2020.12.31 - Nyhetsbrev

Litauens helsestasjon rammet av Emotet skadevare.

Litauens nasjonale helsesenter rammet av Emotet skadevare.

Emotet har kommet tilbake og rammet Litauens helsesenter. NVSC sine epost systemer har blitt midlertidig skrudd av for å unngå videre spredning av emotet skadevaren. De infiserte maskinene sender og videresender eposter med infiserte vedlegg. Vedleggene er passordbeskyttet og passordet blir delt i epostene. Hvis mottaker laster ned vedlegget og kjører dette vil de infisere sin egen maskin. Denne angrepsformen er blitt brukt av QBot trojaneren og har tidligere blitt brukt av Gozi ISFB trojaneren.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2020.12.30 - Nyhetsbrev

Det japanske selskapet Kawasaki har hatt datainnbrudd.

Det japanske selskapet Kawasaki har hatt datainnbrudd

Bedriften sier de muligens har blitt frastjålet data siden Juni. De har begynt å kontakte de som er rammet av datalekkasjen, men har ikke spesifisert hva slags data som er stjålet.
Referanser
https://threatpost.com/japanese-aerospace-fir[...]

2020.12.29 - Nyhetsbrev

Det finske parlamentet har vært utsatt for et data-angrep som sammenlignes med angrepet mot Stortinget. Vietnam utsatt for komplekst forsyningskjede-angrep.

Det finske parlamentet har vært utsatt for et data-angrep

Det finske parlamentet opplyser at de var utsatt for et data-angrep høsten 2020. E-post-kontoene til flere politikere ble angrepet og innhold i epostene lest av uvedkommende. Det norske Stortinget ble ustatt for et lignende angrep i det samme tidsrommet. I Norge konkluderte myndighetene med at det var russiske stats-støttede hackere i APT-28 som stod bak. Angrepet ble utført ved å gjette seg fram til passord som politikerne hadde brukt.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.eduskunta.fi/EN/tiedotteet/Pages/[...]

Vietnam utsatt for komplekst forsyningskjede-angrep

Hackere har klart å plassere malware i en offisiel software-pakke som blir utgitt av den vietnamesiske regjeringen. Angrepet ble utført mot organisasjonen som er ansvarlig for å utstede digitale sertifikater for den vietnamesiske regjeringen. Disse sertifikatene må bli brukt for å signere alle dokumenter som skal bli sendt til myndighetene. Det finnes også en app som enkelt lar private borgere og selskaper signere dokumentene sine med disse offisielle sertifikatene. Inne i denne appen lå det mellom 23. juli og 5. august en bakdør-trojaner kalt PhantomNet, som muliggjør installering av farligere malware. Det er ukjent hvem som står bak operasjonen, som mest sannsynlig har blitt brukt til videre innbrudd hos utvalgte mål.
Referanser
https://www.zdnet.com/article/vietnam-targete[...] https://www.welivesecurity.com/2020/12/17/ope[...]

2020.12.28 - Nyhetsbrev

Ny sårbarhet oppdaget i SolarWindows-programvare, Russiske hackere prøvde å få tilgang til Microsoft Azzure-kunder gjennom en tredjepart, Windows nulldagssårbarhet blir fortsatt utnyttet på grunn av feil i oppdatering, Fireeye har sluppet sin tekniske analyse av SUNBURST bakdøren, Datakriminelle truer med å lekke bilder fra plastisk kirurgi fra The Hospital Group i UK, Microsoft, McAfee og flere andre har dannet Ransomware Task Force.

Ny sårbarhet oppdaget i SolarWindows-programvare

Det har blitt oppdaget en alvorlig sårbarhet i programvare fra SolarWindows som gjør at en kan omgå autentisering. Dersom en kan kontakte et system har en dermed mulighet for å utføre kommandoer gjennom APIet. Denne svakheten kan ha blitt brukt av angripere til å installere Supernova og annen malware.
Referanser
https://kb.cert.org/vuls/id/843464 https://thehackernews.com/2020/12/a-new-solar[...]

Russiske hackere prøvde å få tilgang til Microsoft Azzure-kunder gjennom en tredjepart

Russisk hackere som jobber for regjeringen har forsøkt å kompromittere Microsoft Azure-kunder og stjele eposter fra minst én bedrift fra den private sektoren, CrowdStrike. Tredjeparten skal håndtere lisenser for Microsoft og har på grunn av dette tilgang til kundedata. Saken retter oppmerksomheten mot hvem som egentlig har tilgang til kunders data i skytjenester. CrowdStrike har etter hendelsen laget et gratis verktøy for å gi Microsoft-kunder bedre oversikt over hvem som har tilgang til dataene deres.
Referanser
https://www.washingtonpost.com/national-secur[...] https://www.bleepingcomputer.com/news/securit[...]

Windows nulldagssårbarhet blir fortsatt utnyttet på grunn av feil i oppdatering

En LPE (lokal rettighetseskalering) bug som tillater angripere å installere programmer, se data og gjøre endringer i data kan fortsatt bli utnyttet, selv etter sikkerhetsoppdateringene fra Microsoft. Den kritiske sårbarheten har en alvorlighetsgrad på 8,3 av 10 mulige på CVSS sin sårbarhetsskala. Ettersom patchen ikke utbedret og feilen fortsatt eksisterer går den når under navnet CVE-2020-17008.
Referanser
https://threatpost.com/windows-zero-day-circu[...]

Fireeye har sluppet sin tekniske analyse av SUNBURST bakdøren

Fireeye har nå sluppet deres analyse av SUNBURST som er er trojanisert versjon av pluginen SolarWinds.Orion.Core.BusinessLayer.dll. Analysen dekker de forskjellige stegene i bakdøren og hvordan trojaneren fungerer.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

Datakriminelle truer med å lekke bilder fra plastisk kirurgi fra The Hospital Group i UK

Datakriminelle har stjålet data fra en stor kjede for plastisk kirurgi i UK og truer med å offentliggjøre pasientenes før- og etter-bilder, sammen med mer informasjon. Gruppen som har bildene stjålet bildene er kjent som REvil og påstår at de har over 900 gigabyte med pasientbilder. Dette har blant annet rammet Transform Hospital Group som har 11 klinikker som spesaliserer seg innenfor plastisk kirugi. Sykehus-gruppen har sagt at de har blitt frastjålet data, men at de ikke har mistet betalingskort-informasjonen til noen av pasientene. Ettersom REvil har fått tilgang til personlig informasjon tilhørende pasientene, har de begynt å sende ut flere eposter hvor de krever løsepenger for å ikke publisere bildene offentlig.
Referanser
https://www.bbc.com/news/technology-55439190

Microsoft, McAfee og flere andre har dannet Ransomware Task Force

Løsepengevirus har vært en økende trend de siste årene og er nå en av de største truslene på nett. For å stoppe spredningen og skadeomfanget av løsepengevirus har 19 teknologi- og sikkerhetsselsaper dannet Ransomware Task Force. Målet for RTF er å skape ett felles rammeverk med standarder for hvordan man skal håndtere løsepengevirus. RTF vil dekke både offentlig og privat sektor. Etter undersøkelser utført av Crowdstrike er det kommet fram at mer enn 50 prosent av bedrifter har blitt rammet av løsepengevirus i løpet av de siste 12 månedene.
Referanser
https://www.digi.no/artikler/sikkerhetsgigant[...]

2020.12.24 - Nyhetsbrev

Emotet botnettet returnerer fra dvale

Emotet botnettet returnerer fra dvale

Emotet botnetet er kommet tilbake fra dvale med oppdatert nyttelast og en kampanje som sender ut 100 000 eposter hver dag.
Referanser
https://threatpost.com/emotet-returns-100k-ma[...]

2020.12.23 - Nyhetsbrev

Politiet tar ned tre VPN-leverandører knyttet til kriminalitet. Apple iPhone Zero-Day svakhet avdekket. Vi ønsker våre følgere en riktig god jul!

Politiet tar ned tre VPN-leverandører knyttet til kriminalitet

De tre VPN-tjenestene fungerte som et trygt sted for nettkriminelle å utføre ransomware-angrep, skimming/kortsvindel, spearphishing og kontoovertakelser. Politimyndigheter fra USA, Tyskland, Frankrike, Sveits og Nederland har denne uken beslaglagt nettdomenene og serverinfrastrukturen til disse tjenestene. De tre tjenestene har vært aktive på insorg.org, safe-inet.com og safe-inet.net i over et tiår, og det antas at det ble drevet av samme gruppe.
Referanser
https://www.zdnet.com/article/law-enforcement[...]

Apple Zero-Day svakhet avdekket

Telefonene til 36 journalister ble infisert av fire APT-er, muligens knyttet til Saudi-Arabia eller De Forente Arabiske Emirater. Dette skjedde i sommer. Alle operatørene brukte NSO-gruppens beryktede Pegasus-spionprogramvare som sin endelige nyttelast. Pegasus er en overvåkningsløsning for mobiltelefoner som gjør det mulig for kunder å utnytte og overvåke enheter eksternt. NSO-gruppen hevder at verktøyet er ment for myndigheter i bekjempelse av kriminalitet og terror, og at de ikke er kjent med at noen myndigheter misbruker det. Kritikere sier imidlertid at undertrykkende myndigheter bruker det til mer skumle formål for å spore dissidenter, journalister og andre medlemmer av det sivile samfunn - og at NSO-gruppen assisterer dem. Analyser viser at angriperne fant fotfeste på telefonene de ønsket å installere Pegasus på ved å utnytte en tilsynelatende usynlig zero-day svakhet i Apples iMessage applikasjon for iPhone. Etterforskerne mener det ble brukt en utnyttelseskjede kalt KISMET i dette angrepet.
Anbefaling
Kjekt å vite om.
Referanser
https://threatpost.com/zero-click-apple-zero-[...]

2020.12.21 - Nyhetsbrev

Israelsk selskap har publisert en blogg om hvordan å dekryptere en Android-enhets lokale Signal-database. Microsoft har analysert DLL filen som ledet til Solorigate angrepet. APT aktøren Pawn Storm har brukte simple metoder for å unngå å bli oppdaget.

Israelsk selskap har publisert en blogg om hvordan å dekryptere en Android-enhets lokale Signal-database

Det israelske selskapet Cellebrite har i følge et blogginnlegg de la ut 10. desember klart å dekryptere databasen med meldinger på en Android-enhet. Dette gjorde de ved å hente ut nøkkelen som meldingene er kryptert med fra enheten, og deretter finne metoden for å dekryptere meldingene. Fremgangsmåten ble lagt ut i et blogginnlegg, som senere ble tatt ned. Angrepet krever fysisk tilgang til telefonen for å utføres.
Referanser
https://www.digi.no/artikler/cellebrite-hevde[...]

Microsoft har analysert DLL-filen som ledet til Solorigate-angrepet

Microsoft har publisert en blog hvor de har gjort en analyse av den kompromitterte-DLL filen som startet Solorigate angret relatert til SolarWinds Orion plattformen.
Referanser
https://www.microsoft.com/security/blog/2020/[...]

APT aktøren Pawn Storm har brukt lite avanserte metoder for å unngå å bli oppdaget

Å finne simple fjerntilgangs-trojanere (RAT) i nettverket vil som regel ikke bety at det er avanserte trusselsaktører involvert, men det er dette aktøren Pawn Storm tok i bruk i sine angrep mot Stortinget i 2020. Trend Micro går teknisk i dybden på de siste aktivitetene fra Pawn Storm, med fokus på bruken av disse simple metodene.
Referanser
https://www.trendmicro.com/en_us/research/20/[...]

2020.12.18 - Nyhetsbrev

Riksrevisjonen hentet ut pasientopplysninger i sikkerhetstest. Microsoft med ytterligere opplysninger om SolarWinds-angrep.

Riksrevisjonen hentet ut pasientopplysninger i sikkerhetstest

Riksrevisjonen simulerte data-angrep mot Norges fire helseregioner. Ved bruk av enkle metoder og passordgjetting fikk de hentet ut sensitiv pasientinformasjon. Angrepene ble ikke oppdaget.
Referanser
https://www.nrk.no/trondelag/riksrevisjonen-h[...]

Microsoft med ytterligere opplysninger om SolarWinds-angrep

Microsoft mener at av over 18.000 nedlastinger av SolarWinds-programvare med bakdør, ble bare noen titalls bakdører faktisk utnyttet til videre angrep. 80 prosent av ofrene skal ha vært i USA, og bestod primært av teknologi-firmaer, statlige organer og tenketanker.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...] https://arstechnica.com/information-technolog[...]

2020.12.17 - Nyhetsbrev

Det har vist seg å være lett å gjette passordet til Solarwinds oppdateringsserver. Hewlett Packard Enterprise avslører zero-day i de siste versjonene til HPE Systems Insight Manager. Mozilla slipper oppdateringer til FireFox, FireFox ESR og Thunderbird.

Svært lett å gjette passordet til Solarwinds oppdateringsserver

Det har kommet fram at passordet til Solarwinds sine oppdateringsservere var et standardpassord som var oppgitt i et offentlig Github-repositorium. Passordet som inntil sent i november lå ute for offentligheten, var "Solarwinds123". I tillegg lå brukernavnet til oppdateringsserverne i samme Githup-reposit, der brukernavnet var "admin". Solarwinds melder imidlertid at dette ikke var svakheten som ble utnyttet på deres Orion-platform og som har ledet til "Sunburst" bakdøren.
Referanser
https://www.digi.no/artikler/det-var-svaert-l[...]

Hewlett Packard Enterprise avslører zero-day i de siste versjonene av HPE Systems Insight Manager

Hewlett Packard Enterprise (HPE) avslører zero-day bug i de siste versjonene av HPE Systems Insight Manager. Det er enda ikke noen sikkerhets-oppdateringer tilgjengelige for RCE (Remote Code Execution)-svakheten. Ondsinnete aktører kan utnytte svakheten uten privilegier og bruke det som del av et angrep. HP har sluppet anbefalinger til hvordan svakheten kan gjøres vanskeligere å utnytte gjennom konfigurasjonsendringer.
Anbefaling
Hewlett Packard Enterprise har publisert informasjon som kan hjelpe med å avverge problemet. Svakheten kan fjernes ved å deaktivere "Federated Search", og "Federated CMS Configuration".
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Mozilla slipper oppdateringer til FireFox, FireFox ESR og Thunderbird

Mozilla har sluppet oppdateringer til sine meste populære produkter. Både til Firefox og Thunderbird er det flere kritiske oppdateringer.
Anbefaling
Installer siste versjon.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

2020.12.16 - Nyhetsbrev

Datainnbrudd ved UiT. Apple lanserer sikkerhetsoppdateringer for flere produkter. Millioner av upatchede IoT og OT-enheter truer fortsatt kritisk infrastruktur. Microsoft og industripartnere beslaglegger nøkkeldomenet som brukes i SolarWinds-angrepet.

Datainnbrudd ved UiT

UiT - Norges arktiske universitet - har vært utsatt for et datainnbrudd. Det arbeides tett med myndighetene for å få oversikt over omfang og hendelsesforløp.
Referanser
https://www.nrk.no/tromsogfinnmark/datainnbru[...]

Apple lanserer sikkerhetsoppdateringer for flere produkter

Apple har gitt ut sikkerhetsoppdateringer for sårbarheter i flere produkter, blant annet iOS og MacOS. En angriper kan utnytte noen av disse sårbarhetene for å ta kontroll over et berørt system.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Millioner av upatchede IoT og OT-enheter truer kritisk infrastruktur

Tusenvis av organisasjoner er fortsatt utsatt for URGENT/11 og CDPwn-samlingen av sårbarheter, som påvirker henholdsvis operativ teknologi- (OT) utstyr og Internett av ting (IoT). Ifølge forskere ved Armis er 97 prosent av OT-enhetene som er påvirket av URGENT/11 ikke patchet, til tross for at patcher ble levert i 2019. Og 80 prosent av enhetene som er berørt av CDPwn er upatchede.
Referanser
https://threatpost.com/unpatched-iot-ot-devic[...]

Microsoft og industripartnere beslaglegger nøkkeldomenet som brukes i SolarWinds-angrepet

Ved å ta ned domenet, håper Microsoft og dets partnere å identifisere alle ofre, men også å hindre angripere i å trappe opp angrepet mot allerede infiserte nettverk. Det har også kommet fram at enda flere offentlige instanser i USA har blitt rammet av bakdøren.
Referanser
https://www.zdnet.com/article/microsoft-and-i[...]

2020.12.15 - Nyhetsbrev

Sikkerhetsdepartementet i USA (DHS) også offer for forsyningskjede-angrep via SolarWinds Orion.

Sikkerhetsdepartementet i USA (DHS) også offer for forsyningskjede-angrep via SolarWinds Orion

Det meldes nå at også DHS (Department of Homeland Security) var et av ofrene i forsyningskjede-angrepet som ble kjent i går. Firmaet Volexity har også sluppet flere detaljer og indikatorer som kan bidra til å identifisere angrepet. De avslører også at aktøren bak angrepet kunne omgå to-faktor autentisering med Cisco Duo. Dette ble gjort ved å stjele nøkler fra autentiserings-serveren og lage autentisering-cookies for brukeren.
Referanser
https://threatpost.com/dhs-sophisticated-cybe[...] https://www.volexity.com/blog/2020/12/14/dark[...] https://blog.malwarebytes.com/threat-analysis[...]

2020.12.14 - Nyhetsbrev

SolarWinds Orion monitorerings-programvare kompromittert i forsyningskjede-angrep. Hurtigruten rammet av løspengevirus. 85 000 MySQL-databaser lagt ut for salg etter ransomeware angrep.

SolarWinds Orion monitorerings-programvare kompromittert i forsyningskjede-angrep

Ondsinnede aktører har gjennomført en kampanje med antatt start mars 2020, hvor programvareleverandøren SolarWinds har blitt kompromittert og utnyttet til å spre ondsinnet kode gjennom en falsk programvareoppdatering. Programpakken som er rammet kalles Orion og brukes av svært mange store firmaer, blant annet av over 400 av de største bedriftene i USA. Berørte versjoner av Orion er 2019.4 - 2020.2.1. Kompromitteringen av SolarWinds knyttes mot det nylig oppdagede innbruddet hos FireEye. I løpet av helgen har det også kommet fram at det amerikanske finans- og handelsdepartementet også er rammet og at hackerne skal ha hatt full tilgang til all epost i en lengre periode. TSOC anbefaler å installere hasteoppdateringen for Orion fra SolarWinds (2020.2.1 HF 1). Servere som har vært sårbare bør også isoleres fra resten av nettverket og sjekkes for bakdører og vurderes for re-installasjon. Det spekuleres i at det er rusisske APT-29 som står bak kampanjen.
Referanser
https://www.fireeye.com/blog/threat-research/[...] https://www.zdnet.com/article/microsoft-firee[...] https://www.reuters.com/article/us-usa-cyber-[...] https://www.solarwinds.com/securityadvisory https://msrc-blog.microsoft.com/2020/12/13/cu[...]

Hurtigruten rammet av løspengevirus

Hurtigruten har selv offentliggjort mandag formiddag at de har blitt utsatt for ett løspengevirus som ser ut til å ha påvirket hele deres globale IT-infrastruktur. De jobber nå fortløpende med å begrense skadeomfanget.
Referanser
https://www.nrk.no/nordland/hurtigruten-ramme[...] https://www.mynewsdesk.com/no/hurtigruten/pre[...]

85 000 MySQL-databaser lagt ut for salg etter ransomeware angrep

Siden starten av 2020 har det pågått automatiserte angrep mot MySQL-databaser. Angriperne krever at ofrene betaler 500 USD innen 9 dager. Dersom ikke betalingen blir mottatt, blir databasen lagt ut for auksjon på the dark web.
Referanser
https://www.zdnet.com/article/hackers-are-sel[...]

2020.12.11 - Nyhetsbrev

Cisco gir ut nye sikkerhetsoppdateringer for tidligere patchede svakheter i Jabber, da disse viste seg å ikke være tilstrekkelig godt fikset i første omgang.

Cisco gir ut nye sikkerhetsoppdateringer for tidligere patchede svakheter i Jabber.

I september patchet Cisco flere kritiske svakheter i video- og IM løsningen Jabber. Svakhetene kunne dengang gjøre det mulig å få kjørt vilkårlig kode på et sårbart Jabber-system kun vha. en spesiallaget melding. Nå viser det seg at Cisco ikke fikset sårbarhetene helt allikevel, og gir dermed ut opdaterte patcher for flere av disse svakhetene.
Referanser
https://threatpost.com/critical-cisco-jabber-[...]

2020.12.10 - Nyhetsbrev

INTERPOL-ledet operasjon førte til 20 000 arrestasjoner. Pfizer / BioNTech utsatt for cyberangrep. Ny oppdatering for Adobe Acrobat and Reader. Google har gitt ut desember-oppdatering for Android.

INTERPOL-ledet operasjon førte til 20 000 arrestasjoner

Operasjonen First Light, koordinert av INTERPOL, har ført til mer enn 20 000 arrestasjoner i 35 land spredt over alle kontinenter. I over et år har det blitt samlet inn informasjon om aktører innen telefon og Internett-svindel, som nå ble arrestert samtidig. Dette er den første operasjonen hvor lokale politimyndigheter har utført en koordinert, global operasjon i samarbeid med INTERPOL. Statistikken for operasjonen er som følger: * 10 380 lokasjoner raidet * 21 549 operatører, svindlere og hvitvaskere arrestert * 310 bankkontoer frosset * Nærmere 154 millioner amerikanske dollar beslaglagt
Referanser
https://www.interpol.int/News-and-Events/News[...]

Pfizer / BioNTech utsatt for cyberangrep

Selskapet BioNTech, som samarbeider med Pfizer om å utvikle en vaksine mot COVID-19, har blitt rammet av et cyberangrep. Selskapene er i en godkjenningsprosess for Covid-vaksinen, som i utgangspunktet skal konkludere i løpet av de neste ukene. I følge selskapene selv skal ikke angrepet få noen innvirkning på tidslinjen. Angrepet var rettet mot Europan Medicines Agency (EMA), som sitter på dokumenter i forbindelse med godkjenningsprosessen av vaksinen. Det er disse dokumentene som skal ha blitt aksessert av en ukjent tredjepart. Det skal ikke ha blitt hentet ut personlige opplysninger om deltakere i forskningsprosessen. National Cyber Security Centre i England sier at angrepet ikke vil få innvirkning på utrullingen av vaksinen i England.
Referanser
https://www.bbc.com/news/technology-55249353 https://www.nrk.no/urix/hackere-fikk-tilgang-[...]

Ny oppdatering for Adobe Acrobat and Reader

Adobe har gitt ut en ny oppdatering for Adobe Acrobat og Reader for Windows og Mac. Svakheten de patcher kan gi angriper tilgang til informasjon knyttet til brukeren. Det anbefales å laste ned oppdateringen.
Anbefaling
Referanser
https://helpx.adobe.com/security/products/acr[...]

Google har gitt ut desember-oppdatering for Android

Google har sluppet sin månedlige oppdatering for Android som fikse 10 svakheter. Den alvorligste svakheten denne måneden ligger i Media Framework og kan utnyttes ved avspilling av spesielt uformede media-filer. De andre 9 svakhetene ligger i firmwaren til Qualcomm-chipsettet og kan blant annet utnyttes gjennom WiFi-forbindelser.
Anbefaling
Referanser
https://threatpost.com/google-patches-critica[...] https://source.android.com/security/bulletin/[...]

2020.12.09 - Nyhetsbrev

Viktig oppdatering for Apache Struts 2. Adobe ute med sikkerhetsoppdateringer for flere produkter. FireEye melder om målrettet angrep. Microsoft slipper sikkerhetsoppdateringer for desember. Alvorlig svakhet i OpenSSL. Svakheter i fire open source TCP/IP-biblioteker Amnesia:33. Cisco slipper patcher for svakheter i Cisco Security Manager.

Viktig oppdatering for Apache Struts 2

Apache melder om en svakhet i Struts versjon 2.0.0 til og med 2.5.25 som kan føre til ekstern kodeeksekvering. Svakheten har fått nummer CVE-2020-17530. Det anbefales å oppgradere til versjon 2.5.26 så fort som mulig.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Adobe ute med sikkerhetsoppdateringer for flere produkter

Adobe har lansert oppdateringer for flere av sine produkter: Adobe Experience Manager, Adobe Lightroom og Adobe Prelude. Oppdateringene løser svakheter som blir sett på som kritiske og gjør det mulig å eksekvere vilkårlig kode.
Referanser
https://blogs.adobe.com/psirt/?p=1947

FireEye melder om målrettet angrep

FireEye melder om et avansert målrettet angrep mot firmaet. Angriperne har blant annet fått tak i deres interne red-team verktøy og FireEye har derfor sluppet signaturer for å oppdage om disse blir brukt i cyber-angrep. Det er skal ikke være noen zero-day svakheter i noen av disse verktøyene. Washington Post har meldt at det er den russiske grupperingen APT-29/Cozy Bear som står bak. Dette er en del av den russiske militære etterretningen og har stått bak mange kjente operasjoner de siste årene.
Referanser
https://www.fireeye.com/blog/products-and-ser[...] https://www.fireeye.com/blog/threat-research/[...] https://www.washingtonpost.com/national-secur[...]

Microsoft slipper sikkerhetsoppdateringer for desember

Microsoft har gitt ut 58 oppdateringer for flere av deres produkter, blant annet for å fikse ekstern kodeeksekvering i Exchange og SharePoint Server. Ni av oppdateringene har blitt klassifisert som "kritiske". Så langt er det ingenting som tyder på at noen av månedens svakheter blir utnyttet i aktive angrep.
Referanser
https://msrc.microsoft.com/update-guide/relea[...] https://krebsonsecurity.com/2020/12/patch-tue[...]

Alvorlig svakhet i OpenSSL

OpenSSL melder om en svakhet i behandlingen av X.509-sertifikater. Svakheten gjelder versjon 1.1.1 og 1.0.2 og alle versjoner trenger dermed en oppdatering. OpenSSL kan også være innebygget i andre produkter som også må oppdateres.
Anbefaling
Oppdater til fikset versjon
Referanser
https://www.openssl.org/news/secadv/20201208.txt

Svakheter i fire open source TCP/IP-biblioteker Amnesia:33

Sikkerhetsforskere har funnet 33 svakheter i fire open source TCP/IP-biblioteker. Disse bibliotekene er brukt i en stor mengde enheter som mobiltelefoner, rutere, printere, sensorer, kameraer osv. Ofte blir ikke slike enheter oppdatert og kan dermed utgjøre en risiko. Dersom det ikke er mulig å patche sårbare enheter anbefales det å ikke eksponere den mot Internett, samt å bruke en intern DNS-tjener.
Anbefaling
Referanser
https://www.zdnet.com/article/amnesia33-vulne[...] https://www.forescout.com/research-labs/amnesia33/

Cisco slipper patcher for svakheter i Cisco Security Manager

Cisco offentliggjorde 16. november at Cisco Security Manager hadde flere svakheter. Noen av disse svakhetene kan utnyttes til å ta kontroll over systemet uten å være logget inn. Det finnes offentlig tilgjengelig verktøy for å utnytte svakhetene. Cisco har nå sluppet patcher for svakhetene, som gjelder versjon 4.22 og tidligere.
Anbefaling
Man burde oppdatere til Cisco Security Manager versjon 4.22 Service Pack 1.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2020.12.08 - Nyhetsbrev

Foxconn Electronics er rammet av løspengevirus. Datainnbruddet mot Stortinget er ferdig etterforsket. Alvorlig svakhet i Microsoft Teams har blitt patchet. NSA advarer mot at stats-sponsede russiske hackere bruker sårbarhet i VMware.

Foxconn Electronics er rammet av løspengevirus

Foxconn Electronics ble rammet av løspengevirus-angrep mot et Meksikansk anlegg under Thanksgiving, 29 november. Selskapet er det største produksjonsselskapet innen elektronikk globalt. DoppelPaymer løspengevirus publiserte filer som tilhører Foxconn NA på deres nettside for detalekkasjer fra løspengevirus. Angriperne krever 1804 BTC, som har en verdi på ca. 34 millioner Dollar. Angriperne hevder å ha kryptert rundt 1200 servere, stålet 100 GB ukrypterte filer og slettet 20-30 TB med sikkerhetskopier.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Datainnbruddet mot Stortinget er ferdig etterforsket

Datainnbruddet som Stortinget ble rammet av i august er ferdig etterforsket av PST. Etterforskningen viser at nettverks-operasjonen er en del av en større kampanje nasjonalt og internasjonalt, og har pågått ihvertfall siden 2019. Analysene viser at det mest sannsynlig dreier seg om aktøren som omtales som APT28 og Fancy Bear. Denne aktøren knyttes til Russlands militære etterretningstjeneste GRU, mer spesifikt deres 85. hovedsenter for spesielle tjenester. Påtalemyndigheten har besluttet å avslutte etterforskningen på bakgrunn av at det til nå ikke er frembragt tilstrekkelige opplysninger til at det kan utferdiges en tiltale for brudd på straffeloven (§121).
Referanser
https://www.pst.no/alle-artikler/pressemeldin[...]

Alvorlig svakhet i Microsoft Teams har blitt patchet

En sikkerhetsforsker meldte i august om en alvorlig svakhet i Microsoft Teams som gjør at angriper kan fjerneksekvere kode på tvers av plattformer. Det eneste som kreves for å bli utnyttet av svakheten er å se på en spesielt utformet melding i Teams. Svakheten har siden blitt patchet, men Microsoft har kalt svakheten for "Important, Spoofing" som er noe av det laveste nivå en svakhet kan bli klassifisert som. Sikkerhetsforskeren mener den er en svært alvorlig og ormbar svakhet, altså at den kan spre seg av seg selv fra system til system. Svakheten gjelder Microsoft Teams for alle plattformer. Microsoft har ikke tildelt svakheten noe CVE-nummer, siden Teams-tjenesten patches automatisk.
Referanser
https://github.com/oskarsve/ms-teams-rce https://www.theregister.com/2020/12/07/micros[...]

NSA advarer mot at stats-sponsede russiske hackere bruker sårbarhet i VMware

NSA hevder at hackere knyttet til den russiske stat kompromitterer flere VMware systemer i angrep som gjør at angriperne kan installere skadevare, få tilgang til sensitive data og etablere vedvarende fotfeste i nettverket. Sårbarheten som brukes er dokumentert i CVE-2020-4006 og tillater angripere å eksekvere kode på sårbare systemer. Sårbarheten er et resultat av at kode feiler på å filtrere usikker input fra brukere, som HTTP headere og informasjonskapsler. Sårbare VMware plattformer: VMware Access 3 20.01 and 20.10 on Linux VMware vIDM 5 3.3.1, 3.3.2, and 3.3.3 on Linux VMware vIDM Connector 3.3.1, 3.3.2, 3.3.3, 19.03 VMware Cloud Foundation 4.x VMware vRealize Suite Lifecycle Manager 7 8.x
Anbefaling
De som kjører noen av de sårbare versjonene, bør installere patch fortest mulig.
Referanser
https://arstechnica.com/information-technolog[...] https://www.nsa.gov/News-Features/Feature-Sto[...]

2020.12.04 - Nyhetsbrev

Google ute med ny versjon av Chrome. VMware slipper oppdateringer for CVE-2020-4006. IBM om cyberaktører som går mot COVID-19 vaksineforsyningskjeden. Apple med sikkerhetsoppdateringer for iCloud for Windows. NCSC UK: årlig gjennomgang for 2020. Trickbot med ny funksjonalitet som retter seg mot UEFI. Kaspersky: Årlig gjennomgang av hva de avanserte trusselaktørerene har drevet med i 2020. NRK beta med artikkel om personvern på mobil.

Google ute med ny versjon av Chrome

Google har sluppet en ny versjon av Chrome for Windows, Mac og Linux. Den nye versjonen retter 6 svakheter hvorav 4 er rangert med "høy" alvorlighetsgrad.
Referanser
https://chromereleases.googleblog.com/2020/12[...]

VMware slipper oppdateringer for CVE-2020-4006

VMware har gitt ut sikkerhetsoppdateringer for VMware Workspace One Access, Access Connector, Identity Manager og Identity Manager Connector. Oppdateringen retter en svakhet, CVE-2020-4006, som kunne gjøre det mulig for en angriper å ta kontroll over et berørt system.
Referanser
https://www.vmware.com/security/advisories/VM[...]

IBM om cyberaktører som går mot COVID-19 vaksineforsyningskjeden

IBM X-Force har gitt ut en rapport om ondsinnede cyberaktører som retter seg mot COVID-19 "cold chain" - en integrert del av det å levere og lagre en vaksine ved trygge temperaturer. Aktørene etterligner biomedisinselskap og sender phishing-e-poster til ledere og globale organisasjoner som er involvert i vaksinelagring og transport. Phishing e-postene er formulert som en forespørsel om deltakelse i et vaksineprogram.
Referanser
https://securityintelligence.com/posts/ibm-un[...]

Apple med sikkerhetsoppdateringer for iCloud for Windows

Apple har gitt ut sikkerhetsoppdateringer for å løse sårbarheter i iCloud for Windows som kunne gjøre det mulig for en angriper å ta kontroll over et berørt system.
Referanser
https://support.apple.com/en-us/HT211935

NCSC UK: årlig gjennomgang for 2020

Storbritannias National Cyber Security Center (NCSC) har gitt ut sin årlige gjennomgang for 2020. Rapporten fokuser på cybertrusler, hvordan de anser cybersikkerhet som en lagsport og inkluderer høydepunkter fra deres samarbeid med mange partnere, bl.a. Cybersecurity and Infrastructure Security Agency (CISA).
Referanser
https://www.ncsc.gov.uk/news/annual-review-2020

Trickbot med ny funksjonalitet som retter seg mot UEFI

Banksvindel-trojaneren Trickbot har gjennom årene utviklet seg til en fullverdig "malware-as-a-service" plattform. Trickbot-operatører selger tilgang til det store antallet infiserte maskiner til andre kriminelle, som bruker botnettet til å spre banktrojanere, ransomware og en rekke andre skadelig programvare. Nå har Trickbot blitt utvidet med muligheten til å modifisere maskinens UEFI, som er den første programvaren som kjøres på nesten all moderne maskiner. Siden UEFI ligger i en flash-brikke på hovedkortet, og ikke på den vanlige harddisken, er det vanskelig å oppdage og fjerne infeksjoner.
Referanser
https://arstechnica.com/information-technolog[...]

Kaspersky: Årlig gjennomgang av hva de avanserte trusselaktørerene har drevet med i 2020

Kaspersky sporer den pågående aktiviteten til mer enn 900 avanserte trusselaktører, og har nå sluppet en oppsummering av de mest interessante trendene og utviklingene til de forskjellige aktørene over det siste året.
Referanser
https://securelist.com/apt-annual-review-what[...]

NRK beta med artikkel om personvern på mobil

Mobiltelefoner sporer hele tiden brukeren. Noen apper samler inn denne informasjonen og deler den med flere mistenkelige firmaer. Her kan informasjonen enkelt kjøpes av hvem som helst. NRK viser hvordan en av deres ansatte ble sporet og hvordan han fant ut hvilken app som var synderen.
Referanser
https://nrkbeta.no/2020/12/03/telefonen-spion[...]

2020.12.03 - Nyhetsbrev

Feilkonfigurerte Docker-servere under angrep av Xanthe Malware. Thunderbird med ny sikkerhetsoppdatering.

Feilkonfigurerte Docker-servere under angrep av Xanthe Malware

Sikkerhetsforskere har oppdaget et Monero kryptomining-botnet de kaller Xanthe, som har utnyttet feilkonfigurerte Docker API-installasjoner for å infisere Linux-systemer. Botnettet sprer seg videre ved å koble seg til andre systemer ved hjelp av SSH-nøkler det finner, samt dårlige passord.
Referanser
https://threatpost.com/misconfigured-docker-s[...]

Thunderbird med ny sikkerhetsoppdatering

Svakheten CVE-2020-26970 fikses i den siste oppdateringen til Thunderbird. Svakheten skyldes at Thunderbird skiver en integer til et sted på stacken som egentlig kun skal inneholde en byte. Dette kan føre til at stacken blir korrupt, noe som kan utnyttes. Mozilla har sluppet en fikset versjon.
Anbefaling
Oppdater til 78.5.1
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

2020.12.02 - Nyhetsbrev

Google-forsker oppdaget svakhet for iOS som kunne utnyttes via radio.

Google-forsker oppdaget svakhet for iOS som kunne utnyttes via radio

En Google-forsker har brukt karantenetiden til å oppdage og utforske en kritisk svakhet i kjernen til iOS. Svakheten gjorde det mulig å få full kontroll over alle iPhones som befant seg innenfor WiFi-rekkevidde. Brukeren merket ingenting av innbruddet eller at data ble hentet ut fra enheten. Forskeren har skrevet en svært detaljert gjennomgang av hvordan han gikk fram. Apple lanserte en patch for svakheten med iOS 13.5 som ble utgitt i mai 2020. Svakheten var også "ormbar", noe som betyr at den kunne ha blitt brukt til å få malware til å spre seg fra én iPhone til alle andre iPhones innenfor radio-rekkevidde.
Referanser
https://googleprojectzero.blogspot.com/2020/1[...] https://arstechnica.com/gadgets/2020/12/iphon[...]

2020.12.01 - Nyhetsbrev

Ny trojaner med bakdør for MacOS funnet.

Ny trojaner med bakdør for MacOS funnet

En ny bakdør, som trolig ble laget av den vietnamesiske APT-gruppen OceanLotus, har nylig blitt oppdaget. Skadevaren er delt opp i flere deler for å unngå å bli oppdaget. Den første delen av skadevaren utgir seg for å være et vanlig Word-dokument, men når det blir eksekvert starter den andre delen, som igjen starter den siste delen og sletter de foregående. Den tredje delen er kryptert med selvlaget krypteringsalgoritme sammen med base64. Skadevaren har mulighet til å laste ned filer, slette filer og kjøre kommandoer. For å unngå å få denne skadevaren oppfordres det til at man er forsiktig med å trykke på lenker og å laste ned vedlegg fra mistenkelige kilder.
Referanser
https://threatpost.com/macos-users-targeted-o[...]

2020.11.27 - Nyhetsbrev

Canon bekrefter at de har blitt utsatt for løsepengevirus-angrep i august.

Canon bekrefter at de har blitt utsatt for løsepengevirus-angrep i august

Canon bekrefter at de har blitt utsatt for løsepengevirus-angrep i august og at de også har blitt frastjålet data. Hackergruppen Maze har tatt på seg skylden for angrepet og har foreløpig publisert filer som inneholder markedsføringsinformasjon.
Referanser
https://securityaffairs.co/wordpress/111523/m[...]

2020.11.26 - Nyhetsbrev

Nigerianere arrestert etter internasjonal BEC-svindel. Passord for nesten 50 000 sårbare Fortinet VPNer eksponert på Internett. Sopra Steria anslår at Ransomware-angrepet i oktober vil koste bedriften 50 millioner euro. Nye nulldagssårbarheter funnet i Windows 7 og Windows server 2008.

Nigerianere arrestert etter internasjonal BEC-svindel

Tre påståtte medlemmer av en nigeriansk nettkriminalitetsgjeng som kompromitterte 500 000 selskaper og offentlige organisasjoner i mer enn 150 land er nå arrestert. Arrestasjonene ble utført i Lagos som en del av den årelange, INTERPOL-ledede operasjonen Falcon. Operasjonen er rettet mot nettkriminelle som bruker en form for svindel kalt Business Email Compromise (BEC) for å stjele penger. Målet med angrepene til de pågrepne var å stjele autentiseringsdata fra nettlesere, epost- og FTP-klienter, muligens for å selge dataene til høyestebydende på det mørke nettet.
Referanser
https://www.infosecurity-magazine.com/news/ni[...] https://www.interpol.int/en/News-and-Events/N[...]

Passord for nesten 50 000 sårbare Fortinet VPNer eksponert på Internett

En hacker har nå lekket VPN-innlogging for nesten 50 000 sårbare Fortinet VPNer. I løpet av helgen la en hacker ut en liste over exploits for FortiOS svakheten CVE-2018-13379, som kan brukes til å stjele VPN-legitimasjon fra disse enhetene. På listen over sårbare mål er IPer som tilhører blant annet telekom og offentlige organisasjoner fra hele verden.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Sopra Steria anslår at Ransomware-angrepet i oktober vil koste bedriften 50 millioner euro

I oktober informerte IT-giganten Sopra Steria om at de hadde blitt rammet av et Ryuk ransomware-angrep. Dette er samme type ransomware som også rammet NHS i England i September. Tiltakene som ble iverksatt etter at angrepet ble oppdaget, samt utbedringene som har måttet gjennomføres i etterkant av angrepet, har hatt stor innvirkning på den operasjonelle driften. Sopra Steria anslår at det totale tapet vil ligge et sted mellom 40 og 50 millioner euro. Bedriften har forsikring som dekker inntil 30 millioner euro i kostnader i forbindelse med cyberangrep. Hittil har det ikke blitt funnet tegn til at informasjon har blitt hentet ut av systemene.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Nye nulldagssårbarheter funnet i Windows 7 og Windows server 2008

Det har blitt oppdaget to sårbarheter i registernøklene som ligger under RPC Endpoint Mapper og DNSCache. Sårbarhetene gjør det mulig for en angriper som allerede har tilgang til systemene, å laste opp egne DLL-filer i under-nøkler som blir brukt av Windows Performance Monitoring System. Så langt har ikke Microsoft sagt om de vil komme med sikkerhetsoppdateringer for å fikse problemet, ettersom begge operativsystemene ikke er støttet av Microsoft lenger. ACROS Security har sluppet en mini-patch som skal fikse svakheten.
Referanser
https://www.zdnet.com/article/security-resear[...]

2020.11.24 - Nyhetsbrev

Sikkerhetsforskere bryter seg inn i Tesla på 90 sekunder. Ny kritisk svakhet i produkter fra VMWare (CVE-2020-4006).

Sikkerhetsforskere bryter seg inn i Tesla på 90 sekunder

Sikkerhetsforskere har klart å bryte seg inn i en Tesla Model X i løpet av 90 sekunder. Innbruddet blir gjort ved å skrive en ny firmware til bilens nøkkel og krever at nøkkelen er innenfor blåtann-rekkevidde. Angriperne kan deretter hente ut adgangskoder til bilen fra nøkkelen. Svakheten skal delvis skyldes manglende sjekk av om kode er har gyldig signatur. Tesla skal fikse svakheten ved hjelp av ny programvare som sendes ut automatisk til bilene.
Referanser
https://www.wired.com/story/tesla-model-x-hac[...] https://www.youtube.com/watch?v=clrNuBb3myE

Ny kritisk svakhet i produkter fra VMWare (CVE-2020-4006)

For andre gang på én uke melder VMware om en kritisk svakhet, denne gangen i VMware Workspace One Access, Access Connector, Identity Manager og Identity Manager Connector. VMware Cloud Foundation (vIDM) og vRealize Suite Lifecycle Manager (vIDM) er også rammet. Foreløpig har VMware gitt instruksjoner for hvordan systemer kan konfigureres for å unngå svakheten, mens de jobber med å utvikle patcher.
Anbefaling
Implementer work-around før patch blir sluppet.
Referanser
https://www.vmware.com/security/advisories/VM[...] https://www.helpnetsecurity.com/2020/11/24/vm[...]

2020.11.23 - Nyhetsbrev

GoDaddys ansatte brukt i angrep mot kryptovaluta tjenester.

GoDaddys ansatte brukt i angrep mot kryptovaluta tjenester.

GoDaddy sine ansatte gikk på phising angrep og overførte kontrollen over flere kryptovaluta domener. Alle domenene som ble overført fikk epost tjenesten sin omdirigert til privateemail.com, samt flere endringer i DNS innstillingene sine. Liquid.com ble angrepet rundt 13 november og sier at det ikke ser ut som om angriperne har hatt tilgang til personlig data.
Referanser
https://krebsonsecurity.com/2020/11/godaddy-e[...]

2020.11.20 - Nyhetsbrev

Kritiske sårbarheter i VMWare avdekket under kinesisk hackerkonkurranse.

Kritiske sårbarheter i VMWare avdekket under kinesisk hackerkonkurranse

Under en kinesisk hackerkonkurranse ble det avdekket en kritisk sårbarhet i VMWare. Sårbarheten lar en lokal administrator på VMen utføre kode som vert-maskinens VMX-prosess. VMS-prosessen har som oppgave å kjøre VMkernel, og håndterer også I/O. Dette betyr at potensialet for datauthenting fins. Sårbarheten har kode CVE-2020-4004 og har fått 9.3. DEt er også avdekket en annen svakhet, som bygger på denne. Begge er patchet av VMware.
Referanser
https://www.theregister.com/2020/11/20/vmware[...] https://www.vmware.com/security/advisories/VM[...]

2020.11.19 - Nyhetsbrev

Symantec rapporterer om en stor kampanje av aktøren Cicada/APT10/Cloud Hopper. Kritisk sårbarhet avdekket i programvare for industrielle kontrollsystemer

Symantec rapporterer om kampanje mot Japan fra Cicada/APT10/Cloud Hopper

Symantec rapporterer om at de har oppdaget en større kampanje mot Japan fra en APT gruppe, som de mener må være stor og med gode ressurser. Symantec mener at de har funnet indikasjoner som tyder på at aktiviteten kan linkes til Cicada/APT10/Cloud Hopper. Kampanjen ser ut til å ha fokus på selskaper i øst-asia.
Referanser
https://symantec-enterprise-blogs.security.co[...] https://www.bleepingcomputer.com/news/securit[...]

Kritisk sårbarhet avdekket i programvare for industrielle kontrollsystemer

En kritisk sårbarhet har blitt avdekket i Real-Time Automation (RTA) 499 ES EtherNet/IP stack, som påvirker industrielle kontrollsystemer. I verste fall kan sårbarheten utnyttes til å oppnå ekstern eksekvering av vilkårlig kode på systemene. I følge et søk på tjenesten Shodan finnes det mer enn 8000 ENIP-kompatible enheter som er eksponert mot internett. Svakheten ble fjernet allerede i 2012, men det er rimelig å anta at flere bedrifter har kjøpt programvaren før dette og integrert det i sin egen firmware, som dermed fremdeles er sårbar. Svakheten har fått tildelt koden CVE-2020-25159, og scorer 9.8 av 10 på sårbarhetsskalaen.
Anbefaling
Sjekk etter sårbare systemer og oppgrader.
Referanser
https://thehackernews.com/2020/11/researchers-warn-of-critical-flaws.html

2020.11.18 - Nyhetsbrev

Eksponert database inneholder hundre tusen kompromitterte brukere. Rapport fra Trend Micro om kriminelles bruk av skyløsninger for å selge informasjon. HTTP push-meldinger fra nettlesere benyttet til å dele adware og click fraud.

Eksponert database inneholder hundre tusen kompromitterte brukere

Kriminelle passordstjelere lot en ElasticSearch-database være eksponert. Her hadde de over 100 tusen brukernavn og passord som de hadde fått tilgang til ved å late som om de var en tjeneste som kunne vise hvem som besøkte Facebook profilen til brukeren. Hackerne brukte dermed tilgang til brukernes kontoer til å publisere innlegg som viste til en falsk Bitcoin-tjeneste. Databasen var åpen fra juni til 22. september i år.
Referanser
https://threatpost.com/exposed-database-100k-[...]

Rapport fra Trend Micro om kriminelles bruk av skyløsninger for å selge informasjon

Trend Micro har utgitt en rapport hvor de beskriver hvordan kriminelle benytter skytjenester for å selge organisert informasjon som er hentet inn gjennom for eksempel skadevare som keyloggere. Det nye er at tjenestene er lagt opp som abonnements-tjenester som hele tiden holdes oppdatert.
Referanser
https://www.digi.no/artikler/farlig-trend-hac[...] https://newsroom.trendmicro.com/2020-11-16-Cy[...]

HTTP push-meldinger fra nettlesere benyttet til å dele adware og click fraud

Selskapet Indelible har gitt ut en rapport om hvordan kriminelle benytter HTTP Push Notification (RFC 8030) til å spre adware og click fraud kampanjer. Mange nettsteder spør brukeren om de kan sende brukeren varsler om nyheter, nye varer osv. Det viser seg nå at en del selger tilgang til å bruke disse varslene videre til kriminelle, som bruker dem til å prøve å svindle brukere. Det anbefales å svare nei til slike forespørsler, bortsett fra nettsteder du stoler på.
Referanser
https://krebsonsecurity.com/2020/11/be-very-s[...] https://www.indelible.global/post/pushbug-unc[...]

2020.11.17 - Nyhetsbrev

Intel471 har publisert en artikkel om Ransomware trender under pandemien. Kritiske svakheter i Cisco Security Manager.

Intel471 har publisert en artikkel om RansomWare trender under pandemien

Intel 471 har sett på over 25 ulike Ransomware-as-a-Service (RaaS) grupper og har nå publisert en artikkel hvor de tar for seg trender under årets pandemi.
Referanser
https://public.intel471.com/blog/ransomware-a[...]

Kritiske svakheter i Cisco Security Manager

Cisco har sluppet patcher for kritiske svakheter i Cisco Security Manager. Det har allerede blitt publisert eksempel-kode som demonstrerer svakhetene. Patcher ble sluppet i versjon 4.22 som ble utgitt forrige uke.
Anbefaling
Installer patcher.
Referanser
https://www.zdnet.com/article/cisco-reveals-t[...] https://tools.cisco.com/security/center/publi[...]

2020.11.16 - Nyhetsbrev

Apple lanserer sikkerhetsoppdateringer for flere produkter. Google Chrome nulldags-sårbarheter under aktiv utnyttelse.

Apple lanserer sikkerhetsoppdateringer for flere produkter

Apple har gitt ut sikkerhetsoppdateringer for å løse sårbarheter i flere produkter. En angriper kan utnytte noen av disse sårbarhetene for å ta kontroll over et berørt system. Noen av disse sikkerhetssvakhetene har allerede blitt brukt til å ta kontroll over sårbare systemer. Cybersecurity and Infrastructure Security Agency (CISA) oppfordrer brukere og administratorer til å gå gjennom Apples sikkerhetssider for macOS Big Sur 11.0, 11.0.1, macOS High Sierra 10.13.6, macOS Mojave 10.14.6 og Safari 14.0.1 og installere de nødvendige oppdateringene.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Google Chrome nulldags-sårbarheter under aktiv utnyttelse

Begge sårbarhetene gjør det mulig for en angriper å ta over sårbare systemer hvis de besøker en nettside som laster opp vilkårlig kode på systemet. De to nulldags-sårbarhetene går under CVE-2020-16013 og CVE-2020-16017 og har fått definert alvorlighetsgrad 8.4 av 10.
Anbefaling
Oppdater Chrome så fort det kommer en ny oppdatering.
Referanser
https://threatpost.com/2-zero-day-bugs-google[...]

2020.11.13 - Nyhetsbrev

DNS-cache-forgiftningsangrep fra 2008 kan brukes igjen grunnet Linux-svakhet.

DNS-cache-forgiftningsangrep tilbake grunnet Linux-svakhet

Forskere har identifisert en ny metode som kan brukes til å utføre DNS-cache-forgiftningsangrep. Den nye sårbarheten påvirker flere DNS-løsninger (BIND, Unbound, dnsmasq), har fått kallenavnet SAD DNS (Side-channel AttackeD DNS) og tildelt CVE-2020-25705.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2020.11.12 - Nyhetsbrev

Google fikser to nye zero-day svakheter i Chrome, CheckPoint har sporet ransomwaren Pay2Key til Iran og løsepengevirus rammer flere svenske virksomheter. I tillegg slipper Mozilla sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird og en ondsinnet gruppe bruker Facebook-annonser til løspenge-angrep.

Google fikser to nye zero-day svakheter i Chrome

Google har totalt lappet fem "Zero-day" sårbarheter i Chrome i løpet av de siste tre ukene. De to nyeste ble sluppet 11 November for Chrome versjon 86.0.4240.198. Det nye med de siste patchene er at de ble oppdaget av en anonym kilde som tipset Google. De tre første ble oppdaget internt av sikkerhetsforskere fra Google. I henhold til Chrome 86.0.4240.198-endringsloggen har de to siste svakhetene fått følgende CVE-numre: CVE-2020-16009 og CVE-2020-16010. De fleste zero-day svakheter brukes vanligvis i målrettet angrep. Selv om det er uklart farenivå for vanlige brukere, anbefales Chrome-brukere å oppdatere til v86.0.4240.198 via nettleserens innebygde oppdateringsfunksjon så fort som mulig.
Referanser
https://www.zdnet.com/article/google-patches-[...]

CheckPoint har sporet ransomwaren Pay2Key til Iran

Forrige uke ga CheckPoint ut informasjon om den nye ransomware-gruppen Pay2Key, som primært har rammet israelske firmaer. Sikkerhetsselskapet har nå fulgt løsepengebetalinger betalt ut av flere ofre, og verdiene ender opp i en iransk Bitcoin-børs.
Referanser
https://research.checkpoint.com/2020/pay2key-[...]

Løsepengevirus rammer flere svenske virksomheter

Sveriges radio melder at en bølge av løsepengevirus har rammet svenske virksomheter siden fredag sist uke. Over 12 svenske bedrifter skal være rammet så langt.
Referanser
https://sverigesradio.se/artikel/7598006

Ondsinnet gruppe bruker Facebook-annonser til løspenge-angrep

Den ondsinnede gruppen Ragnar Locker Team har tatt i bruk annonser på Facebook til å skape blest om sine løspengeangrep. Annonsen de la ut var målrettet mot den italienske bedriften Campari Goups kunder. Etter at Ragnar Locker hadde hacket seg inn hos Campari, stjal de viktig data og krevde penger for å levere dem tilbake. Annonsene ble blir altså brukt for å skape oppmerksomhet rundt de lekkede dokumentene og tvinge Campari til å betale.
Referanser
https://krebsonsecurity.com/2020/11/ransomwar[...]

Mozilla slipper sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird

Mozilla har sluppet sikkerhetsoppdateringer som fikser en sårbarhet i Firefox, Firefox ESR og Thunderbird. Denne sårbarheten gjør det mulig for en angriper å ta kontroll over et system som er berørt av dette. The Cybersecurity and Infrastructure Security Agency (CISA) oppfordrer derfor brukere og administratorer til å se over Mozilla Security Advisory for Firefox 82.0.3, Firefox ESR 78.4.1, og Thunderbird 78.4.2.
Anbefaling
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]