I november håndterte TSOC 79 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 53 i oktober.
#1: Tre informasjonsstjelere
Denne måneden så vi maskiner som var infisert av tre typer informasjons-stjelere: “SocGolish”, “Redline” og “Vidar”. Alle disse er designet for å raskest mulig samle sammen viktig informasjon fra en PC og sende dette ut til trusselaktøren, noen ganger fungerer de også som en bakdør til systemet som gjør at det kan fjernstyres.
Informasjonen blir solgt i undergrunnsmarkeder som ferdige "informasjonspakker" til høystbydende. Kjøperen av informasjonen kan så surfe rundt på nettet og ha de samme tilgangene som offeret i form av sesjons-nøkler (cookies), brukernavn og passord.
Offeret mister personlig informasjon, kan bli frastjålet penger og dersom PCen er koblet mot et bedriftsnettverk, kan dette i siste instans føre til ransomware og kryptering av data i hele nettverket.
For å unngå denne typen trusler er den mest effektive forsvarsmekanismen å bare tillate kjøring og installasjon av applikasjoner fra forhåndsgodkjente lister eller leverandører.
«Tjenester som Confluence bør ikke eksponeres direkte mot Internett, men kun være tilgjengelig for autoriserte brukere, gjerne bak en VPN-tilkobling.»
Knekker tofaktor med QR: – Redd det blir mer
#2: 188 DDoS-angrep
Det var 188 bekreftede DDoS-angrep denne måneden, opp fra 169 i november. 131 av angrepene ble mitigert.
Et gjennomsnittlig angrep var på 7.2 Gbps og varte i 31 minutter. Det største angrepet observert i denne perioden var på 155 Gbps og varte i 15 minutter.
To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
#3: Kritisk sikkerhetssvakhet
Atlassian advarte i starten av november om en kritisk sikkerhetssvakhet i Confluence Data Center og Server som kan føre til store datatap dersom den blir utnyttet av en angriper.
Svakheten fikk CVVS (standard for å beregne en svakhets alvorlighetsgrad) på 9.1 av 10 og kan utnyttes uten å autentisere seg mot serveren først. Videre utover i november ble svakheten utnyttet av flere trusselaktører, blant annet til å installere Cerber ransomware.
Tjenester som Confluence bør ikke eksponeres direkte mot Internett, men kun være tilgjengelig for autoriserte brukere, gjerne bak en VPN-tilkobling.
- Viser hvor viktig patche-rutiner er
#4: Ransomware-angrep i Kina
Et ransomware-angrep rammet den amerikanske avdelingen av Kinas største bank, Industrial and Commercial Bank of China.
Angrepet førte til at banken måtte stenge ned noen tjenester, noe som også førte til mindre forstyrrelser i omsetningen av amerikanske statsobligasjoner.
Wall Street Journal meldte senere at en Citrix Netscaler-server som ikke var patchet for sårbarheten "CitrixBleed" (meldt 10. oktober) var inngangsvektoren for ransomware-gruppen Lockbit. Reuters opplyste også at banken antageligvis har betalt løsepenger for å få låst opp systemene sine igjen.
#5: Økt angrep fra Kina
Recorded Future har nettopp gitt ut en rapport om angreps-aktivitet fra Kina. I det siste har kinesiske aktører økt sine angrep mot såkalt "edge-devices", altså enheter som står i ytterkant av bedrifters nettverk og er eksponert mot Internet.
Flere ransomware-aktører har også utnyttet denne typen utstyr i det siste. Disse enhetene er ekstra sårbare mot ferske angrep, før de blir patchet, siden de ofte kan kontaktes fra hele Internett.
De bør derfor patches kjapt ved nye svakheter, overvåkes ekstra nøye og tilgang til interne systemer i nettet bør begrenses så mye som mulig.
«Telenor registrerte i november en stor økning i svindelanrop som gir seg ut for å være fra politiet.»
#6: Hacket videoredigerings-program
En trusselaktør Microsoft følger som "Diamond Sleet" (Lazarus Group) kompromitterte denne måneden et populært program for videoredigering kalt CyberLink.
Produsenten ble utsatt for datainnbrudd, og en versjon av programvaren med malware inkludert ble lagt ut for nedlasting i oktober. Malwaren kontakter en kommando og kontroll-server og laster eventuelt ned mer malware.
Denne gruppen er økonomisk motivert og er som oftest ute etter å få tak i kontodetaljer for å overføre verdier ut fra bank-kontoer eller kryptobørser.
#7: Datatilsynet-seier
Datatilsynet beordret i sommer Meta om å stanse bruken av nordmenns persondata til adferdsbasert reklame. Teknologikjempen, som eier Facebook og Instagram, har siden august fått én million i daglige bøter for å ikke følge vedtaket.
Datatilsynet har nå vunnet frem hos Personvernrådet i EU og tilsynets forbud utvides til flere land i EØS.
Som mottrekk gjorde Meta det denne måneden mulig å betale 150 kroner i måneden for å få en annonsefri utgave av Facebook og Instagram.
Angrepet blir stadig mer vanlig. Sånn stopper du dem
#8: Stor politiaksjon i Ukraina
Politi fra syv land, inkludert Norge, var med i arrestasjonen av fem personer i Ukraina mistenkt for å ha drevet med utpressing ved hjelp av ransomware. Personene er mistenkt for å ha vært involvert i angrep utført under navnene LockerGata, MegaCortex, Hive og Darma.
De har kryptert over 1000 servere tilhørende større firmaer over hele verden og har krevet inn minst $82 millioner i løsepenger. Etterforskningen startet etter angrepet mot Hydro og har pågått i mer enn fem år. Ti personer fra Kripos har vært i Kyiv i forbindelse med aksjonen.
Én mistenkt sitter fra før arrestert i Norge. Fortsatt er det flere mistenkte som ikke er pågrepet.
#9: Later som de er "politiet"
Telenor registrerte i november en stor økning i svindelanrop som gir seg ut for å være fra politiet. I løpet av bare én uke fanget Telenors svindelfiltre i mobilnettet opp over 1,1 millioner uønskede samtaler.
I løpet av en vanlig uke ligger antallet på rundt 400.000. Økningen skyldes i stor grad mange tilfeller av politisvindel, altså at svindlere ringer opp og gir seg ut for å være fra politiet. “Politiet vil aldri, aldri, aldri spørre deg om din BankID.
Dette er det utrolig viktig at folk forstår og husker på”, uttalte politiinspektør og næringslivskontakt i Oslo politidistrikt, Christina Rooth, i pressemeldingen.