Flere alvorlige cyberhendelser i Q3 – spredning av ondsinnet PDF-verktøy

Flere alvorlige cyberhendelser i Q3 – spredning av ondsinnet PDF-verktøy

I tredje kvartal av 2025 håndterte Telenor Cyberdefence 71 alvorlige hendelser knyttet til våre tjenester innen sikkerhetsovervåking. Det er en markant økning sammenlignet med andre kvartal, hvor vi særlig så en kampanje knyttet til et ondsinnet PDF-redigeringsverktøy.

I tillegg ble en rekke mindre alvorlige hendelser stanset før de kunne eskalere. Flere av de alvorlige hendelsene var relatert til brukere og identitet, der ansatte ble utsatt for phishing eller fikk brukernavn og passord på avveie – en trend vi har sett over lengre tid.

I samme periode ble det registrert 114 bekreftede DDoS-angrep, hvorav 51 ble avverget. Det gjennomsnittlige angrepet var på 9,07 Gbps og varte i 33 minutter. Det største angrepet var  basert på IP-fragmentering, DNS og UDP, med en topp på 244 Gbps og en varighet på 16 minutter.

 – «Vi ser en tydelig økning i antallet alvorlige hendelser dette kvartalet, spesielt drevet av målrettede kampanjer som utnytter brukeres tillit. Denne utviklingen viser hvor avgjørende det er å kombinere teknologi med bevisstgjøring og rask respons når truslene rammer,» sier Henrik Buksholt, leder av sikkerhetssenteret i Telenor Cyberdefence.

Trend: Ondsinnet PDF-verktøy rammet Europa

I august ble en stor cyberkrimkampanje avdekket, hvor forfalskede nettsteder og Google-annonser ble brukt til å spre et falskt PDF-redigeringsverktøy kalt AppSuite PDF Editor. Programmet oppførte seg som en legitim applikasjon, men installerte i bakgrunnen skadevaren TamperedChef. Denne kunne stjele passord, nettleserdata og åpne bakdører for videre kompromittering.

Kampanjen ble identifisert av blant andre Telenor Cyberdefence, Truesec og Heimdal Security, og rammet flere organisasjoner i Europa. Les mer i vår artikkel om hvordan vi oppdaget og håndterte angrepet:
Da trusselen kom forkledd som et PDF-verktøy
Kilde: Bleeping Computer

Andre sikkerhetshendelser Q3 2025

  • CitrixBleed2 (CVE-2025-5777) – ny alvorlig sårbarhet i Citrix NetScaler-enheter, lett å utnytte. Citrix
  • Atlassian, Oracle og VMware-sårbarheter – varslet av JustisCERT 16. juli. JustisCERT
  • Akira ransomware – målrettede angrep mot SonicWall SSL VPN, mulig zero day. The Hacker News
  • Microsoft, Adobe og SAP – over 190 sårbarheter rettet i august. Microsoft Security Response Center
  • Russisk etterretningskampanje – utnyttelse av gammel Cisco IOS-sårbarhet (CVE-2018-0171). Bleeping Computer
  • Kritiske Cisco zero-days – flere aktivt utnyttet sårbarheter i ASA og FTD. The Hacker News

Oppsummering tredje kvartal 2025

  • 71 alvorlige hendelser håndtert (økning fra Q2)
  • DDoS:
    • 114 bekreftede angrep, 51 avverget
    • Gj.sn. angrep: 9,07 Gbps / 33 min varighet
    • Største angrep: 244 Gbps / 16 min
  • Trend: ondsinnet PDF-verktøy (TamperedChef) rammet flere organisasjoner
  • Kritiske sårbarheter i Citrix, Atlassian, Oracle, VMware, Microsoft, Adobe, SAP og Cisco
  • Russisk statlig støttet cyberkampanje fortsatt aktiv

Beskyttelse
Flere av hendelsene i tredje kvartal viser hvor avgjørende det er å ha kontroll på både brukertilgang og nettverk. Ansatte bør alltid bruke sterke, unike passord – og aldri gjenbruke dem på tvers av tjenester. I tillegg er multifaktorautentisering (MFA) et av de mest effektive tiltakene for å forhindre uautorisert tilgang, selv om passord skulle komme på avveie.

For å redusere risikoen ytterligere bør virksomheter ha sikkerhetsløsninger som raskt kan oppdage og stanse angrep, samtidig som de aktivt overvåker og oppdaterer programvare for å tette kritiske sårbarheter. Nye svakheter oppdages jevnlig på tvers av plattformer, og kan bli utnyttet raskt av trusselaktører. En tydelig beredskapsplan for håndtering av alvorlige hendelser gjør det enklere å reagere effektivt og begrense skadeomfanget når angrepene treffer.