Færre alvorlige hendelser og DDoS-angrep i fjerde kvartal
Færre alvorlige hendelser og DDoS-angrep i fjerde kvartal

I fjerde kvartal av 2024 håndterte Telenor Cyberdefence 39 alvorlige hendelser i forbindelse med tjenestene knyttet til sikkerhetsovervåking. Det er en nedgang fra 60 alvorlige hendelser i tredje kvartal.
Flere av de alvorlige hendelsene Telenor Cyberdefence håndterte i fjerde kvartal var relatert til phishing av ansatte, som var en trend gjennom hele høsten.
294 DDoS-angrep totalt
Det ble registrert 294 bekreftede DDoS-angrep i Telenors infrastruktur dette kvartalet, ned fra 370 i tredje kvartal. Godt over halvparten, 180, av angrepene i Q4 ble mitigert.
Et gjennomsnittlig angrep var på 11.5 Gbps og varte i 29 minutter. Det største angrepet observert i denne perioden var på 278 Gbps og varte i 12 minutter.
Tre av Telenor Cyberdefence sine bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep dette kvartalet, ned fra elleve forrige kvartal.
255 adresser angrepet samtidig i ett angrep
Dette kvartalet opplevde vi et aggressivt DDoS-angrep mot en av våre kunder. Angrepet var ikke så stort i volum – kun 2.5Gbps – men det bestod av en lang rekke små pakker, såkalte SYN-pakker, som normalt brukes for å opprette nye sesjoner.
I stedet for å angripe bare én adresse hos kunden, som er det normale, ble 255 adresser angrepet samtidig. Et stort antall angrepspakker mot en rekke samtidige mål kan være ekstra ressurskrevende for nettverksutstyr og servere.
Angrepet ble mitigert ved å midlertidig blokkere en del geografiske regioner som stod bak mesteparten av angrepstrafikken, såkalt geo-blokkering. Denne typen blokkering blir gjort ved hjelp av forhåndsdefinerte lister over hvilke nettverk som tilhører forskjellige land og regioner.
Kraftig økning i antall phishingforsøk
Phishing er og blir en av de vanligste formene for digital kriminalitet, og rettes både mot privatpersoner og bedrifter. En vesentlig andel av blokkeringene som gjøres på nett er phishingforsøk. Dette kvartalet har vi sett en markant økning i antall phishingforsøk. Metodene er de samme som tidligere. De kriminelle sender e-poster som kopierer visuell profil og ordlyd fra virksomheter og tjenester som Altinn, Easypark, Microsoft, og Posten. Hensikten med disse e-postene er å få mottakere til å oppgi brukernavn, passord, BankID eller annen personlig informasjon som senere kan misbrukes.
Telenor Cyberdefence har allerede skrevet om denne økningen, og gir i denne artikkelen noen råd mot phishing-angrep: https://www.telenorcyberdefence.com/hoytid-for-svindelforsok/. Vi ønsker også å fremheve NSMs anbefaling om å implementere phishingresistent autentisering.
De viktigste nyhetene innen cybersikkerhet fra Q4:
Global politiaksjon mot LockBit: Fire nøkkelmedlemmer arrestert
Europol ledet en global aksjon mot ransomware-syndikatet LockBit, som har stått bak over 1,800 ransomware-angrep over hele verden. I samarbeid med politimyndigheter fra USA, Storbritannia, Frankrike, Spania og flere andre land, resulterte operasjonen i arrestasjonen av fire nøkkelmedlemmer samt beslag av IT-infrastruktur som ble brukt av syndikatet. Myndigheter mener at grupperingen har tjent over 1 milliard USD i løpet av de fire årene de var aktive.
Operasjonen var en del av Operation Cronos, og myndighetene innførte sanksjoner mot tilknyttede personer. Europol har støttet utviklingen av dekrypteringsverktøy og støtter også ofre gjennom No More Ransom-prosjektet. I samarbeid med japansk politi, Storbritannias National Crime Agency og FBI er disse verktøyene nå tilgjengelige gratis på nomoreransom.org.
Avansert phishing-kampanje avslørt: Advarer mot falske RDP-filer
CERT-UA har avdekket en sofistikert phishing-kampanje som retter seg mot offentlige etater, industri og militære enheter i Ukraina og allierte land. Angriperne sender ut e-poster som utgir seg for å handle om integrasjon av Amazon- og Microsoft-tjenester og implementering av Zero Trust Architecture.
De vedlagte RDP-filene etablerer i virkeligheten utgående Remote Desktop-forbindelser til angripernes servere. Når disse filene åpnes, får angriperne omfattende tilgang til offerets datamaskinressurser, inkludert lokale disker, nettverksressurser, skrivere og mulighet til å kjøre uautoriserte programmer.
Analyser tyder på at forberedelsene til cyberangrepene startet allerede i august 2024, noe som indikerer en godt planlagt operasjon.
Vi anbefaler å blokkere .rdp-filer i e-poster, begrense tilgang til verktøyet der det ikke er nødvendig og sette opp group policies for å hindre redirigering av lokale ressurser via RDP-sesjoner.
Kritiske sikkerhetshull i brannmurer fra Palo Alto
I starten av november gikk det rykter om en kritisk svakhet i administrasjons-grensesnittet til brannmurer fra Palo Alto, som allerede 8. november ga ut rådgivning til kundene om kun å gi tilgang til admin-grensesnittet fra godkjente enheter. Den 18. november ga Palo Alto ut patcher og informasjon om to svakheter, som allerede hadde vært utnyttet i målrettede angrep.
Den ene svakheten (CVE-2024-0012) lå i admin-grensesnittet og kunne gi administrator-tilgang til angripere med nettverkstilgang til enheten, uten å ha konto på enheten. Den andre svakheten (CVE-2024-9474) ble også allerede utnyttet i angrep. Denne lot en vanlig bruker av brannmuren utføre kommandoer som root-brukeren.
Overvåkingsplattformen Shadowserver meldte i forbindelse med at patchene ble gitt ut at over 8700 admin-grensesnitt var eksponert mot nettet, på tross av rådene om å ikke eksponere disse mot internett.
Ny angrepsmetode mot Wi-Fi-nettverk
En russisk APT-gruppe, antatt å være Fancy Bear (APT28), har benyttet en ny angrepsmetode kalt “Nearest Neighbor Attack” for å få tilgang til Wi-Fi-nettverk. Metoden innebærer å utnytte nettverk i nærheten av målet for å omgå sikkerhetstiltak som multifaktorautentisering (MFA).
Angriperne kompromitterer først et nærliggende nettverk og bruker deretter enheter med tilgang til begge nettverk, som bærbare datamaskiner eller rutere, som en bro for å få tilgang til målet. Volexity avdekket angrepet i februar 2022, rettet mot en organisasjon i Washington D.C. med tilknytning til Ukraina. Angrepet involverte blant annet passordspraying, utnyttelse av sårbarheter og “living-off-the-land”-teknikker.
Organisasjoner bør behandle WiFi-nettverk (spesielt de med delte passord) som åpne nettverk og kreve VPN-tilkobling eller lignende for å få tilgang til interne tjenester.
NSM anbefaler overgang til phishingresistent autentisering
NSM kom i desember ut med en anbefaling om at virksomheter går over til passnøkler (passkeys) eller andre FIDO2-implementasjoner for autentisering. Årsaken er at aktører i økende grad tar seg forbi tradisjonell flerfaktorautentisering. NSM har registrert en rekke phishingkampanjer der målet er økonomisk vinning, ofte via fakturasvindel. Kampanjene lar seg gjennomføre fordi virksomheter ikke påkrever phishingresistent autentisering.
NSM anbefaler å prioritere implementering av phishingresistent autentisering på Microsoft 365 og andre skyløsninger, samt identitetsløsninger og internetteksponerte tjenester. Prioriter spesielt utsatte brukere som økonomiansvarlige, ledere og systemadministratorer ved gradvis utrulling.