2020.01.31 - Nyhetsbrev

500 nettbutikker i Norden er nede etter ransomware-angrep. Svakheter hos Azure.

500 nettbutikker i Norden er nede etter ransomware-angrep

Webmercs leverer nettbutikkløsninger for flere kjente nettbutikker i Norden, og har vært nede siden onsdag denne uken. Dette har rammet flere norske nettbutikker, blant annet Multicom, Deal.no og Advania. De har vært helt eller delvis ute av drift siden løsningene gikk ned onsdags kveld. De håper å få serverne sine opp igjen i løpet av helgen.
Referanser
https://www.tek.no/nyheter/nyhet/i/xPWkQG/inn[...]

Svakheter hos Azure

Forskere hos Checkpoint har skrevet en lengre artikkel om svakheter og mulige angrepsvektorer mot skytjenester. I del 1 av denne artikkelserien er det fokusert på Azure og deres Cloud Infrastructure. Det ble i denne sammenheng funnet kritiske svakheter i Azure Cloud infrastructure som tillater såkalt Remote Cloud Execution. Del 2 er også ute og tar for seg Azure App Service.
Anbefaling
Referanser
https://research.checkpoint.com/2020/remote-c[...]

2020.01.30 - Nyhetsbrev

Takeover-svakhet avdekket i WordPress. Cyberangrep mot FN holdt skjult. Magento 2.3.4 med viktige oppdateringer.

Takeover-svakhet avdekket i populær WordPress-plugin

En Cross-Site Request Forgery-svakhet i Wordpress pluginen "Code Snippets" har gjort at flere sider nå er sårbare for takeover. Angripere kan sette inn kode som kjører på siden som kan gjøre det mulig å blant annet lage nye administratorbrukere, hente sensitiv informasjon og potensielt infisere besøkende av nettsiden. Svakheten har fått CVE-kode 2020-8417 og sikkerhetsoppdateringer ble gitt ut 25. Januar. Det antas at inntil 140 000 Wordpress-sider har installert den sårbare versjonen av pluginen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Cyberangrep mot FN holdt skjult

20. August 2019 ble det varslet om et cyberangrep mot FNs kontor i Genéve. Angrepet hadde startet en måned tidligere, men hadde hittil verken blitt oppdaget eller varslet. Angrepet skal ha påvirket et mangfold av servere, både i Genéve og Wien. Etterforskningen av angrepet viste at svært få var klar over at det i det hele tatt hadde funnet sted. De påvirkede serverne inneholdt blant annet personlig informasjon om ansatte ved kontorene. Det er uklart om angriperne har lastet ned informasjonen eksternt.
Referanser
https://www.thenewhumanitarian.org/investigat[...]

Magento 2.3.4 med viktige oppdateringer

Magento med oppdateringer av seks kritiske sårbarheter i flere produkter.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2020.01.29 - Nyhetsbrev

Datalekkasje via tømming av buffer-minnet på Intel CPUer.
Bloggpost beskriver dekryptering av WhatsApp-mediafil i Bezos-saken. Huawei får levere telco utstyr til det britiske 5G-nettet. Apple slipper sikkerhetsoppdateringer for diverse produkter.

Datalekkasje via tømming av buffer-minnet på Intel CPUer

Sikkerhetsforskere har i en artikkel presentert hvordan man kan få ut data via tømming av buffer-minnet i en Intel CPU. De har kalt svakheten for "CacheOut." Prosessorene er fortsatt sårbare og tillater angripere å utnytte disse sårbarhetene til å lekke sensitive data. Svakheten krever lokal tilgang for å utnyttes og har så langt ikke blitt utnyttet i reelle angrep.
Referanser
https://cacheoutattack.com/

Bloggpost beskriver dekryptering av WhatsApp-mediafil i Bezos-saken

I en bloggpost på Security Boulevard beskriver sikkerhetsforskeren Robert Graham hvordan en kan dekryptere den mystiske WhatsApp-videofilen etterforskerne i Jeff Bezos-saken ikke klarte å dekryptere. Filen kan bare dekrypteres dersom en har tilgang til ett av endepunktene i kommunikasjonen.
Referanser
https://securityboulevard.com/2020/01/how-to-[...]

Huawei får levere telco utstyr til det britiske 5G-nettet

Det har vært mye strid omkring hvorvidt Huawei skal få levere utstyr i utrullingen av 5G-mobilnett rundt om i Europa. Nå har Huawei fått innpass i Storbritannias utvikling av 5G nettet i begrenset omfang. Trump-administrasjonen er skuffet.
Referanser
https://edition.cnn.com/2020/01/28/tech/huawe[...]

Apple slipper sikkerhetsoppdateringer for diverse produkter

Apple slipper oppdateringer for tvOS, Safari, iOS og macOS. Sårbarhetene som utbedres kan utnyttes til å ta kontroll over et ikke-patchet system.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

2020.01.28 - Nyhetsbrev

Reuters: Tyrkiske hackere bak målrettede angrep. Lekkede dokumenter: Avast selger detaljerte kundedata. Mozilla og Google har fjernet nettleser-utvidelser etter misbruk. Intel patcher CPU-svakhet for tredje gang.

Reuters: Tyrkiske hackere bak målrettede angrep

Reuters melder at hackere som handler på vegne av det tyrkiske statsapparatet står bak en mengde cyberangrep mot regjeringer og andre organisasjoner i Europa. Angrepene ble gjort ved hjelp av DNS-kapring, som gjorde at ofrene kunne sendes videre til falske nettsider for innhøsting av informasjon.
Referanser
https://www.reuters.com/article/us-cyber-atta[...]

Lekkede dokumenter: Avast selger detaljerte kundedata

Avast selger sensitive data om sine kunders bruk av Internett gjennom et datterselskap kalt Jumpshot. De reklamerer med at kundene kan få tilgang til hvert klikk, søk og kjøp som kundene gjør. Dataene samles inn gjennom Avast Antivirus og krever samtykke fra kundene, men ikke alle kundene er enig i at de faktisk har gitt samtykke selv om data samles inn. Det er gjort forsøk på å anonymisere dataene, men mange brukere kan antakeligvis de-anonymiseres.
Referanser
https://www.vice.com/en_us/article/qjdkq7/ava[...]

Mozilla og Google har fjernet nettleser-utvidelser etter misbruk

Både Mozilla og Google har avslørt misbruk og svindel utført via nettleser-utvidelser. Google meldte tidligere denne måneden at det har vært en økning i svindler fra utvidelser som gjennomfører penge-transaksjoner, og har midlertidig stanset nye utgivelser av slike utvidelser. Mozilla har på sin side deaktivert 197 utvidelser på grunn av ulike typer misbruk.
Referanser
https://threatpost.com/google-mozilla-ban-bro[...]

Intel patcher CPU-svakhet for tredje gang

Intel melder at de vil sende ut en patch for "Zombieload"-svakheten for tredje gang. Svakheten ble først oppdaget for 18 måneder siden og Intel har prøvd å patche den to ganger allerede. Det har imidlertid blitt oppdaget enda en variant av svakheten som klarer å omgå patchene.
Referanser
https://www.wired.com/story/intel-zombieload-[...]

2020.01.27 - Nyhetsbrev

Zero-day i Trend Micro brukt til å kompromittere Mitsubishi Electric. Kostnader ved utpressingsangrep doblet i fjerde kvartal 2019.

Zero-day i Trend Micro brukt til å kompromittere Mitsubishi Electric

Mandag sist uke ble det kjent at kinesiske hackere hadde kommet seg inn i nettverket til Mitsubishi Electric. ZDNet har nå fått opplysninger om at angrepet ble gjennomført ved å utnytte en zero-day sårbarhet i Trend Micro OfficeScan antivirus. Trend Micro har nå patchet svakheten, men har ikke kommentert påstandene så langt.
Referanser
https://www.zdnet.com/article/trend-micro-ant[...]

Kostnader ved utpressingsangrep doblet i fjerde kvartal 2019

Kostnader ved utpressingsangrep doblet seg i siste kvartal i 2019 ifølge forskere ved Coveware. Dette skyldes at angripere sikter seg inn på større bedrifter og konsern, og at nedetiden som følge av angrep har økt betraktelig til i snitt 16 dager. Gjennomsnittlig utbetaling til angriperne har også økt til $84.116.
Referanser
https://threatpost.com/threatlist-ransomware-[...] https://www.coveware.com/blog/2020/1/22/ranso[...]

2020.01.24 - Nyhetsbrev

Cisco har sluppet sikkerhetsoppdateringer.

Cisco har sluppet sikkerhetsoppdateringer

Cisco har sluppet sikkerhetsoppdateringer for flere produkter. Denne gangen er det spesielt en svakhet i Firepower Management Center sin LDAP (Lightweight Directory Access Protocol Authentication)-modul som trekkes fram. Svakheten har fått en CVE-score på 9.8 av 10 og gjør det mulig for en ekstern angriper uten konto å få full kontroll over systemet.
Referanser
https://www.us-cert.gov/ncas/current-activity[...] https://tools.cisco.com/security/center/conte[...] https://threatpost.com/cisco-critical-network[...]

2020.01.23 - Nyhetsbrev

Data fra 250 millioner support-henvendelser til Microsoft lå åpent på nett.

Data fra 250 millioner support-henvendelser til Microsoft åpent på nett

Fem Elasticsearch-databaser, som inneholdt 250 millioner support-hendelser fra Microsoft kundesupport fra 2005 til nå, lå åpent på internett i minst to dager på slutten av 2019. Microsoft sikret databasene i slutten av desember 2019. Det er usikkert hvor mye data som har blitt kopiert ut og Microsoft jobber med å varsle de som er rammet.
Referanser
https://threatpost.com/microsoft-250m-custome[...] https://www.theregister.co.uk/2020/01/22/micr[...]

2020.01.22 - Nyhetsbrev

Muhstik Botnet angriper rutere som kjører Tomato Firmware. The Guardian: Jeff Bezos ble hacket i 2018 av Saudi-Arabia.

Muhstik Botnet angriper rutere som kjører Tomato Firmware

AdvancedTomato er et open-source alternativ for fastvare til Broadcom-baserte rutere. En orm forsøker nå å spre seg ved å aktivt søke etter enheter som kjører fastvaren og som bruker standard brukernavn og passord. Infiserte enheter bidrar til videre spredning og blir også delaktige i Muhstik botnettet som ble oppdaget for litt over to år siden i forbindelse med Drupalgeddon-svakheten. De infiserte enhetene styres gjennom en IRC-server og brukes gjerne til å utvinne kryptovaluta eller til å utføre DDoS-angrep. Arstechnica har publisert en liste over IPer som er knyttet til infeksjon, slik at kunder kan sjekke nettverksloggene sine.
Referanser
https://arstechnica.com/information-technolog[...]

The Guardian: Jeff Bezos ble hacket i 2018 av Saudi-Arabia

I 2018 ble grunnleggeren av selskapet Amazon, Jeff Bezos, angivelig hacket via den Saudi-Arabiske kronprinsens WhatsApp-konto. Bezos skal ha fått tilsendt og åpnet en skadelig fil. Informasjon fra telefonen ble senere lekket til media.
Referanser
https://www.theguardian.com/technology/2020/j[...] https://www.aftenposten.no/verden/i/e8B5ra/gu[...]

2020.01.21 - Nyhetsbrev

Citrix har endelig sluppet patch for Citrix ADC/Gateway. Kryptonøkler funnet i utstyr fra Fortinet. Selskap som skulle beskytte mot DDoS-angrep betalte for angrep mot egne kunder. Nettverksutstyr fra Netgear lekket private sertifikater.

Citrix har endelig sluppet patch for Citrix ADC/Gateway

Citrix har nå sluppet oppdateringer for Citrix ADC og Gateway. Svakheter i disse produktene har blitt utnyttet til å ta kontroll over tusenvis av sårbare installasjoner de siste dagene. Vi anbefaler å sjekke for kompromittering og installere oppdateringer.
Referanser
https://arstechnica.com/information-technolog[...] https://www.citrix.com/blogs/2020/01/19/vulne[...]

Kryptonøkler funnet i utstyr fra Fortinet

En sikkerhetsforsker har funnet en hardkodet kryptonøkkel i FortiSIEM som kan brukes for å få tilgang til FortiSIEM Supervisor uten autentisering. Svakheten er fikset i versjon 5.2.7.
Referanser
https://www.securityweek.com/hardcoded-ssh-ke[...]

Selskap som skulle beskytte mot DDoS-angrep betalte for angrep mot egne kunder

Tucker Preston fra Georgia, USA stiftet firmaet BackConnect Inc som skulle beskytte kundene sine mot DDoS-angrep. Nå vedkjenner han at firmaet har benyttet seg av en DDoS-for-hire tjeneste for å utføre angrep mot sine egne kunder. Preston risikerer dermed å måtte sone inntil 10 år i fengsel, samt å betale en bot på 250 000 amerikanske dollar.
Referanser
https://krebsonsecurity.com/2020/01/ddos-miti[...]

Nettverksutstyr fra Netgear lekket private sertifikater

I et forsøk på å gjøre det enklere for kundene å konfigurere sitt nettverks-utstyr lekket Netgear privat-nøkkelen til sertifikater. For å unngå at kunden skal måtte både finne og taste inn IP-adressen til ruteren sin default gateway gjør Netgear det i stedet mulig å navigere til https://routerlogin.com eller https://routerlogin.net for å aksessere administratorpanelet. Utstyret støtter ikke HTTP og normalt ville nettleseren advart om at sertifikatet ikke er gyldig. Netgear unngår dette ved å benytte privat-nøkkelen til sertifikatet for å verifisere det. Denne nøkkelen ligger lagret ubeskyttet i fastvaren og kan lastes ned av hvem som helst. Dette gjør det blant annet mulig å lage falske sertifikater som aksepteres som gyldige av moderne nettlesere. Disse kan så brukes til å utføre "Man in the Middle"-angrep mot routerne.
Referanser
https://www.theregister.co.uk/2020/01/20/netg[...]

2020.01.20 - Nyhetsbrev

FBI har beslaglagt WeLeakInfo. Datalekkasje av passord til en halv million servere, rutere, og IoT-enheter. Ekstern kodeeksekverings-svakhet i Internet Explorer utnyttes aktivt.

FBI har beslaglagt WeLeakInfo

Amerikanske myndigheter har i samarbeid med Nederlandske og Nord-Irlandske myndigheter beslaglagt WeLeakInfo.com, en side som ble brukt av hackere til å søke etter innloggingsinformasjon. Siden var tilgjengelig gjennom betaling for så lavt som 2 dollar per dag, og hevdes å ha inneholdt mer enn 12 milliarder brukernavn og passord fra mer enn 10 000 data innbrudd.
Referanser
https://www.zdnet.com/article/fbi-seizes-wele[...]

Datalekkasje av passord til en halv million servere, rutere, og IoT-enheter

En hacker har publisert en liste med mer enn fem hundre tusen Telnet-innlogginger som inkluderer IP, brukernavn og passord. Denne lekkasjen er den største av sitt slag til dags dato.
Referanser
https://www.zdnet.com/article/hacker-leaks-pa[...]

Ekstern kodeeksekverings svakhet i Internet Explorer utnyttes aktivt

En ekstern kodeeksekverings-svakhet i måten Internet Explorer sin scripting engine håndterer objekter i minnet. Svakheten kan føre til korrupt minne, som kan unyttes av en angriper til å eksekvere ondsinnet programvare, med samme rettigheter som innlogget bruker. En potensiell angrepsmetode er å lure en bruker til å aksesere en webapplikasjon som er designet til å utnytte svakheten.
Anbefaling
Begrense tilgangen til JScript.dll
Referanser
https://portal.msrc.microsoft.com/en-US/secur[...] https://www.engadget.com/2020/01/18/microsoft[...]

2020.01.17 - Nyhetsbrev

APT-gruppe tar kontroll over sårbare Citrix Netscaler-installasjoner.

APT-gruppe tar kontroll over sårbare Citrix Netscaler-installasjoner

FireEye har skrevet en bloggpost der de har oppdaget en avansert aktør som installerer en bakdør på sårbare Netscaler-installasjoner. Aktøren patcher også svakheten og fjerne annen malware, slik at ingen andre kan utnytte den samme svakheten. FireEye mistenker at aktøren prøver å få kontroll over flest mulig maskiner for å kunne utnytte disse til videre angrep senere.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

2020.01.16 - Nyhetsbrev

Kritisk Windows-sårbarhet fra NSA vist fram i demo.

Kritisk Windows-sårbarhet fra NSA vist fram i demo

Kritisk Microsoft svakhet, CVE-202-0601, ble demonstrert utnyttet under 24 timer etter at den ble kjent. Forskeren Saleem Rashid demonstrerte på onsdag hvordan svakheten kan utnyttes til å lage falske sertifikater til både github.com og nsa.gov som Windows og nettleseren stolte på.
Anbefaling
Oppdater hvis mulig
Referanser
https://arstechnica.com/information-technolog[...]

2020.01.15 - Nyhetsbrev

Microsoft tetter alvorlige svakheter i sikkerhetsoppdatering for januar. Oracle gir ut hele 334 patcher i kvartalsvis sikkerhetsoppdatering. Apple nekter å bygge inn bakdør i iPhone. Microsoft har gitt ut de siste patcher for Windows 7. Sikkerhetsoppdateringer fra Intel for en rekke produkter. Datingnettstedene Grindr, OkCupid, og Tinder bryter GDPR iflg. udersøkelse utført av Forbrukerrådet. Svakhet for lokal rettighetseskalering avslørt i VMware Tools for Windows. Google planlegger å fase ut tracking cookies og user-agent strings.

Microsoft tetter alvorlige svakheter i månedlig sikkerhetsoppdatering

Microsoft har sluppet sin månedlige oppdatering for januar. Denne gangen er det 49 oppdateringer, hvorav 7 anses som kritiske. Spesiell oppmerksomhet bør vies CVE-2020-0601, som befinner seg i Windows sitt CryptoAPI (Crypt32.dll), og omhandler en alvorlig svakhet relatert til verifisering av ECC-sertifikater. Svakheten kan utnyttes til å signere filer vha. forfalskede sertifikater slik at de fremstår som signert av en troverdig kilde. Svakheten kan også utnyttes til å utføre man-in-the-middle angrep og dekryptere kryptert kommunikasjon.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]

Oracle gir ut 334 patcher i deres kvartalsvise sikkerhetsoppdatering

Oracle har sluppet sin kvartalsvise sikkerhetsoppdatering. Denne gangen er det hele 334 patcher/svakheter som adresseres. Se referanse for mer utdypende informasjon.
Referanser
https://www.oracle.com/security-alerts/cpujan[...]

Apple nekter å bygge inn bakdør i iPhone

Justisministeren William Barr har bedt Apple om å låse opp telefonen som tilhørte mannen som angivelig står bak skyteepisoden i Pensacola, Florida. Det er per i dag ikke mulig for Apple å dekryptere innholdet på telefonen, og selskapet nekter å installere en bakdør som vil gjøre det mulig for etterretnings-organisasjoner å gjøre det ved fremtidige anledninger. De legger vekt på at det ikke er mulig å designe en bakdør uten å risikere at denne kan misbrukes av andre som utgjør en trussel for nasjonal sikkerhet.
Referanser
https://www.inputmag.com/culture/apple-respon[...] https://www.inputmag.com/culture/attorney-gen[...]

Microsoft har gitt ut de aller siste patchene for Windows 7

Med tirsdagens patchedag for Microsoft-produkter er det nå End-of-Life for patching til Windows 7. Det finnes fortsatt millioner av maskiner som ikke er oppgradert og som dermed vil være sårbare for sikkerhetssvakheter som fikses fremover. Det anbefales å jobbe mot å oppdatere til Windows 10 så snart som mulig, selv om det for bedrifter er mulig å kjøpe utvidet Windows 7 sikkerhetsstøtte i perioden fremover.
Referanser
https://www.microsoft.com/en-us/windows/windo[...]

Sikkerhetsoppdateringer fra Intel

Intel har gitt ut sikkerhetsoppdateringer for en rekke produkter, inkl. grafikk-driverne for de fleste nyere prosessorer. Svakhetene kan bl.a. utnyttes til lokal rettighetseskalering og uautorisert tilgang til informasjon. Blant de andre produktene finner man bl.a. VTune Amplifier for Windows, Data Analytics Acceleration Library (DAAL) og RAID Web Console (RWC) 3 for Windows.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Grindr, OkCupid, og Tinder bryter GDPR iflg. Forbrukerrådet-undersøkelse

Datingtjenestene Grindr, OkCupid, og Tinder blir, i en undersøkelse utført av Forbrukerrådet, beskyldt for å dele brukerinformasjon med reklame-selskaper på en måte som bryter med personvernlovgivning/GDPR.
Referanser
https://www.zdnet.com/article/study-says-grin[...] https://www.forbrukerradet.no/siste-nytt/anno[...]

Lokal rettighetseskalering i VMware Tools

Det har blitt påvist en race-condition svakhet i VMware Tools for Windows version versjon 10.x.y. Svakheten kan utnyttes av en eksisterende bruker til å tilegne seg eskalerte rettigheter på et Windows VM. Svakheten er fikset i VMware Tools versjon 11.0 og nyere.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Google planlegger å fase ut tracking cookies og user-agent strings

I en uttalelse melder Google at de ønsker å styrke kundenes personvern ved å begrense mulighetene for å spore enkeltpersoner på tvers av nettsteder. De skal blant annet fase ut User-Agent (UA) strings og tracking cookies over en periode på to år. Teknisk direktør for Google, Justin Schuh, sier at det vil ta tid å innføre endringene, da nettsteder som i dag er avhengig av teknologien trenger tid til å forberede seg på en overgang. Google nevner ikke om de kommer til å endre hvordan de selv utfører datainnsamling per i dag.
Referanser
https://www.nbcnews.com/tech/tech-news/cookie[...] https://www.zdnet.com/article/google-to-phase[...]

Sikkerhetshull i Citrix ADC og Citrix Gateway

Et sikkerhetshull i Citrix ADC og Citrix Gateway har nylig fått publisert en åpen Exploit, som gjør at man kan bla i filsystemet ved hjelp av adressefeltet i nettleseren. Det finnes foreløpig ingen patch for svakheten, men det anbefales på det sterkeste å begrense muligheten til å utnytte svakheten ved å følge oppskriften fra Citrix. Mange bedrifter og offentlige institusjoner i Norge er dessverre fortsatt sårbare for denne svakheten.
Anbefaling
Utfør disse begrensningene beskrevet av Citrix: https://support.citrix.com/article/CTX267679
Referanser
https://support.citrix.com/article/CTX267027 http://packetstormsecurity.com/files/155947 https://www.theregister.co.uk/2020/01/13/secu[...]

2020.01.14 - Nyhetsbrev

Det ryktes at Microsoft i kveld kommer til å slippe en patch for en hittil ukjent kritisk svakhet i Windows CryptoAPI. Dette skjer i forbindelse med den månedlige utsendingen av patcher.

Rykter om patch av hittil ukjent kritisk svakhet i Windows CryptoAPI

Det ryktes om at en hittil ukjent kritisk svakhet i en Windows komponent, crypt32.dll, som håndterer sertifikat og kryptografiske meldingsfunksjoner i Microsoft CryptoAPI. Svakheten skal gjelde alle versjoner av Windows og ryktene sies at den er inkludert i kommende patch. CryptoAPI brukes av utviklere til å sikre Windows applikasjoner med kryptografi og inkluderer funksjonalitet for å kryptere og dekryptere data med digitale sertifikater. En kritisk svakhet i denne komponenten kan ramme autentisering på Windows maskiner, beskyttelse av sensitiv data som håndteres av Internet Explorer/Edge nettlesere og en rekke andre tredjeparts applikasjoner og verktøy. Svakheten kan også utnyttes slik at malware kan se ut som et legitimt program signert av et legitimt selskap.
Referanser
https://krebsonsecurity.com/2020/01/cryptic-r[...]

2020.01.13 - Nyhetsbrev

En person fengslet for å ha hacket kontoer til det britiske lotteriet.

En person fengslet for å ha hacket kontoer til det britiske lotteriet

Anwar Braston fra Notting Hill i London har blitt fengslet i forbindelse med et angrep på det britiske lotteriet. Vedkommende skal ha distribuert verktøyet Sentry MBA og veiledet andre som skulle bruke det for å skaffe seg tilgang til brukerkontoer på nettsiden. Anwar tilbød denne tjenesten i bytte mot en prosentandel av fortjenesten. Personen som ble offer for angrepet hadde dessverre bare 13 britiske pund på kontoen sin og Anwar tjente derfor hele 5 pund før han ble oppdaget og er nå nødt til å sone 9 måneder i fengsel.
Referanser
https://www.theregister.co.uk/2020/01/10/nati[...] https://www.theregister.co.uk/2016/03/02/sent[...]

2020.01.10 - Nyhetsbrev

Sentinel Labs analyserer PowerTrick. Juniper og Cisco har oppdatert flere av sine produkter. Aktive skanninger etter kritisk sikkerhetsfeil i NetScaler. Ny skadevare treffer Bapco. Travelex rammet av ransomware-angrep. Ny versjon av Google Chrome blokkerer notifikasjoner automatisk.

Sentinel Labs analyserer PowerTrick

Sentinel Labs har sluppet en rapport hvor de analyserer PowerTrick, et offensivt verktøy utviklet av den russiske nettkriminalitetsgruppen TrickBot. Verktøyet er laget for å ligge skjult, i legere tid, å utføre rekognosering på infiserte mål av høy verdi, som for eksempel finansinstitusjoner.
Referanser
https://labs.sentinelone.com/top-tier-russian[...]

Juniper har oppdatert flere av sine produkter

Juniper har sluppet sikkerhetsoppdateringer for en rekke av deres produkter.
Referanser
https://kb.juniper.net/InfoCenter/index?page=[...]

Cisco oppdaterer flere produkter

Cisco har sluppet en sikkerhetsoppdatering til en rekke av sine produkter.
Referanser
https://tools.cisco.com/security/center/publi[...]

Aktive skanninger etter kritisk sikkerhetsfeil i NetScaler

Sikkerhetsforskere advarer om aktive skanninger etter en kritisk sikkerhetsfeil i Citrix-servere. Sårbarheten (CVE-2019-19781) ble avslørt i desember og påvirker Citrix Application Delivery Controller - også kjent som NetScaler ADC og Citrix Gateway, tidligere kjent som NetScaler Gateway. Svakheten gjør det mulig for en angriper å utføre ekstern kjøring av kode.
Referanser
https://www.zdnet.com/article/hackers-probe-u[...]

Ny skadevare treffer Bapco

Bapco (Bahrains nasjonale oljeselskap) ble den 29. desember truffet av en ny versjon av skadevaren Dustman, en skadevare designet for å slette data på infiserte maskiner. Dustman representerer den tredje skadevaren knyttet til stats-støttede hacker-grupper.
Referanser
https://www.zdnet.com/article/new-iranian-dat[...]

Travelex rammet av ransomware-angrep

Vekslingsselskapet Travelex har blitt rammet av et ransomware-angrep. Gruppen Sodinokibi, også kjent som REvil, har påtatt seg ansvaret for angrepet og har fortalt BBC at de krever 6 millioner amerikanske dollar i løsepenger fra Travelex. I tillegg til dette hevder gruppen at de har hentet ut 5GB med kunde-informasjon som de kommer til å lekke dersom selskapet ikke betaler.
Referanser
https://www.bbc.com/news/business-51017852

Ny versjon av Google Chrome blokkerer notifikasjoner automatisk

Versjon av Google Chrome, som blir tilgjengelig tidlig i Februar blokkerer automatisk notifikasjoner. Mozilla Firefox la nylig til den samme funksjonaliteten.
Referanser
https://www.zdnet.com/article/google-chrome-t[...]

2020.01.09 - Nyhetsbrev

Mozilla hasteoppdaterer Firefox. Nytt vellykket angrep mot SHA1 algoritmen. (Medium)

Mozilla hasteoppdaterer Firefox

En kritisk sårbarhet i Firefox, som blir utnyttet i angrep, fjernes i siste oppdatering fra Mozilla. Det anbefales å oppdatere Firefox til nyeste oppdatering (72.0.1) snarest ettersom sårbarheten er kritisk.
Referanser
https://www.digi.no/artikler/mozilla-med-nodf[...] https://www.mozilla.org/en-US/security/adviso[...] http://

Nytt vellykket angrep mot SHA1 algoritmen.

Tre år etter algoritmen SHA1 ble utnyttet første gang er det nå et nytt og mer kraftfullt angrep mot algoritmen som gir angriper større fleksibilitet. å tross av at SHA1 har gradvis blitt faset ut siste 5 år er det fortsatt mange sikkerhetsprogramvare og systemer som fortsatt bruker SHA1, og disse er utsatt for denne type angrep. Blant annet er det mulig å lage digitalt signerte SHA1 PGP nøkler, slik at man kan utgi seg for å være andre.
Anbefaling
Referanser
https://arstechnica.com/information-technolog[...]

2020.01.08 - Nyhetsbrev

Phishing utnytter add-ins i Microsoft Office 365. Mozilla ute med Firefox 72

Mozilla ute med Firefox 72

Mozilla har nå gitt ut Firefox 72. I tilegg til å fikse 5 svakheter klassifisert med høy viktighet, skal den nye versjonen av nettleseren også beskytte mot såkalt fingeravtrykksporing. Istedet for at selskaper utnytter cookies for å identifisere brukere, kan nettsteder lage et slags fingeravtrykk basert på diverse kjennetegn til maskinen. Firefox 72 viser heller ikke automatisk varslingsmeldingen som spør om man vil slå på varslinger på et nettsted, hvor man nå må trykke på en knapp i navbar-en for å få denne opp.
Referanser
https://www.bleepingcomputer.com/news/softwar[...]

Phishing utnytter add-ins i Microsoft Office 365

KrebsOnSecurity skriver om en type phishing som, istedet for å prøve å lure til seg passordet, prøver å oppnå full tilgang til kontoen via en digital token. Phishing-linken som en bruker får vil først gå til den legitime Microsoft login siden. Om brukeren logger inn, vil brukeren bli spurt om man vil gi et sett med tilganger til en tjeneste. Om man aksepterer dette vil en ondsinnet app/aktør få full tilgang til innholdet på kontoen, selv om brukeren endrer passord i etterkant. Denne typen tilgang omgår også to-faktor autentisering. Aktøren vil ha full tilgang til innholdet på kontoen helt til add-in programmet blir fjernet av Microsoft eller av en systemadministrator. Anbefalingen fra PhishLabs er at Microsoft Office 365 administratorer fjerner muligheten for å installere tredjeparts add-ins, eller begrenser det til kun add-ins fra den offisielle Microsoft butikken.
Referanser
https://krebsonsecurity.com/2020/01/tricky-ph[...]

2020.01.07 - Nyhetsbrev

Ondsinnede apper på Google Play linket til APT gruppe. Artikkel om selskaper som driver med feilinformasjon i stor skala.

Ondsinnede apper på Google Play linket til APT gruppe

Forskere hos TrendMicro har funnet 3 ondsinnede applikasjoner på Google Play som dem mistenker er linket til APT gruppen SideWinder. En av disse applikasjonene utnytter en svakhet som ble fikset i Oktober. Svakheten gjorde det mulig å få root tilganger på diverse enheter, slik som Pixel 1 og Pixel 2, med flere. Etter å ha utnyttet svakheten installerte applikasjonen en annen applikasjon, callCam, som er kjent for å kunne hente en stor del sensitive informasjon ifra telefonen. Applikasjonen som ble installert skjulte også ikonet sitt for å unngå å bli oppdaget.
Referanser
https://arstechnica.com/information-technolog[...]

Artikkel om selskaper som driver med feilinformasjon i stor skala

BuzzFeedNews har en lengre artikkel om selskaper som lever av å feilinformere lesere. I artikkelen skrives det blant annet om en person som gjør dette via automatikk. Flere servere kravler rundt på nettet for å hente inn informasjon fra kinesiske nettsteder, før systemet organiserer inneholdet til en ny artikkel, som da blir lagt ut på nettsteder som personen har kontroll over. Når innholdet er lagt ut, blir det linket til ifra og diskutert om i flere tusen falske sosiale medie-kontoer som personen også har kontroll over. Alt dette for å kunne manipulere den offentlige meningen om en gitt sak eller person.
Referanser
https://www.buzzfeednews.com/article/craigsil[...]

2020.01.06 - Nyhetsbrev

Firmaet The Heritage Company, som driver med telefonsalg, er rammet av ransomware-angrep.

The Heritage Company rammet av stort ransomware-angrep

The Heritage Company, som jobber med telefonsalg, skal ha blitt offer for et stort ransomware-angrep. Firmaet har angivelig betalt en ukjent løsepengesum til angriperne, men det er ikke sikkert at de er i stand til å fortsette driften. Omlag 300 ansatte står dermed uten arbeid og har fått beskjed om at de står fritt til å søke jobb hos en annen arbeidsgiver mens de forsøker å få opp igjen systemene.
Referanser
https://threatpost.com/ransomware-attack-topp[...]

2020.01.03 - Nyhetsbrev

Utvidelse til Google Chrome stjeler informasjon om krypto-lommebøker. Cisco med kritiske oppdateringer til DCNM.

Utvidelse til Google Chrome stjeler informasjon om krypto-lommebøker

En utvidelse til Google Chrome, Shitcoin Wallet, injiserer JavaScript kode for å stjele passord og sertifikater til elektroniske krypto-lommebøker. Utvidelsen, som forøvrig kun har blitt lastet ned 625 ganger, har vært ute i litt under en måned og er fremdeles tilgjengelig for nedlastning. Det er ikke kjent om utvikleren er ansvarlig for den skadelige koden, eller om utvidelsen har blitt kompromittert av en tredjepart.
Referanser
https://www.zdnet.com/article/chrome-extensio[...]

Cisco med kritiske oppdateringer til DCNM

Cisco slipper flere kritiske oppdateringer til DCNM (Data Center Network Manager). Sikkerhetsoppdateringene retter blant annet en feil som gir en angriper mulighet til å omgå autentisering.
Anbefaling
Oppdater berørte enheter.
Referanser
https://www.securityweek.com/cisco-dcnm-users[...]

2020.01.02 - Nyhetsbrev

Microsoft saksøker Nord-Koreansk APT-gruppe. Amerikansk marineanlegg kompromittert av Ryuk ransomware.

Microsoft saksøker Nord-Koreansk APT-gruppe

Microsoft saksøker nå APT-gruppen Thallium fra Nord-Korea for å ha urettmessig skaffet seg tilgang til diverse Microsoft-kontoer. Gruppen har vært aktiv siden rundt 2010 og er ansvarlige for en rekke spear-phishing angrep. I forbindelse med søksmålet har Microsoft fått tillatelse til å ta ned over 50 domener som er tilknyttet angrepene. Domenene ble benyttet til å sende phishing e-poster, samt å hoste phishing-sider. Microsoft har også i nyere tid opplevd angrep fra andre APT-grupper, deriblant Strontium fra Russland og Phosphorus fra Iran.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://edition.cnn.com/2019/12/30/tech/micro[...] https://www.zdnet.com/article/microsoft-takes[...]

Amerikansk marineanlegg kompromittert av Ryuk ransomware

Den amerikanske kystvakten la ut informasjon om et vellykket ransomware-angrep mot et av deres anlegg. Angrepet forstyrret nettverk, kamera-tilgang, adgangssystemer og tilgang til flere interne overvåkningsløsninger. Angrepet kom via en phishing-mail og tok ned store deler av anleggets IT-systemer som igjen resulterte at hele anlegget ble stengt i mer enn 30 timer. Tidligere tilsvarende angrep har blitt sporet tilbake til kinesiske aktører. Det er foreløpig uklart hvilken aktør som har forårsaket det siste angrepet, da saken fortsatt er under etterforskning.
Referanser
https://www.zdnet.com/article/us-coast-guard-[...]