket over 1300 organisasjoner fra kritisk infrastruktur og industriell produksjonssektor på bare ett år. I ett av syv tilfeller med lekkasje av interne data, befant det seg informasjon om kritiske prosesstyringsystemer blant dataene. Dette er informasjon som avanserte aktører kan komme til å bruke til spesielt skadelige angrep senere.

Angrepet på kryptobørsen Bitfinex i 2016 ble oppklart denne måneden! Amerikanske myndigheter beslagla rundt 3,6 milliarder dollar i Bitcoin etter et gjennombrudd i saken. Dette er det største økonomiske beslaget noensinne og to personer ble arrestert, siktet for hvitvasking av penger. De to personene hadde lagret de kryptografiske nøklene til alle verdiene på en skytjeneste, som myndighetene enkelt fikk tilgang til.

I februar håndterte TSOC 67 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 138 i januar. Maskiner som utvinner kryptovaluta er fortsatt dominerende. Denne måneden har vi også hatt noen tilfeller av Android mobiler infisert av TangleBot, som gir angriperen full tilgang til å overvåke mobiltelefonen. 

Det var 141 bekreftede DDoS-angrep denne måneden, ned fra 203 i januar. 64 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.45 Gbps og varte i 30 minutter. Det største angrepet observert i denne perioden var på 288 Gbps og varte i én time. Én av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.