SaaS Security nyheter oppdaterer deg om storyer. hendelser. trusler. råd og tips.

"There are known knowns. These are things we know that we know. There are known unknowns. That is to say, there are things that we know we don't know. But there are also unknown unknowns. There are things we don't know we don't know." Donald Rumsfeld, United States Secretary of Defense

 

rss

Sikkerhetsnytt - CyberSecNews::


Hva skjer i markedet:::


Epost angrep mot stortinget og 7 kommuner i Innlandet. Systemene er tatt ned.

Epost angrep mot stortinget og 7 kommuner i Innlandet. Systemene er tatt ned.

– Vi har stadige angrep inn mot Stortinget og vi oppdager det stadig. Det er ikke så veldig lenge siden vi hadde andre type angrep. Da går vi ofte ut og informerer til de som er på huset. Det som skiller tidligere angrep fra dette er at man har lyktes med innbrudd og tatt ut data. Det gjør denne saken svært alvorlig, sier stortingsdirektør Marianne Andreassen til VG.

Noen timer senere kom også nyheten om at 10.000 ansatte i sju kommuner i Innlandet ble utsatt for et alvorlig e-postangrep. Angrepet kom fra en fiendtlig aktør i utlandet. 10.000 ansatte i sju kommuner i Innlandet ble tirsdag kveld utsatt for et alvorlig e-postangrep.  – Angrepet kom fra en rekke punkter i utlandet. Det er fra fiendtlige, ondsinnede aktører som ønsker å kompromittere løsninger, sier daglig leder i Hedmark IKT, Edvard Lysne.

Hedmark IKT drifter IT-systemene i kommunene Hamar, Stange, Kongsvinger, Sør-Odal, Løten, Nord-Odal og Grue i Innlandet fylke.

– Det har blitt sendt e-poster til ansatte med vedlegg som inneholder virus. E-postene er forkledd som e-poster fra kollegaer. Det er mer raffinert enn noe vi har opplevd før, sier Lysne.

Han beskriver situasjonen som alvorlig. For å begrense skadeomfanget stoppet IT-selskapet all innkommende e-post tirsdag kveld. Flere ansatte skal ha åpnet vedlegget, men Hedmark IKT har foreløpig ikke oversikt over hvor mange. Natta har blitt brukt til å avgrense videre skade og nå jobbes det for å kartlegge skadeomfanget.

Det er foreløpig ikke kjent om det er noen sammenheng mellom de to dataangrepene.

Begge angrepene har startet som epostangrep. PST er involvert og sier at en av hypotesene deres er at en statlig aktør står bak IT-angrepet mot Stortinget. De sier at det er mulig det ikke bare er et digitalt angrep, men at det kan være en del av en etteretningsoperasjon mot Norge.

Riksrevisjonen har flere ganger kommet med krass kritikk av IT-sikkerheten i statlige institusjoner som politiet og Oljedirektoratet. Nå frykter riksrevisor Per-Kristian Foss at for dårlig sikkerhet i norsk offentlighet vil føre til flere dataangrep. Riksrevisjonen frykter flere dataangrep fremover og har tidligere funnet betydelige mangler. 

– Mangelen på IKT-sikkerhet i statlige institusjoner, og til dels samfunnskritiske institusjoner, har vært en gjenganger i Riksrevisjonens rapporter i flere år, sier Foss.

– Vi undersøker jo ikke alt, men der vi har undersøkt, har vi funnet betydelige mangler, forteller han.

Adm. Dir i sikkerhetsselskapet SaaS Security Egil Løseth sier dette er klassiske e-post angrep, og at disse angrepene pågår mot Norske virksomheter kontinuerlig med høy styrke,. Han sier videre at mer enn 9 av 10 dataangrep starter med en falsk og farlig epost og at dette krever lite ressurser av den som angriper. Linker står for 90 % av truslene mens vedlegg 10 %, og at sikkerhetssystemen må ha gode sandbox-funsjoner som håndtere trusler på linker og vedlegg som ikke har vært sett før, såkalte nulldagstrusler, som utgjør den desidert største truslene som finnes.

SaaS Security er Nordisk distributør av Proofpoint Email Security Service som gir den beste beskyttelsen mot nulldagstrusler på linker og vedlegg gjennom automatisk sandboxer på både klikk og vedlegg. Mer enn 90 % av alle vellykkede angrep har sin opprinnelse i en falsk og tilsynelatende uskyldig epost der offeret åpner et vedlegg eller klikker på en link, så det er av vital betydning å sikre virksomhetens epost.

Les mer på NRK.

Hydro utsatt for et omfattende nettangrep

Hydro utsatt for et omfattende nettangrep

Hydro-aksjen falt 2,26 prosent like etter åpning på Oslo Børs tirsdag. I følge selskapet  er noen av ovnene nede mens andre driftes manuelt. Situasjonen er uklar og man har ikke kommet med mer info.– Dette påvirker direkte driften i våre systemer, så det er en sikkerhetstrussel. Dette er en alvorlig situasjon som vi jobber med å begrense og kontrollere, sier kommunikasjonsdirektøren.

 Selskapet sine nettsider er også nede  tirsdag kl 12.30

 

 

 


På interne systemer er det satt opp beskjeder om å ikke koble til nettverket.

Torgeir Waterhouse, i IKT-Norge, sier situasjonen fremstår som alvorlig. Han merer andre stater kan stå bak og han tror dataangrepet kan bli dyrt for Hydro. 

 – Dette kan koste selskapet enorme beløp om det fører til at man må stenge ned lengre perioder, installere nye it-systemer og etterutdanning av mange av de ansatte, sier Waterhouse. 

Selskapet sier at de ikke har oversikt over hvor lang tid det vil ta før de kan være tilbake i normal drift igjen.

Adm. Dir. i sikkerhetsselskapet SaaS Security Egil Løseth tiden det tar fra et angrep skjer til nødvendige tiltak settes inn er helt vesentlig for å stoppe skader og datatap. Han sier at basert på analyser og rapporter, at generelt sett starter over 90 % nettangrep med en e-post med et farlig vedlegg eller linker, som åpnes. Han sier i så tilfelle er det helt vesentlig å sikre seg mot nulldagstrusler på epost gjennom bruk av sandboxing på både linker og vedlegg. I slike tilfeller anbefaler Løseth Proofpoint Email Security Service.

Løseth sier videre at virksomheter i tillegg må ha et proaktivt og selvlærende sikkerhetssystem internt i selve nettverket som kan oppdage og stoppe trusler før de får gjort noen skade og data går tapt. Slike systemer må være selvlærende og kunne reagere straks det skjer noe unormalt. Det er ikke tilstrekkelig at menneskelige ressurser skal se i logger og får varsler for så selv agerer. Ei heller at sikkerhetssystemer skal samle logger for å servere det til IT-personell. Her må sikkerhetssystemet gå direkte inn i datastrømmen uten å måtte knytte seg til de ulike logger som systemer gir. Et slikt system er Seceon aiSIEM 

Videre sier Løseth med at systemene må oppdateres straks det kommer nye patcher så langt det er mulig, siden analyser viser at mange angrep benytter kjente sikkerhetshull som det allerede finnes oppdateringer på. 

Angrep som skjer fra underleverandører som man "stoler" på er en økende trend. Her kan det være at det er en "trust" mellom underleverandørere i form av brukerkontoer, maskiner og e-post adresser som da ikke har det samme sikkerhetsnivået og dermed blir misbrukt i angrepet.

Løseth avslutter med at kapring av brukerkontoer der disse benyttes videre inn i nettverket brer om seg, og er en sterkt økende trend man må få kontroll på.

Tirsdag NRK kl. 13.28
Data-angriperne krevde løsepenger av Hydro for å «låse opp» datasystemet deres. Samtidig ble det gjennomført et målrettet angrep på brukerdatabasen til industrigiganten.
«NorCERT varsler om at Hydro er utsatt for et ransomwareangrep (LockerGoga). Angrepet ble kombinert med et angrep mot Active Directory (AD). 
Løseth sin kommentar: LockerGoga spres som vedlegg via epost i målrettede nettfiske angrep. Den ble først sett i  januar under et stor målrettet angrep på et stor fransks selskap. Dette er i tråd med tidligere analyser der epost er hovedkanalen for å utføre angrep. 

Tirsdag NRK kl 14.45:
Fortsatt  får ingen logge seg på Hydros maskiner. Usikkerhet på hvor hardt dette kan ramme selskapet. Administrasjonen i Oslo og flere andre land er nede. 

Tirsdag pressekonferanse kl 15.00
Hackerangrepet mot Hydro fortsetter å skape trøbbel for selskapet. Produksjonen ved flere anlegg står stille, samtidig som aluminiumsgiganten fortsatt ikke har oversikt over hele omfanget.Hydro jobber med saken og prøver å isolere problemet. Bekrefter at de er angrepet av Ransomware som ser ut til å spre seg i nettverket.. De vil legge tilbake fra backup og har gode backuprutiner. Vil ikke svare på om de vil betale løsepenger til angriperne noe som tyder på at omfanget er stort og selskapet ikke har full oversikt om de kan løse dette selv enda.. Har øket personell på skiftene og vil jobbe 24x7 for å løse dette og komme tilbake i normal drift. Problemet er tydligvis isolert til Norge men  Hydro sitt nettverk mellom alle kontorene sine er nede. Hydro vil beskytte kundene mot å bli skadelidende.

Onsdag kl 10.45
Selskapet melder selv at de har funnet årsaken til problemet og jobber med validere planen og prosessen for å starte selskapets IT-systemer på en trygg og forsvarlig måte.et er imidlertid fortsatt ikke klart hvor lang tid det kan ta å gjenopprette stabil IT-drift, men slekspet håper på å starte de første systemer i løpet av onsdag.Etter å ha oppdaget problemet, natt til tirsdag isolerte Hydro alle verk og operasjoner og iverksatte mer manuelle prosesser og prosedyrer. Hovedprioriteten er fortsatt å sikre sikker drift og begrense driftsmessige og finansielle konsekvenser. Selskapet vet ikke når de kommer i normal drift igjen. Produksjonprosesser kjøres manuelt og de fleste  produksjonlisnjer er oppe, og levering til kunder er ikke nede men skjer med manuelle rutiner. Nasjonal sikkerhetsmyndighet, PST, E-tjenesten og Kripos samarbeider for å håndtere situasjonen.

Torsdag kl 12
Ingen informasjon fra Hydro ennda. Mer informasjon kommer ut om ransomviruset LockerGoga som har rammet Hydro, krypterer ikke bare filer som er lagret på stasjonære, bærbare datamaskiner og servere. Viruset sletter også sikkerhetskopier, ifølge ledende eksperter.

Torsdag kl 15
Selskapet melder selv at de har funnet årsaken til problemene, og man har funnet en «kur». Sammen med eksterne spesialister jobber nå Hydros it-ansvarlige med å få virusinfiserte systemer tilbake i normal drift.

Fredag kl 15
– Vi gjør fortsatt fremskritt i arbeidet med å finne en løsning, men situasjonen er fortsatt alvorlig, og vi er fortsatt avhengig av ekstraordinære tiltak for å drive flere av våre operasjoner, sier finansdirektør Eivind Kallevik i en pressemelding. Spesilet området for bearbeidede produkter er produksjonen bare 50 % av før angrepet.

Mandag uka etter kl 14
Selskapet melder selv at de nesten er oppe i normal drift igjen etter dataangrepet som de ble rammet av i forrige uke. – Nå er vi på tidlig stadium av gjenoppbyggingen. Vi vil gradvis bli ført tilbake til normal tilstand, sier Kallevik. Alle PC-er og servere i selskapet gjennomgås, renses for skadevare og gjenopprettet, etter strenge retningslinjer, ifølge meldingen.

Tirsdag uka etter kl 15
Hydro estimerer at de finansielle effektene for den første hele uken etter cyberangrepet er på rundt 300 til 350 millioner kroner, ifølge en oppdatering fra selskapet tirsdag. Det er fremdeles ikke kjent når dataangrepet startet, eller hvor lenge angriperne har hatt tilgang til datamaskiner eller servere hos Hydro

Cyberangrep mot Norge øker sterkt

Cyberangrep mot Norge øker sterkt

I fjor gikk alarmen over 22 000 ganger. Det er en økning på 10 prosent fra året før. NSM vil ikke si hvor mange av disse angrepene som var alvorlige, nøyaktig hvem de var rettet mot eller hvor de kom fra, men «statlige aktører» fra fremmede land blir hyppig nevnt.

5000 av angrepene i fjor var så alvorlige at de ble fulgt opp manuelt med analyse og rettende tiltak. Økningen her er på 15 prosent på ett år.

Det norske myndigheter frykter aller mest er angrep rettet mot strøm- og telenettet. I 2014 ble over 50 norske firmaer rammet av et stort dataangrep mot olje- og energisektoren. Da ble en rekke små og mellomstore bedrifter brukt som plattform for angrep mot viktig infrastruktur.

– I slike saker er håndfaste bevis vanskelig å finne, og de kan være plantet. Jeg syns vi bør være mindre opptatt av detektivarbeid, og mer opptatt av sikring av egne digitale nettverk og rutiner.

De aller flest dataangrep starter med en falsk e-post. Saas Security distribuerer Prrofpoint i norden som er rangert av blant annet Gartner Group til det beste systemet mot avanserte trusler.

Les mer på NRK sin artikkel her.


Live Article Widget