Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 6. mai 2016

Oppsummering av nyhetsbildet innen datasikkerhet for april 2016

Antall håndterte hendelser i forbindelse med vår tjeneste Sikkerhetsovervåkning gikk opp fra 142 i mars til 206 i april. Oppgangen skyldes i hovedsak stor utbredelse av malwaren Win32/Adposhel. Dette er en type adware/malware som viser annonser til brukeren både i nettleseren og utenfor. Den endrer også DNS-innstillingene på systemet og sender ut informasjon om besøkte nettsteder. Adware som Adposhel blir gjerne installert sammen med gratis nedlastet programvare, uten at brukeren er klar over det.

Det ble håndtert 211 DDoS-angrep i april, mot 125 i mars. Den mest vanlige angrepstypen var DNS-reflection, med chargen og NTP som nummer 2 og 3. Det ble registrert totalt 392 angrep over 1Gbps i april. Det største angrepet peaket på hele 163Gbps eller 40Mpps (pakker per sekund) og varte i ca 2,5 time. Angriper utførte flere ulike angrepstyper parallelt under angrepet.

Eldre Android-mobiler og nettbrett kan nå bli rammet av ransomware, kun ved å besøke en nettside. Dette rammer Android-versjoner eldre enn versjon 5.x. Malwaren installeres gjennom diverse annonsenettverk og oppnår root-tilgang til mobilen. Mobiler som rammes blir ubrukelige inntil løsepenger betales eller fabrikkinnstillinger gjenopprettes. Det anbefales å oppdatere eldre Android-mobiler!

Detaljene rundt Badlock-svakheten ble sluppet den 12. april. Denne svakheten ble forhåndsmeldt allerede 23. mars. Det dreier seg heldigivs ikke om en "remote execution"-svakhet, som manget fryktet på forhånd. Svakheten gjør det imidlertid mulig for en angriper å få tilgang til filer som han ikke skal ha, dersom han har tilgang til trafikkstrømmen i et nettverk. Svakheten åpner også for DoS-angrep mot servere som eksponerer SMB-tjenester. Microsoft patchet denne svavkheten i april og ga den viktigheten “important”, ikke den høyeste som er "critical". Samba har også patchet svakheten for Linux-maskiner. Det er ikke meldt om at svakheten enda blir utnyttet i reelle angrep. Svakheten var ikke så alvorlig som den var hauset opp til å være, men kan bli brukt i typiske APT-angrep for å oppnå utvidet tilgang internt i nettverk.

WhatsApp implementerte i april ende-til-ende kryptering på alle versjoner av applikasjonen. Alle meldinger, tekst eller video sendt med applikasjonen blir nå kryptert med Signal Protocol, som blir laget av Open Whisper Systems. Appen Signal bruker den samme teknologien, men har ikke like stor utbredelse som WhatsApp. Denne krypteringsprotokollen implementerer også "perfect forward secrecy". Dette gjør at selv om krypteringsnøkkelene skulle bli kompromittert via fysisk tilgang til enheten, kan disse ikke bli brukt til å dekryptere tidligere sendte meldinger.

Femte april ble en ny kritisk svakhet rapportert i Adobe Flash Player. Svakheten muliggjør kjøring av tilfeldig kode dersom en spiller av en spesiell Flash-fil. Svakheten ble allerede aktivt utnyttet til målrettede angrep da den ble annonsert av Adobe. Åttende april lanserte Adobe en ny versjon som utbedret svakheten.

Petya er en ny type ransomware som krypterer alle dataene på harddisken og gjør PCen helt ubrukelig inntil løsepengene blir betalt. I april satte noen opp en tjeneste for å dekryptere harddisker som har blitt kryptert av Petya. Alt som trengs er noe data fra den krypterte harddisken. Tjenesten bruker så noen få sekunder på å finne nøkkelen. Utviklerne bak malwaren hadde heldigvis gjort en feil i implementeringen av kryptografien slik at denne var forholdsvis lett å knekke.

Den andre helgen i april presenterte minst 288 nederlandske nettsteder annonser som sendte brukeren videre til exploit-kits. De fleste store nettavisene i landet var berørt. Disse prøvde igjen å utnytte svakheter for å installere ransomware på besøkende PCer. Det er dessverre ganske enkelt å bestille en annonse som kan infisere besøkende PCer.

Flere er siktet etter Norges største narkoaksjon på det mørke nettet. Det mørke nettet er en hemmelig del av Internett hvor blant annet kriminelle selger narkotika, gjerne gjennom markedsplasser. Det benytter seg av teknologien Tor (The Onion Router). Den mest kjente markedsplassen for salg av narkotika het Silk Road, og da denne til slutt ble tatt ned av FBI tilbake i 2014, fikk FBI tilgang til databasen hvor de oppdaget hundrevis av nordmenn. Kripos satte i gang en etterforskning som ledet til siktelse av 15 nordmenn. Disse skal siden 2012 ha solgt narkotika for millioner til flere hundre nordmenn. TOR brukes også til å omgå myndighetssensur og overvåking.

Hackerne som står bak utviklingen av trojaneren og botnet-rammeverket SpyEye, ble dømt til henholdsvis 9.5 år og 15 år i fengsel. Hackerne kommer opprinnelig fra Russland og Algerie, men ble dømt i USA etter å ha blitt utlevert.

Utvikleren bak Blackhole Exploit Kit, Dmitry Fedotov ble i en russisk domstol dømt til 7 års fengsel. Fedotov ble arrestert sammen med flere andre Blackhole utviklere i 2013. Blackhole er anslått til å ha gjort skader for flere millioner kroner.

 
>