Her er månedens viktigste nyheter fra sikkerhetsbildet:
#1: Tatt ned Qakbot-nettverket
FBI og myndigheter i flere europeiske land har tatt ned Qakbot-nettverket, som har operert siden 2008. Qakbot-nettverket har infisert over 700.000 enheter og det har blitt brukt til ransomware-angrep og svindel. Infiserte maskiner koblet seg jevnlig til kontroll-serverne til Qakbot, som var under full kontroll av bakmennene.
Myndighetene beslagla også over $8.6 millioner i kryptovaluta. Før nettverket ble tatt ned, ble det brukt til å sende ut en siste kommando som renset de infiserte maskinene for skadevare. Så langt skal aksjonen være gjennomført direkte mot den tekniske infrastrukturen til Qakbot og ingen har blitt arrestert eller tiltalt.
Myndighetene har også inngått et samarbeid med tjenesten HaveIbeenpwned.com, slik at ofre kan sjekke om de er påvirket av Qakbot. Botnettet kan komme til å gjenoppstå dersom bakmennene bygger det opp igjen fra bunnen.
#2: Bekymret for UEFI
Det amerikanske cybersikkerhetsbyrået CISA har uttrykt bekymring for potensielle sikkerhetssvakheter i Unified Extensible Firmware Interface (UEFI), da det utgjør et attraktivt mål for hackere.
Byrået understreker at svakheter i UEFI-kode kan gjøre datasystemer utsatt for skjult skadevare som kan bli værende på systemet over tid. Sårbarhetene ble tydeliggjort gjennom nylige hendelser med skadevaren “BlackLotus”, som infiserer systemer og skjuler seg på maskinen under operativsystemet.
Patcher for UEFI-svakheter tar lang tid å distribuere, siden de ofte må installeres manuelt av sluttbrukeren. CISA arbeider nå med Microsoft for å implementere sikrere oppdateringsrutiner.
«Rundt 2000 Citrix Netscaler-enheter har blitt kompromittert i en massiv utnyttelseskampanje.»
#3: Sårbarhet i Intel-prosessorer
Det er oppdaget en alvorlig sårbarhet i Intel-prosessorer som har fått navnet “Downfall”. Denne sårbarheten gir angripere mulighet til å få tilgang til og stjele data fra andre brukere på samme datamaskin.
Dette kan la skadelige apper stjele sensitiv informasjon som passord og krypteringsnøkler. Svakheten rammer spesielt sky-tjenester og andre virtualiserte miljøer. Problemet stammer fra minneoptimaliserings-funksjoner i Intel-prosessorer, som utilsiktet eksponerer interne maskinvare-registre. Dette lar prosesser få tilgang til minneområder som tilhører andre prosesser.
Noen dager etter ble det også meldt om en lignende svakhet i AMD Zen-CPUer kalt “Inception” som også lar uvedkommende få tilgang til lokale data. Brukere av virtualiserte miljøer bør sette seg inn i begge svakhetene, samt patcher og metoder for å omgå problemstillingen.
#4: Massiv utnyttelseskampanje
Rundt 2000 Citrix Netscaler-enheter har blitt kompromittert i en massiv utnyttelseskampanje. Angriperne har utnyttet sårbarheter i systemet for å skaffe seg uautorisert tilgang til enhetene, etter at en kritisk svakhet ble annonsert 18. juli (CVE-2023-3519).
De berørte enhetene har i noen tilfeller blitt brukt som en inngangsport for å få tilgang til bedriftsnettverk og data. Citrix har utgitt sikkerhetsoppdateringer for å tette sårbarhetene, og brukerne blir sterkt oppfordret til å implementere oppdateringene så raskt som mulig, samt å sjekke serverne for kompromittering.
Hendelsen understreker viktigheten av å ha gode rutiner for patching, samt overvåking av servere som er eksponert med tjenester direkte mot Internett.
«Etter å ha tatt kontroll over kontoene endrer angriperne ofte epost-adressene registrert på kontoene.»
#5: Økt kapring av Linkedin-kontoer
Det rapporteres om en økning i kapring av LinkedIn-kontoer. Angriperne ser ut til å ha benyttet seg av ulike teknikker for å få tilgang til disse kontoene, inkludert phishing, bruk av lekkede passord fra andre tjenester og brute-force gjetting av mye brukte passord.
Målet deres har vært å stjele sensitiv informasjon og spre ondsinnet innhold. Saken understreker viktigheten av å opprettholde høy grad av bevissthet rundt e-post sikkerhet, valg av passord og ikke dele sensitiv informasjon med ukjente kilder.
Etter å ha tatt kontroll over kontoene endrer angriperne ofte epost-adressene registrert på kontoene for å gjøre det vanskeligere for eieren å få kontroll over kontoen igjen.
#6: Kartlagt stort botnett
AT&T Alien Labs har kartlagt et stort botnett som selges som en del av en proxy-tjeneste. Selgerne av proxy-tjenesten påstår at de som har installert programvaren har godkjent dette, men i realiteten installeres den gjennom piratkopiert programvare og "cracks".
Denne typen proxy-tjenester med kompromitterte private brukere benyttes av både kriminelle og statlige aktører for å skjule hvor angrepene kommer fra. En vanlig taktikk er å velge en proxy som ligger i det samme landet som den tjenesten som blir angrepet. Trafikken ser da ut som den kommer fra en vanlig privat bredbåndsbruker fra det samme landet.
Aktøren som kompromitterte DSS i sommer (Departementenes sikkerhets- og serviceorganisasjon) benyttet seg for eksempel av denne taktikken.
«Denne måneden har vi sett et oppsving i Mac-maskiner infisert med trojaneren “AdLoad”.»
#7: Katastrofalt ransomware-angrep
Denne måneden ble det danske selskapet CloudNordic rammet av et ransomware-angrep. Alle systemer ble kryptert og tjenestene til selskapet gikk ned, inkludert interne systemer og kundenes hjemmesider, epost, data osv.
Selskapet opplyser at løsesummen de har blitt bedt om å betale er for høy til at dette er en mulighet. De har heller ikke noen backup og kundenes data er tapt for alltid, dersom de ikke har laget egne backups.
Direktør Martin Haslund Johansson uttaler til ComputerWorld at han ikke forventer at selskapet vil overleve angrepet.
#8: Oppsving av trojaner
I august håndterte TSOC 41 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 6 i juli. Denne måneden har vi sett et oppsving i Mac-maskiner infisert med trojaneren “AdLoad”. Denne skadevaren dukket først opp i 2017 og pakkes typisk sammen med annen legitim programvare som brukeren laster ned.
Når den har kommet inn på maskinen kan den laste ned andre moduler med skadevare, i det siste som oftest en modul for å starte en proxy-server på maskinen. Tilgang til infiserte maskiner selges videre som en automatisert proxy-tjeneste til cyber-kriminelle, som kan koble seg via den når de vil kommuniserer anonymt ut på Internett.
Denne typen skadevare kan dessverre i enkelte tilfeller føre til problemer for offeret, da den kriminelle aktiviteten kan se ut til å komme fra den infiserte maskinen.
Sikkerhets-festivalen: Dette skremmer oss nå
#9: 219 bekrefta DDoS-angrep
Det var 219 bekreftede DDoS-angrep denne måneden, ned fra 233 i juli. 122 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 5.2 Gbps og varte i 39 minutter.
Det største angrepet observert i denne perioden var på 78 Gbps og varte i én time. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.