Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2021

Politi-myndigheter fra flere land har gjennomført ransakinger på flere adresser tilknyttet 12 organiserte digitale kriminelle i Ukraina. Kripos har deltatt i etterforskningen og aksjonen etter dataangrepet mot Hydro i 2019. Etterforskningsgruppen mener de 12 personene har hatt forskjellige roller i et nettverk av kriminelle som står bak alvorlige dataangrep rettet mot over 1.800 ofre i 71 land, inkludert dataangrepet mot Hydro i mars 2019. Gruppen har systematisk angrepet store selskap, og lammet virksomheten deres med skadevare.

Mer enn 30 land deltok på møte som USA holdt for å styrke forsvaret mot løsepengevirus og danne alliansen “Counter-Ransomware Initiative”. Det ble diskutert hvordan de kunne forstyrre løsepengevirus-aktører sin infrastruktur, styrke forsvaret mot løsepengevirus, bruken av kryptovaluta til å hvitvaske pengene og legge press på land som gir løsepengevirus-aktører muligheten til å operere derfra. Det viktigste tiltaket vil i første omgang bli å forstyrre betalingskanalene som aktørene bruker, ved å få børser for kryptovaluta til å identifisere alle kundene sine (AML). Russland og Kina fikk ikke være med på møtet og blir sett på som land som ikke slår hardt nok ned på denne typen angrep. USA og den nye alliansen mot løsepengevirus ønsker å legge press på dem slik at aktører ikke kan operere trygt fra disse landene lenger.

Selskapet Syniverse er en kritisk del av den globale telekommunikasjons infrastrukturen som brukes av AT&T, T-Mobile, Verizon og flere andre rundt om i verden som Vodafone og China Mobile, avslørte at hackere har vært inne i systemene deres i flere år. Mobiltelefonbrukere over hele verden kan være påvirket. Ifølge en anonym kilde kan hackerne hatt tilgang til metadata som lengde og kostnad, innringerens og mottakerens nummer, fysisk plasseringen av partene i samtalen, samt innholdet i tekstmeldinger.

En kriminell organisasjon, som er mistenkt for å ha bygget programvare brukt i Colonial Pipeline-angrepet, rekrutterer nå personer gjennom legitime bedrifts-fronter. Den falske bedriften går under navnet Bastion Secure og utga seg for å selge sikkerhetstjenester. Gruppen som står bak bedriften er egentlig kjent som Fin7/Carbanak, en russisk finansielt motivert bande som i hovedsak angriper Amerikanske bedrifter. Personer som blir "ansatt" blir bedt om å bryte seg inn i bedrifters nettverk, mange uten å vite at de prøver å bryte seg inn hos bedrifter uten tillatelse..

Den årlige hacker-konkurransen i Tianfu, Kina har blitt avholdt. I år kunne kinesiske sikkerhetsforskere ta med seg hjem premier verdt 1.88 millioner dollar etter å ha hacket noe av verdens mest prestisjetunge programvare på landets største hacker-konkurranse. Det var to hacks som skilte seg ut i år. Den første var en ekstern kjøring av kode mot iPhone 13 med det nyeste operativsystemet iOS 15 installert. Den andre var en enkel totrinns-kjede for kjøring av ekstern kode mot Google Chrome, noe som ikke har blitt sett i en hacker-konkurranse på flere år. Blant andre mål som også ble utnyttet kan vi nevne Windows 10, Ubuntu, Safari og VMWare. Konkurransen viser nok en gang at nesten hva som helst kan hackes, dersom angriperne har de riktige insentivene.

Eberspächer er et tysk firma som lager bildeler. Søndag 24. oktober ble selskapet rammet av et løsepengevirus-angrep og mange av fabrikkene deres ble stengt. Over 1000 ansatte i Tyskland får nå penger fra myndighetene mens de venter på at fabrikkene skal åpne igjen. Firmaet har totalt over 10.000 ansatte. Også produksjonen i en fabrikk i Sverige er rammet av angrepet.

I oktober håndterte TSOC 102 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 116 i september. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. Som oftest indikere dette at en PC har blitt infisert av malware, men vi ser også noen med viten og vilje installerer denne typen programvare for å tjene virtuell valuta.

Det var 266 bekreftede DDoS-angrep denne måneden, opp fra 216 i september. 107 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.25 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 78 Gbps og varte i 6 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for september 2021

Microsoft meldte i starten av september at de nylig har rettet en feil i Azure Container Instances (ACI), Feilen kunne gjøre det mulig for kunder å hente ut informasjon fra andre kunders containere i tjenesten. Det var ansatte hos firmaet Palo Alto som oppdaget og meldte fra om svakheten. De opplyser at de klarte å bryte seg ut av den virtuelle containeren og ta full kontroll over hele clusteret. Dette skyldtes at Microsoft ikke hadde patchet en kjent svakhet i programvaren som ble benyttet. Feilen har nå blitt rettet og Microsoft har advart kunder som hadde containere på det samme clusteret som forskerne benyttet.

Microsoft advarte 7. september om en aktivt utnyttet null-dagers sårbarhet. Sårbarheten blir brukt til å ta kontroll over Windows-systemer ved å lure brukeren til å åpne spesielt utformede Office-dokumenter. Svakheten ligger i MSHTML (Trident), en komponent som brukes av Windows til å vise HTML-innhold og som også benyttes av Microsoft Office. Svakheten ble senere i måneden brukt av flere ransomware-bander og også i målrettede angrep mot innenriksdepartementet og flere forsvarsleverandører i Russland. Svakheten ble patchet senere i måneden.

En av Russlands mest prominente IT-gründere og CEO for Group IB, Ilya Konstantinovich Sachkov (35), ble tirsdag pågrepet i Moskva og varetektsfengslet i to måneder. Han er siktet for forræderi ved FSB-domstolen og det beryktede høyrisikofengselet Lefortovo. Det russiske nyhetsbyrået Tass siterer en ikke-navngitt sikkerhetskilde på at Sachkov er anklaget for å ha samarbeidet med utenlandsk etterretning og statsforræderi. Den siktede benekter begge anklagene, skriver Reuters. I Russland går det rykter om at arrestasjonen skyldes at firmaet Group IB har nektet å samarbeide uoffisielt med FSB.

En gratis dekrypterings-verktøy for REvils løsepengevirus-operasjon har blitt utgitt. Denne lar alle ofrene gjenopprette filene sine fra tidligere angrep gratis. “REvil master-decrypter” er laget av cybersikkerhetsfirmaet Bitdefender i samarbeid med politiet. Bitdefender vil ikke dele detaljer om hvordan de fikk tak i dekrypteringsnøkkelen.

Det ble denne måneden mulig å fjerne passordet sitt fra Microsoft-kontoen sin og erstatte det med Microsoft Authenticator App, Windows Hello eller fysiske sikkerhetsnøkler. Microsoft anbefaler dette for å redusere antall passord man bruker og fordi passord er ofte lettere å kompromittere. Dette fjerner imidlertid faktoren “noe du vet” fra innloggingen og kan også slå uheldig ut for sikkerheten, for eksempel dersom en mister en fysisk sikkerhetsnøkkel.

Apple har sluppet sikkerhetsoppdatering som fikser to nulldagssårbarheter brukt til å angripe både Mac og iPhones. Det er kjent at en av svakhetene har blitt brukt til å installere Pegasus spionprogramvare på iPhones. Denne svakheten lar en angriper ta kontroll over en iPhone uten at brukeren foretar seg noe, en såkalt “zero-click” svakhet. Pegasus selges kun til myndigheter, men det er kjent at både journalister, menneskerettighetsforkjempere og politikere har blitt overvåket ved hjelp av programvaren.

Det amerikanske finansdepartementet kunngjorde tirsdag tiltak mot bruk av digitale valutaer i ransomware-angrep og andre økonomiske forbrytelser, inkludert de første sanksjonene noensinne mot en børs for kryptovaluta. Departementet opplyste at om lag 40 prosent av transaksjonene på den sanksjonerte kryptovaluta-børsen som opererer i Russland - Suex - involverte ulovlige aktiviteter. De nye sanksjonene vil blokkere alle handler som involverer Suex og amerikanske personer og firmaer. Finansdepartementet i USA planlegger også å identifisere andre børser knyttet til ulovlige aktiviteter.

Denne måneden har det blitt kjent at det nye botnettet “Meris” har stått bak flere rekordstore DDoS-angrep i det siste. Det russiske firmaet Yandex opplyste at de ble utsatt for rekordstore angrep i august og september på opp mot 22 millioner RPS (Forespørsler per sekund), noe som skal være det største angrepet i Internetts historie. Cloudflare ble også utsatt for et stort angrep fra det samme botnettet tidligere i sommer. Meris består for det meste av hackede MikroTik routere som blir fjernstyrt av angriperne til å sende ut store mengder trafikk mot målene.

I september håndterte TSOC 116 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og  Logganalyse, opp fra 70 i august. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. Det er også en del Android-mobiler med diverse uønsket programvare (adware) på noen nettverk.

Det var 216 bekreftede DDoS-angrep denne måneden, ned fra 253 i august. 89 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.55 Gbps og varte i 20 minutter. Det største angrepet observert i denne perioden var på 62.5 Gbps og varte i 15 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for august 2021

Hackere blokkerte Italias system for å bestille time for Corona-vaksinering. Angrepet var et ransomware-angrep, og flere servere ble kryptert. Ingen personlige data skal ha blitt stjålet i forbindelse med angrepet. Myndighetene i Italia kaller angrepet det alvorligste noen sinne mot italienske myndigheter.

T-Mobile har en pågående etterforskning etter at en trusselaktør hevder å ha kommret seg inn på T-mobile sine servere. Innbruddet skjedde etter at en intern server ved en feil hadde blitt eksponert mot Internet. Hackerne kopierte personopplysninger til rundt 9 millioner aktive kunder, samt 40 millioner tidligere eller potensielle kunder. Opplysningene som er på avveie er navn, fødselsdato, personnummer samt ID/førerkort-informasjon. Ingen passord, PIN-koder eller finansiell informasjon er på avveie. De personlige dataene ble forsøkt solgt for 6 Bitcoins.

Backend-databasen til cybersikkerhetsprosjektet Atlas har blitt lagt ut for salg på et forum for cyberkriminelle. Atlas er en nettside laget av europakommisjonen for å forenkle sikkerhetssamarbeid mellom medlemsland og inneholder offentlig tilgjengelig informasjon om cybersikkerhetseksperter, universiteter, forskningssentre og myndighetsorganisasjoner. Nyhetssiden The Record bekreftet at informasjonen som lå ute for salg var hentet fra backend-løsningen til nettsiden, og det er uvisst hvordan noen har kommet seg inn i databasen. Nettsiden ble tatt ned og satt i vedlikeholdsmodus etter hendelsen.

US Cybersecurity and Infrastructure Security Agency (CISA) har sluppet en fire-siders guide til hvordan organisasjoner kan unngå å bli utsatt for ransomware-angrep, samt gjøre skaden minst mulig dersom et angrep likevel skulle inntreffe. De foreslår blant annet:

• Sørg for offline-backups som blir testet jevnlig.
• Opprett, vedlikehold og tren på planer for å svare på et angrep og gjenopprette driften etter en krise.
• Patch og sørg for riktig konfigurasjon av tjenester som er åpne mot Internet.
• Bruk effektive spam-filtre for å unngå phishing-eposter
• Bruk anti-malware programmer, applikasjons-hvitelisting, begrens admin-tilgang og bruk to-faktor-autentisering.

Microsoft advarte tusenvis av sine Azure Cloud-kunder, inkludert noen av verdens største selskaper, om at inntrengere kan ha hatt tilgang til deres databaser i skyen. Sikkerhetshullet har vært til stede i flere måneder, men ble fikset 14. august. Problemet lå i Cosmos-databasen og kunne utnyttes ved å få tilgang til databasen fra en vilkårlig Azure-bruker via en tjeneste kalt “Jupyter Notebook”. De som fant svakheten har fått utbetalt $40.000 for oppdagelsen.

Forskere fra Dolos Group har klart å få tilgang til en bedrifts nettverk, etter fysisk tilgang til en maskin med tilgang til nettverket, selv om maskinen er kryptert med Bitlocker for ekstra sikkerhet. Dette gjøres ved å forbigå trusted platform module (TPM) for å få tilgang til maskinen. Angrepet blir gjennomført ved å hente ut dataene som går mellom CMOS-chippen og CPUen i maskinen, som er ukrypterte og lett tilgjengelige. Etter å ha koblet til en “Salea Logic analyzer” klarte forskerne å hente ut nøkkelen til TPM. Videre brukte forskerne den allerede konfigurerte Palo Alto VPNen for å få tilgang til bedriftens nettverk. Til slutt hadde forskerne mulighet til å starte maskinen og kunne deretter infisere klienten og benytte seg av den for å nå andre interne ressurser.

Internettinfrastrukturselskapet Cloudflare avslørte i at de håndterte det største volumetriske distribuerte tjenestenekt-angrepet (DDoS) som er registrert til dags dato. Trusselaktøren brukte et botnett med mer enn 20.000 infiserte enheter for å sende HTTP-forespørsler mot kundens nettverk for å konsumere serverressurser, for dermed å forhindre legitime brukere i å bruke nettstedet. Angrepet nådde 17,2 millioner HTTP-forespørsler/sekund (RPS), et tall som Cloudflare beskrev som nesten tre ganger større enn noen andre angrep som er offentlig kjent.

I august håndterte TSOC 70 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og  Logganalyse, opp fra 40 i juli. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt.

Det var 253 bekreftede DDoS-angrep denne måneden, opp fra 233 i juli. 109 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.8 Gbps og varte i 28 minutter. Det største angrepet observert i denne perioden var på 35 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2021

Kaseya VSA er et produkt som vanligvis blir brukt av MSPer (Managed Service Providers) for å drifte og overvåke sine kunders IT-miljøer. Programvaren ble fredag 2. juli utnyttet i et forsyningskjede-angrep for å levere REvil løsepengevirus til tusenvis av organisasjoner. Angrepene har vært rettet mot over 40 tjenesteleverandører og kunder av Kaseya. Dette har påvirket over 1000 bedrifter i 17 forskjellige land. Den svenske Coop-kjeden måtte for eksempel holde over 800 butikker stengt i flere dager, etter at leverandøren av kasse-løsningen gikk ned på grunn av angrepet. Angrepet ble gjennomført ved å utnytte en zero-day svakhet i Kaseya VSA-servere som var direkte eksponert mot Internet. Tilgangen ble deretter brukt til å spre løsepengevirus til alle klientene som serveren kontrollerte. Zero-day svakheten som ble brukt av angriperne var allerede fikset av Kaseya og patchen skulle snarlig sendes ut til kundene. REvil var dessverre raskere med å utnytte svakheten. REvil fremsatte et krav på $70 millioner for å låse opp igjen alle de rammede systemene etter angrepet. Den 13. juli forsvant REvil sine nettsider fra nettet, og de har ikke dukket opp igjen siden. Den 22. juli ble det meldt at Kaseya hadde fått tak i en dekrypteringsnøkkel som kunne brukes av alle de rammede kundene. Det er uklart hvordan Kaseya fikk tak i nøkkelen.

29. juni la et sikkerhetsfirma ut en demonstrasjon på Twitter som viste hvordan en feil i Windows Print Spooler kunne utnyttes. Microsoft hadde patchet en feil i denne Windows-komponenten tidligere i juni (CVE-2021-1675), og mange trodde først at det var en exploit mot denne svakheten som ble demonstrert. Sikkerhetshullet kan brukes av lokale brukere, samt autentiserte brukere over nettet, til å ta full kontroll over en Windows-server. Det viste seg snart at svakheten som ble demonstrert ikke ble patchet av Microsoft sin juni-oppdatering og Microsoft allokerte et nytt CVE-nummer til den: CVE-2021-34527. Det ble også bekreftet at svakheten fungerte mot alle versjoner av Windows. Den 6. juli ga Microsoft ut en haste-oppdatering for svakheten, men det viste seg snart at denne ikke dekket alle varianter. Angripere kunne fortsatt utnytte svakheten lokalt, og også via nettverket på noen konfigurasjoner av Windows.

15. juli ble det sluppet detaljer om enda en svakhet i Windows Print Spooler. Denne svakheten gir en lokal bruker mulighet til å oppnå system-rettigheter og har fått benevnelsen CVE-2021-34481. Foreløpig finnes det ingen patch for denne, men svakheten kan midlertidig unngås ved å slå av Print Spooler Service.

NSA, CISA, FBI og NCSC har delt informasjon om at det russiske militæret (FRU) er ansvarlige for flere store brute-force angrep (gjetting av brukernavn og passord) mot nettsky-leverandører. Angrepene har vært pågående siden minst midten av 2019. Aktøren er omtalt som APT28 og Fancy Bear og brukte et Kubernetes-kluster for å angripe epost-tjenere innenfor offentlige og private sektorer i flere land. De benyttet seg av kompromitterte brukerkontoer og svakheter i Microsoft Exchange server kjent som CVE-2020-0688 og CVE-2020-17144. For å skjule angrepene benyttet aktøren seg av Tor-nettverket og flere kommersielle VPNer.

Et samarbeid mellom flere mediehus og Amnesty International har avslørt at spionprogrammet Pegasus har blitt brukt til å avlytte telefonene til en mengde journalister og aktivister. Pegasus er utviklet og eid av det Israelske selskapet NSO group som selv sier at programmet kun skal brukes til å overvåke terrorister og kriminelle. Fransk etterretning har senere bekreftet at spionvaren var installert på telefonene til minst tre franske journalister. Antakelig blir Pegasus installert på iPhone-enheter ved hjelp av en svakhet som infiserer telefonen, uten at brukeren ser noe tegn til unormal aktivitet. Det kan være at svakheten ble patchet i iOS versjon 14.7.1, men dette er ikke helt avklart enda og Apple har ikke kommentert svakheten.

I juli håndterte TSOC 40 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og  Logganalyse, ned fra 80 i juni. Nedgangen skyldes antageligvis mindre aktivitet grunnet fellesferien. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. Denne måneden har det også vært flere PCer infisert av trojaneren Torpig/Sinowal.

Det var 233 bekreftede DDoS-angrep denne måneden, opp fra 214 i juni. 78 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.5 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 67 Gbps og varte i 13 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2021

I starten av måneden ble det multinasjonale selskapet JBS Foods rammet av ransomware. Firmaet produserer 20% av kjøttet i USA og produksjonen ble rammet. Etter kort tid valgte firmaet å betale $11 millioner til utpresserne i et forsøk for å få produksjonen i gang igjen så fort som mulig. Ransomware-angrepet ble utført av den russiske grupperingen REvil. USAs president, Joe Biden, uttalte etter angrepet at ansvarlige nasjoner burde straffeforfølge grupperinger som REvil. Dette med klar adresse til Russland sin manglende oppfølging av russiske grupperinger som i stor stil angriper og utpresser firmaer i vesten.

Justisdepartementet i USA prioriterer nå etterforskning av løsepengevirus på samme nivå som terrorisme etter angrepet på Colonial Pipeline 6. mai 2021, samt andre høyprofilerte angrep i det siste. Det er også opprettet en egen "task force" i Washington for å koordinere etterforskning av angrepene.

President Biden har utvidet sanksjonene mot kinesiske selskaper, som først ble innført av Trump. Listen over firmaer som ikke kan motta investeringer fra USA økes fra 31 til 59. Biden fordømmer også Kinas bruk av overvåkingsprogramvare for å kontrollere befolkningen. Firmaer som allerede har gjort investeringer vil ha ett år på seg til å avslutte forholdene.

Ukrainsk politi arresterte kriminelle assosiert med ransomware-gjengen Clop. De stengte også ned infrastrukturen til grupperingen, som har vært aktive siden 2019. De arresterte skal først og fremst ha drevet med hvitvasking av penger, mens bakmennene i banden fortsatt er på frifot i Russland. 

SITA, en internasjonal leverandør av IT-tjenester til rundt 90% av flybransjen, ble i mars utsatt for et datainnbrudd. Sikkerhetsselskapet Group-IB skriver at dette førte til et forsyningskjedeangrep som rammet flere store flyselskap og millioner av passasjerer er rammet. Sikkerhetsselskapet mistenker at den kinesiske aktøren APT41 står bak. Motivasjonen bak angrepet er mest sannsynlig å følge reisene til personer av interesse. Flyselskaper blir bedt om å sjekke systemene sine etter tegn til innbrudd etter kampanjen.

Datasystemene til halvparten av bibliotekene over hele landet gikk ned 22. juni etter et dataangrep. Angriperne krevde løsepenger. Det er Axiell Norge AS som levere datatjenestene og de gikk ikke med på kravet om å betale løsepenger. Ingen persondata skal være på avveie, og selskapet hadde sikkerhetskopier av all data angriperne hadde kryptert. Angrepet er meldt til politiet i Norge, Sverige og Finland. Den 28. juni lyktes selskapet i å delvis få opp igjen systemene sine.

I juli avslørte politi fra flere land den tre år lange operasjonen “Operation Ironside. Politiet hadde i flere år drevet den krypterte meldingsplattformen “ANOM”. Plattformen bestod av spesielt sikret mobilutstyr og en kryptert meldingsapp. Millioner av meldinger ble avlyttet av politiet, noe som førte til over 800 arrestasjoner, beslag av 40 tonn narkotika, 250 skytevåpen, 55 luksusbiler osv. I Norge ble ni personer pågrepet etter operasjonen. I Norge var det en stund uklart om bevisene som ble innhentet kunne brukes i en norsk rett, men høyesterett kom 23. juni fram til at dette ikke strider mot grunnleggende norske verdier.

En gruppe som kaller seg Fancy Lazarus driver nå en målrettet DDoS utpressingskampanje mot større bedrifter. Sikkerhetsselskapet Proofpoint skriver at bedrifter i mange ulike sektorer har blitt kontaktet av gruppen. Kontakten skjer per e-post, hvor gruppen forlanger en utbetaling på 2 Bitcoin (ca. 600 000 NOK) for at bedriften ikke skal bli utsatt for et større DDoS-angrep. Om bedriften ikke betaler innen en gitt tidsfrist dobles summen, og deretter øker den med én Bitcoin hver dag. Det er ikke alltid at gruppen gjennomfører truslene, men flere bedrifter har blitt utsatt for DDoS-angrep (demo-angrep) etter at de har blitt kontaktet. I løpet av de siste ukene har også noen norske bedrifter mottatt trusler med tilhørende demo-angrep fra denne grupperingen.

Statsforvalteren i Oslo og Viken var ett av statsforvalterembetene som ble direkte rammet av angrepet mot flere statsforvalterembeter i 2018. PSTs Hanne Blomberg opplyser at de nå har etterretning som peker mot Kina. "Vi har i denne konkrete saken etterretningsinformasjon som peker i en tydelig retning mot at det er aktøren APT31 som står bak operasjonen mot statsforvaltningsembetene", opplyste hun til NRK.

Det store spillselskapet Electronic Arts ble denne måneden frastjålet kildekode til flere spill. En representant for hackerne som stod bak angrepet, avslørte at angrepet ble utført ved hjelp av en informasjonskapsel kjøpt for $10. Netkapselen ble kjøpt fra undergrunnsmarkedet “Genesis Market” og gav hackerne tilgang til EA sin interne Slack-chat. Informasjonskapsler stjeles fra store mengder hackede PCer og legges ut for salg på denne typen illegale markeder. Angriperne klarte via chatten å lure EA sin IT-support til å gi dem tilgang til resten av nettverket, under påskudd av å ha glemt et passord.

I juni håndterte TSOC 80 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 86 i april. PCer og servere som er kompromittert og utvinner kryptovaluta dominerer fortsatt. En del klienter har også fått installert ondsinnede nettleserutvidelser.

Det var 214 bekreftede DDoS-angrep denne måneden, ned fra 402 i mai. 113 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5 Gbps og varte i 36 minutter. Det største angrepet observert i denne perioden var på 71 Gbps og varte i 31 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.