2020.08.31 - Nyhetsbrev

Magecart-inspirert programvare markedsføres og selges av kriminelle. Cisco fikser flere kritiske feil som påvirket svitsjer . Kompromitterte SendGrid-kontoer benyttes i spam- og phishing-kampanjer. Svakhet i håndtering av multicast kontrollmeldinger i Cisco IOS XR.

Magecart-inspirert programvare markedsføres og selges av kriminelle

Magecart er en gruppe som har brukt ulike teknikker for å injisere kode i nettbutikker for å høste betalingskortinformasjon. Threatpost skriver om ny forskning som har sett på annen tilgjengelig programvare, sniffere, som gjør denne typen angrep mulig for flere aktører. Programvaren markedsføres og selges på det mørke nettet.
Referanser
https://threatpost.com/magecarts-success-pave[...]

Cisco fikser flere kritiske feil som påvirket svitsjer

Ni sårbarheterhar blitt fikset av Cisco, blant disse var åtte kritiske feil. De kritiske sårbarhetene er CVE-2020-3397, CVE-2020-3398, CVE-2020-3338, CVE-2020-3415, CVE-2020-3517 og CVE-2020-3454. De to sårbarhetene CVE-2020-3397 og CVE-2020-3398 påvirket Cisco NX-OS og gjorde det mulig for angripere å gjennomføre DOS angrep. Cisco har allerede publisert oppdateringer som fikser sårbarhetene.
Referanser
https://threatpost.com/cisco-high-severity-bu[...]

Kompromitterte SendGrid-kontoer benyttes i spam- og phishing-kampanjer

SendGrid er en platform som benyttes av en rekke bedrifter for å sende transaksjons- og markedsførings-eposter til sine kunder. Flere brukerkontoer har nå blitt kompromittert og benyttes aktivt i spam- og phishing kampanjer. Grunnet sin popularitet er det vanskelig å filtrere ut spam fra SendGrid. Videre er lenker automatisk obfuskerte, da de benyttes til å samle inn analytiske data. Dette gjør at brukere ikke kan se hvor en lenke tar dem før de klikker på den. Flere av de kompromitterte kontoene har blitt lagt ut for salg på nett og prisen justeres ut i fra epost-grensen til den aktuelle kontoen. SendGrid planlegger å kreve 2FA-autentisering fra kundene for å motvirke problemene.
Referanser
https://krebsonsecurity.com/2020/08/sendgrid-[...]

Svakhet i håndtering av multicast kontrollmeldinger i Cisco IOS XR

Cisco melder om en svakhet i måten iOS XR håndterer DVMRP (istance Vector Multicast Routing Protocol)-meldinger. Svakheten gjør det mulig for en angriper å bruke opp alt minne i en sårbar enhet, altså et tjenestenektangrep. Cisco har enda ikke sluppet noe patch for svakheten, men jobber med saken. I mellomtiden har de noen tips til hvordan svakheten kan gjøres vanskeligere å utnytte, blant annet gjennom rate-limiting.
Anbefaling
Vent på patch fra Cisco.
Referanser
https://tools.cisco.com/security/center/conte[...]

2020.08.28 - Nyhetsbrev

Rapport om den Nord-Koreanske banksvindel-gruppen BeagleBoyz. Sjef i NCSC reflekterer over Kina, Russland og teknologitillit. iOS-apper med ondsinnet kode installert av milliarder av brukere. Forskere omgår PIN-kode ved kontaktløse betalinger.

Rapport om den Nord-Koreanske banksvindel-gruppen BeagleBoyz

Amerikanske CISA, Treasury, FBI og USCYBERCOM har sluppet en rapport om den Nord-Koreanske gruppen BeagleBoyz, som i februar gjenopptok sitt "arbeid" med å svindle internasjonale banker.
Referanser
https://us-cert.cisa.gov/ncas/alerts/aa20-239a

Sjef i NCSC reflekterer over Kina, Russland og teknologitillit

Avtroppende sjef i NCSC, Ciaran Martin, reflekterer over Kina, Russland og generelt om teknologitillit.
Referanser
https://www.bbc.com/news/technology-53918588

iOS-apper med ondsinnet kode installert av milliarder av brukere

Et populært kinesisk mobilannonserings-SDK (utviklings verktøy) har vist seg å inneholde ondsinnet kode som kan spionere på iOS-brukere og stjele annonseinntekter. SDK-en brukes på tvers av 1200 forskjellige iOS-apper, med over 300 millioner nedlastinger per måned. Det kinesiske annonsenettverket Mintegral har avvist alle anklagene.
Referanser
https://www.techradar.com/news/malicious-code[...]

Forskere omgår PIN-kode ved kontaktløse betalinger

Ved kontaktløst betaling med VISA-kort må en normalt taste PIN-kode ved betalinger over et visst beløp, typisk 500 kroner. En gruppe forskere har nå klart å slippe å testa PIN-koden. Dette gjøres ved koble to telefoner mellom VISA-kortet og betalingsterminalen. Telefonene emulerer et VISA-kort og en betalingsautomat. Ved å manipulere trafikken mellom telefonene, kan transaksjonen endres slik at den egentlige betalingsautomaten får beskjed om at PIN-kode ikke er nødvendig.
Referanser
https://www.zdnet.com/article/academics-bypas[...]

2020.08.27 - Nyhetsbrev

Mozilla og Google har oppdatert nettlesere. En gruppe cyberkriminelle driver med DDoS-utpressing mot flere av verdens største finansvirksomheter. Russer arrestert i USA etter forsøk på å installere malware.

Mozilla har sluppet oppdateringer for flere produkter

Mozilla har sluppet oppdateringer for Firefox, Firefox ESR og Thunderbird. Flere av svakhetene lar en angriper ta kontroll over et sårbart system.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

En gruppe cyberkriminelle driver med DDoS-utpressing mot flere av verdens største finansvirksomheter

Flere finansvirksomheter har blitt mål for DDoS-utpressing, deriblant New Zeland Stock Exchange(NZX), PayPal og MoneyGram. Hackegruppen krever Bitcoin-betalinger for å stoppe angrepene og har lånt kjente hackegruppe-navn når de sender krav på epost. Akamai bekreftet 24. august at de har sett gruppen utføre angrep med opp mot 200 Gb/s.
Referanser
https://www.zdnet.com/article/ddos-extortioni[...] https://www.bbc.com/news/53918580

Google slipper ny versjon av Chrome for Windows, Mac og Linux

Google har sluppet Chrome 85. To av svakhetene har fått kategori "high", mens 12 har fått "low/medium".
Referanser
https://chromereleases.googleblog.com/2020/08[...]

Russer arrestert i USA etter forsøk på å installere malware

En russisk statsborger har blitt arrestert av FBI. Mannen prøvde å få en ansatt i et ikke-navngitt firma i Nevada til å installere malware på IT-systemene hos sin arbeidsgiver. Russeren tilbød angivelig 1 million USD for jobben. Formålet med malwaren skulle være å ta ned nettverket ved å spre ransomware internt og så skreve løsepenger.
Referanser
https://thehackernews.com/2020/08/russian-ext[...] https://arstechnica.com/information-technolog[...]

2020.08.26 - Nyhetsbrev

F-Secure slipper rapport om Lazarus-gruppen fra Nord-Korea. Gruppen har i det siste angrepet flere firmaer som driver med kryptovaluta.

F-Secure slipper rapport om Lazarus-gruppen fra Nord-Korea

F-Secure har sporet Lazarus-gruppen til flere phishing-angrep rettet mot kryptovaluta-tjenester og børser. En oversikt over taktikker, teknikker og prosedyrer er sluppet i en større rapport. Mye av aktiviteten foregår via LinkedIn, der ansatte får tilsendt dokumenter med makroer.
Referanser
https://www.theregister.com/2020/08/25/lazaru[...] https://www.f-secure.com/en/press/p/dprk-alig[...]

2020.08.25 - Nyhetsbrev

Usikrede RDP-endepunkter oftest brukt i Ransomware-angrep i 2020.

Usikrede RDP-endepunkter oftest brukt i Ransomware-angrep i 2020

Det har vært en mengde ransomware-angrep rettet mot bedriftssektoren i første halvår av 2020. Angriperne ser ut til å prioritere et sett inntrengningsmetoder som har fungert bra i år. De tre mest populære metodene inkluderer usikrede RDP-endepunkter, phishing via e-post og utnyttelse av bedriftens VPN-endepunkter. Øverst på listen har vi Remote Desktop Protocol (RDP). Rapporter fra Coveware, Emsisoft og Recorded Future setter klart RDP som den mest populære inntrengningsvektoren og kilden til de fleste hendelser i ransomware i 2020. RDP-tjenester bør aldri være direkte eksponert fra en bedrift mot Internet.
Referanser
https://www.zdnet.com/article/top-exploits-us[...]

2020.08.24 - Nyhetsbrev

Dataangrep mot Sykehuset Innlandet HF

Dataangrep mot Sykehuset Innlandet HF

22. august ble det avdekket av Sykehuspartner HF at en hittil ukjent trusselaktør har gjennomført et angrep mot enkelte tjenester som er og skal være eksponert mot internett. Tjenestene driftes av Sykehuset Innlandet HF. Det antas at trusselaktøren kan ha hentet ut personsensitiv informasjon fra disse tjenestene. Sykehuset Innlandet har satt igang flere tiltak for å begrense skadeomfanget og har isolert og tatt ned de berørte tjenestene.
Referanser
https://sykehuset-innlandet.no/om-oss/aktuelt[...] https://direkte.vg.no/nyhetsdognet/news/dataa[...]

2020.08.21 - Nyhetsbrev

APT gruppen Transparent Tribe igang med en pågående spionasjekampanje. Gmail og G Suite svakhet rettet 7 timer etter oppdagelsen. Microsoft slipper kritiske sikkerhetsoppdateringer for Windows 8.1 og Server 2012 R2

APT gruppen Transparent Tribe igang med en pågående spionasjekampanje

APT gruppen Transparent Tribe er igang med en spionasjekampanje, som har militær og diplomatiske mål verden over. Kaspersky har observert spearphishing e-poster med dokumenter som inneholder en RAT (Remote Access Trojan) kalt Crimson. Så langt er det 1093 mål i 27 land som har blitt utsatt, hvor de fleste er land som Afghanistan, Tyskland, India, Iran og Pakistan. Gruppen har nå også oppdatert Crimson med ny funksjonalitet som gjør det mulig for dem å administrere infiserte maskiner, samt lese filer på og spre seg via USB largingsmediumer.
Referanser
https://threatpost.com/transparent-tribe-ongo[...]

Gmail og G Suite svakhet rettet 7 timer etter oppdagelsen

Det ble nylig funnet et sikkerhetshull i Gmail og G Suite som gjorde at hvem som helst kunne sende e-post fra en hvilken som helst gmail konto. Dette ble fikset av Google 7 timer etter at det ble oppdaget.
Referanser
https://www.zdnet.com/article/google-fixes-ma[...]

Microsoft slipper kritiske sikkerhetsoppdateringer for Windows 8.1 og Server 2012 R2

Microsoft har sluppet en kritisk oppdatering for Windows 8.1 og Server 2012 R2. Denne tetter svakhetene CVE-2020-1530 og CVE-2020-1537 som angår Remote Access Service, som tillater eskalering av rettigheter.
Referanser
https://thehackernews.com/2020/08/windows-upd[...]

Cisco slipper kritisk patch for ENCS 5400-W og CSP 5000-W seriene

Cisco har sluppet en kritisk patch for ENCS 5400-W og CSP 5000-W seriene. Svakheten er at det ligger statiske brukere med standard statisk passord, som kan brukes til rettighetseskalering.
Anbefaling
Oppdater til siste firmware
Referanser
https://www.zdnet.com/article/cisco-bug-warni[...]

2020.08.20 - Nyhetsbrev

Nytt sofistikert P2P-botnet avdekket: FritzFrog,

Nytt sofistikert P2P-botnet avdekket

Guardicore har avdekket et nytt sofistikert P2P-botnet med navn FritzFrog, som har brutt seg inn i systemer via SSH siden januar 2020. FritzFrog bruker brute-force teknikker for å kompromittere systemene. Etter at systemet er kompromittert, legges det inn en bakdør som gir angriperne varig tilgang til systemet. Til nå har de tatt kontroll over mer enn 500 systemer og ser ikke ut til å ha en spesifikk sektor som mål. De infiserte maskinene blir typisk brukt til å utvinne kryptovaluta.
Referanser
https://www.guardicore.com/2020/08/fritzfrog-[...]

2020.08.19 - Nyhetsbrev

Økning i antall spear-phishing angrep utført via telefon (vishing).

Økning i antall spear-phishing angrep utført via telefon (vishing)

Etter Twitter-innbruddet i juli har flere selskaper blitt rammet av samme angrepsteknikk. Selskapet ZeroFox melder at det tilsynelatende er stort sett yngre personer, uten tilknytting til organisert kriminelle grupper, som står bak angrepene. Disse selger tilgang til større firmaer videre til høystbydende. Angriperne ringer i noen tilfeller til hundrevis av ansatte for å prøve å lure ut intern informasjon og få tilgang.
Referanser
https://www.wired.com/story/phone-spear-phish[...]

2020.08.18 - Nyhetsbrev

Svindlere prøver å få tilgang til canadiske Covid19-utbetalinger. Carnival Corp utsatt for ransomware-angrep.

Svindlere prøver å få tilgang til canadiske Covid19-utbetalinger

Svindlere har angrepet innloggingssystemet til det canadiske skattevesenet ved å forsøke å logge inn med brukernavn/passord fra gamle datalekkasjer, såkalt credential stuffing. Systemet har rundt 12 millioner aktive kontoer, og så langt er 9014 kompromittert. Etter at angriperne får kontroll over en konto, skifter de epost-adresse og bankdetaljer for å prøve å få utbetalt Covid-19-støtte.
Referanser
https://www.canada.ca/en/treasury-board-secre[...] https://isc.sans.edu/diary/Password+Reuse+Str[...] http://securityaffairs.co/wordpress/107232/ha[...]

Carnival Corp utsatt for ransomware-angrep

Cruise-operatøren Carnival Corp ble utsatt for et ransomware-angrep 15. august. Noen datasystemer ble kryptert og angriperne fikk også kopierte ut personlig informasjon om både ansatte og kunder. Hendelsen er meldt til politiet og undersøkelser pågår.
Referanser
https://www.zdnet.com/article/worlds-largest-[...]

2020.08.17 - Nyhetsbrev

Petroleumstilsynet utsatt for phishing-angrep.

Petroleumstilsynet utsatt for phishing-angrep

En intern epost konto i Petroleumstilsynet har blitt hijacket og brukt til å sende ut eposter med onsinnede lenker til hele kontaktlisten. Epostene ser uskyldige ut men dersom man klikker på lenkene blir man utsatt for ondsinnet programvare. Petroleumstilsynet sier at det tilsynelatende kun er én epost-konto som har blitt hijacket. Det er under ett år siden nabobygget til Petroleumstilsynet, Oljedirektoratet også ble utsatt for et phishing-angrep i form av faktura-svindel.
Referanser
https://www.digi.no/artikler/petroleumstilsyn[...]

2020.08.14 - Nyhetsbrev

FBI og NSA avslører ny Linux-malware Drovorub. Hacker gruppe retter seg mot forsvarssektoren til Israel.

FBI og NSA avslører ny Linux-malware Drovorub

FBI og NSA sender ut et sikkerhetsvarsel som inneholder tekniske detaljer om ny Linux-malware som er utviklet av Russlands militære hackere. De to etatene mener at russiske hackere har brukt en malware kalt Drovorub for å plante bakdører i kompromitterte nettverk. Etatene mener hackergruppen APT28 (Fancy Bear, Sednit) står bak Drovorub-malwaren. For å forhindre angrep, anbefales det å oppdatere Linux-systemer til versjon 3.7 eller nyere, "for å dra full nytte av håndhevelse av kjernesignering", en sikkerhetsfunksjon som vil forhindre APT28-hackere i å installere Drovorubs rootkit.
Referanser
https://www.zdnet.com/article/fbi-and-nsa-exp[...]

Hacker gruppe retter seg mot forsvarssektoren til Israel

Israelske forsvarsdepartementet melder om at de har observert at hackere med knyttninger til Nord-Korea har rettet seg mot den israelske forsvarssektoren med falske jobb tilbud. Hackerene, som i følge det Israelske forsvarsdepartement er en del av Lazarus Group, sendte falske jobbtilbud via LinkedIn. Lazarus Group har tidligere blitt linket til Nord Korea av USA. Hackerene sitt mål har vært å kompromittere ansattes maskiner, komme inn i nettverket og stjele sensitiv sikkerhetsinformasjon. Forsøkene mot Israelsk forsvarssektor ble blokkert, melder det Israelske forsvarsdepartementet.
Referanser
https://www.cyberscoop.com/north-korea-hacker[...]

2020.08.13 - Nyhetsbrev

Google påpeker feil i Microsoft sin sikkerhetsoppdatering av CVE-2020-1509 (LSASS). Artikkel om svindel av 100 millioner bistandspenger fra Norfund. Russisk-språklig gruppe har hacket bedrifter i tre år.

Russisk-språklig gruppe har hacket bedrifter i tre år

Group-IB skriver om grupperingen Red Curl som har hacket bedrifter i tre år, stort sett uten å bli oppdaget. Grupperingen skal ha stått bak minst 26 datainnbrudd siden 2018. Målet med operasjonene er industrispionasje.
Referanser
https://www.zdnet.com/article/redcurl-cybercr[...] https://www.group-ib.com/resources/threat-res[...]

Google påpeker at bug ikke er patchet i månedens oppdatering fra Microsoft

Google påpeker at Microsoft sin august oppdatering ikke fikset CVE-2020-1509 som planlagt. Dette gjelder en svakhet i Windows Local Secutiry Authority Subsystem Service (LSASS).
Referanser
https://www.zdnet.com/article/google-to-micro[...]

Artikkel om hvordan 100 bistandsmillioner ble svindlet fra Norfund

Bistandsaktuelt.no har skrevet en artikkel som skildrer hvordan Norfund ble svindlet for omtrent 100 millioner norske kroner i mars.
Referanser
https://bistandsaktuelt.no/nyheter/2020/norfu[...] https://www.norfund.no/norfund-er-utsatt-for-[...]

2020.08.12 - Nyhetsbrev

Microsoft, Citrix og Adobe har sluppet månedens oppdateringer. Aalborg Universitet skal ha stengt ned interne systemer etter at det ble oppdaget at uvedkomne hadde fått tilgang til en brukerdatabase. Google har sluppet oppdatering til Chrome. Telenor har sluppet rapporten Digital Sikkerhet 2020.

Microsoft patchetirsdag for August - 120 patcher

Microsoft har sluppet denne månedens oppdateringer, der 120 ulike svakheter fikses. Av disse svakhetene er 17 vurdert som kritiske. Over halvparten av svakhetene er relatert til elevering av rettigheter i ulike produkter. Det er funnet svakheter som potensielt kan misbrukes til å kjøre vilkårlig kode i Internet Explorer, Outlook Preview Pane, Office, Visual Studio og Edge. To av svakhetene har allerede blitt utnyttet i aktive angrep. Kaspersky oppdaget dette i forbindelse med et angrep mot et firma i Sør-Korea. Kaspersky har skrevet mer om dette i vedlagte lenke.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...] https://isc.sans.edu/diary/rss/26452 https://krebsonsecurity.com/2020/08/microsoft[...] https://securelist.com/ie-and-windows-zero-da[...]

Adobe-oppdateringer for august

Adobe har sluppet oppdateringer til Acrobat, Acrobat Reader og Lightroom. Det fikses 11 kritiske svakheter i Acrobat Reader of Acrobat.
Referanser
https://helpx.adobe.com/security/products/acr[...] https://helpx.adobe.com/security/products/lig[...] https://threatpost.com/critical-adobe-acrobat[...]

Citrix Endpoint Management Security Update

Citrix har publisert oppdateringer til XenMobile Server som fikser en rekke svakheter. Oppdateringene rangeres som mer kritisk for enkelte versjoner.
Referanser
https://support.citrix.com/article/CTX277457

Aalborg Universitet stengte ned interne systemer etter alvorlig hendelse

Aalborg Universitet stengte i forrige uke ned alle interne systemer, etter at det ble oppdaget at uvedkommende har fått tilgang til universitetets brukerdatabase, og potensielt andre systemer relatert til forskning, økonomi og HR-opplysninger. Saken undersøkes fortsatt.
Referanser
https://www.digi.no/artikler/dansk-universite[...]

Google Chrome oppdatering fikser en rekke svakheter

Google har rullet ut oppdatering til Chrome som fikser totalt 15 ulike svakheter.
Referanser
https://chromereleases.googleblog.com/2020/08[...]

Telenor har sluppet rapporten Digital Sikkerhet 2020

Telenor Norge bærer majoriteten av den digitale kommunikasjonsinfrastrukturen i Norge og har et viktig ansvar for å sikre at nordmenn er trygge fra sabotasje og spionasje når de er på nett eller mobilen. Med denne rapporten ønsker vi å dele av egne erfaringer om trusselbilde, håndtering av sikkerhetshendelser, og ikke minst sette fokus på områder som vi anser som særdeles viktig for sikkerhetsarbeid både i virksomheter og i samfunnet.
Referanser
https://www.telenor.no/om/digital-sikkerhet/

2020.08.11 - Nyhetsbrev

Studie har funnet flere sårbarheter i DSP-delen av mobilbrikken Snapdragon brukt i over én milliard Android-mobiler.

Studie har funnet flere sårbarheter i mobilbrikken Snapdragon

Sikkerhetsselskapet Check point har analysert Qualcomms Snapdragon-brikke for sårbarheter. Denne brikken er i bruk i over én milliard Android-mobiler. De har funnet en rekke sårbarheter, noen som potensielt kan brukes til å spionere på offeret. Dette kan gjøres ved å lure en bruker til å se på en video som bruker brikkens DSP-del (Digital Signal Processing) til å dekode innholdet. Qualcomm har sluppet oppdateringer for feilene, men de har foreløpig ikke blitt introdusert i Android OSet.
Referanser
https://blog.checkpoint.com/2020/08/06/achill[...] https://www.tek.no/nyheter/nyhet/i/jd6Grb/en-[...] https://arstechnica.com/information-technolog[...]

2020.08.10 - Nyhetsbrev

Kina blokkerer web-trafikk som bruker TLS v1.3 og ESNI. Office 365 blir stadig et større mål for cyberkriminelle.

Kina blokkerer web-trafikk som bruker TLS v1.3 og ESNI

HTTPS-trafikk som bruker TLS versjon 1.3 og ESNI (Encrypted Server Name Indication) har siden slutten av juli blitt blokkert i Kinas brannmur mot resten av Internet. Den siste versjonen av TLS åpner for at domenet som besøkes blir kryptert. I noen tilfeller kan også det ukrypterte domenenavnet være noe helt annet enn det kryperte navnet. Dette kan oppnås ved å bruke en ny teknikk kalt Domain Hiding.
Referanser
https://www.digi.no/artikler/kina-blokkerer-a[...] https://www.zdnet.com/article/china-is-now-bl[...] https://www.zdnet.com/article/def-con-new-too[...]

Office 365 blir stadig et større mål for cyberkriminelle

Microsoft Office 365 blir en stadig større og viktigere del av kjernen i flere bedrifter. Office 365 er tilgjengelig i skyen, fylt med intern/sensitiv data, som gjør angrepsflaten attraktiv for cyberkriminelle og avanserte trusselaktører.
Referanser
https://www.zdnet.com/article/microsoft-offic[...]

2020.08.07 - Nyhetsbrev

Zero-Click MacOS exploit bruker Microsoft office makroer. Intersport-angriperne er blant de mest sofistikerte på nett. Intel undersøker data lekkasje etter at 20GB med interne dokumenter ble lekket på nett. Trump gir ordre om å bannlyse bruken av TikTok i USA.

Intersports nettbutikk rammet av dataangrep

Intersport har blitt utsatt for et angrep rettet mot handelsplattformen Magento. Hackergruppen Magecart, som er en gruppe som spesialiserer seg på å stjele betalingskortinformasjon, står bak. Intersport bekrefter at kundeinformasjon fra den norske nettbutikken har blitt misbrukt, men har ikke kommentert på omfanget.
Referanser
https://e24.no/teknologi/i/MR4GaE/intersport-[...] https://e24.no/naeringsliv/i/lApyaA/dataangre[...]

Zero-Click MacOS exploit bruker Microsoft office makroer.

En ny MacOS exploit chain tillater at angripere kan levere malware til MacOS brukere ved bruk av et Microsoft Office dokument med makroer. Angrepet unngår sikkerhetstiltakene til både Microsoft og Apple som skal beskytte MacOS brukere fra ondsinnede makroer. Makroen eksekveres automatisk når dokumentet åpnes og krever dermed ikke noe interaksjon fra brukeren for å starte. Apple ble opplyst om sårbarheten og har patchet den med MacOS versjon 10.15.3.
Referanser
https://threatpost.com/black-hat-zero-click-m[...]

Intel undersøker data lekkasje etter at 20GB med interne dokumenter ble lekket på nett.

Intel etterforsker en sikkerhetshendelse etter at 20GB med interne dokumenter merker "confidential" og "restricted secret" ble lastet opp til fildelingssiden MEGA. Dataene ble publisert av en Sveitsisk dataingeniør som fikk filene av en anonym hacker som angivelig skal ha hacket Intel tidligere i år. Dokumentene inneholdt dokumentasjon og spesifikasjoner for en mengde av Intel sine Chipset, datert tilbake til 2016.
Referanser
https://www.zdnet.com/article/intel-investiga[...]

Trump gir ordre om å bannlyse bruken av TikTok i USA.

Trump har utlyst en ordre som vil tre i kraft om 45 dager. Ordren vil bannlyse alle transaksjoner mellom Amerikanske bedrifter og ByteDance. Dette vil tvinge Apple og Google til å fjerne TikTok fra sine applikasjons butikker. Trump vil bannlyse applikasjonen fordi den samler inn data og potensielt sender dette til kinesiske tjenermaskiner.
Referanser
https://www.npr.org/2020/08/06/900019185/trum[...]

2020.08.06 - Nyhetsbrev

Google har sluppet sikkerhetsoppdateringer for august for Android. Datainnbrudd hos NHH – passord stjålet fra VPN-tjeneste med kjent sikkerhetshull. Canon antakelig rammet av Maze-løsepengevirus.

Google har sluppet sikkerhetsoppdateringer for august for Android

I august har Google fikset 54 sårbarheter i Android. Disse har alvorlighetsgrad fra "high" til "critical". Den mest alvorlige svakheten ligger i Androids rammeverk (Framework) og kan føre til kjøring av fiendtlig kode dersom en bruker åpner en spesiallaget fil.
Referanser
https://threatpost.com/high-severity-android-[...] https://source.android.com/security/bulletin/[...]

Datainnbrudd hos NHH – passord stjålet fra VPN-tjeneste med kjent sikkerhetshull

I gårsdagens nyhetsbrev omtalte vi en lekkasje av brukernavn og passord i forbindelse med innbrudd i sårbare Pulse VPN-servere. Svakheten som ble utnyttet ble patchet i april 2019. I forbindelse med denne saken sendte Norges Handelshøyskole (NHH) i går kveld ut en melding om at de var rammet av et datainnbrudd, og ba alle ansatte om å bytte passord. Skolen ble klar over innbruddet ved at det ble sendt ut en melding om saken fra en ansatt sin epost-konto. Den ansatte hadde imidlertid blitt hacket og hadde ikke selv sendt noen epost. NRK Beta melder at brukernavn og passord til over 300 studenter og ansatte er på avveie.
Referanser
https://www.digi.no/artikler/datainnbrudd-hos[...] https://nrkbeta.no/2020/08/06/nhh-utsatt-for-[...]

Canon antakelig rammet av Maze-løsepengevirus

Canon mistet tilgang til flere tjenester, blant annet epost, Microsoft Teams, nettsider og flere interne applikasjoner. Angriperne er kjent som Maze og påstår at de har stjålet 10 TB med data fra Canon. Maze er en cyberkriminell gruppe som er kjent for målrettede løsepengevis-angrep mot store bedrifter. Hovedsiden til Canon er fortsatt nede.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2020.08.05 - Nyhetsbrev

Passordet til 900 VPN-servere har blitt delt på nettforum. McAffee har en gjennomgang av NetWalker-løsepengeviruset.

Passordet til 900 VPN-servere har blitt delt på nettforum

Cyberkriminelle har delt en liste med passord, brukernavn, IP-adresser, SSH nøkler, admin brukere sesjonsnøkler i klartekst. Forumet hvor listen ble publisert brukes ofte av løsepengevirus-grupper for å rekruttere nye medlemmer. Alle Pulse Secure VPN serverne i listen kjører en fastvare-versjon som ikke var beskyttet mot den gamle CVE-2019-11510-svakheten. Pulse Secure VPN servere brukes ofte for fjern-tilkobling av ansatte, dermed vil en angriper få full tilgang til organisasjonens nettverk hvis en VPN-server blir kompromittert. Det anbefales å patche Pulse Secure VPN og endre passordene sine hvis serveren enda har CVE-2019-11510 svakheten.
Referanser
https://www.zdnet.com/article/hacker-leaks-pa[...]

McAffee har en gjennomgang av NetWalker-løsepengeviruset

McAffee Advanced Threat Research (ART) har tatt en gjennomgang av hvordan løsepengeviruset NetWalker fungerer. Banden bank NetWalker har tjent 25 millioner dollar i perioden fra 1. mars til 27. juli. Det har blitt mer populært å selge løsepengevirus som en tjeneste, og også NetWalker blir markedsført på denne måten nå. McAffee er usikre på hvem som står bak malwaren.
Referanser
https://www.mcafee.com/blogs/other-blogs/mcaf[...]

2020.08.03 - Nyhetsbrev

Ondsinnede aktører hacket seg inn i flere nyhets-nettsteder for å plante falske nyhetsartikler. For aller første gang innfører EU sanksjoner mot cyber-angrep. Garmin har fått tak i dekrypteringsverktøy for å gjenopprette filer etter ransomwareangrep. Cisco har fikset alvorlige feil i Cisco DCNM og flere Cisco SD-WAN programvareprodukter.

Ondsinnede aktører hacket seg inn i flere nyhets-nettsteder for å plante falske nyhetsartikler

Ondsinnede aktører har hacket seg inn i øst-europeiske nyhetssider for å spre falske nyhetsartikler. Nyhetsartiklene fokuserte på å undergrave NATO og de amerikanske troppene i Polen og Baltikum. Aksjonen blir kalt Ghostwriter og har pågått siden 2017.
Referanser
https://www.wired.com/story/hackers-broke-int[...]

For aller første gang innfører EU sanksjoner mot cyber-angrep

Det ble i dag besluttet å innføre sanksjoner mot individer som var ansvarlige for eller involvert i forskjellige cyber-angrep. Dette inkluderer angrepene som ble utført mot OPCW (Organisation for the Prohibition of Chemical Weapons). Også personer som stod bak NotPetya og Wannacry-angrepene rammes. Personene og organisasjonene som rammes kommer fra Russland, Kina og Nord-Korea. Sanksjonene medfører reiseforbud og frysing av eiendeler.
Referanser
https://www.consilium.europa.eu/en/press/pres[...] https://www.bloomberg.com/news/articles/2020-[...]

Garmin har fått tak i dekrypteringsverktøy for å gjenopprette filer etter ransomwareangrep

Etter at Garmin ble utsatt for ransomwaren WastedLocker den 23. juli, gikk flere av deres tjenester ned. Bleepingcomputer skriver nå at Garmin har fått tak i verktøy for å dekryptere filene. De skriver at ransomwaren ikke har noen kjente svakheter, og spekulerer derfor i at Garmin må ha betalt angriperne for verktøyet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Cisco har fikset alvorlige feil i Cisco DCNM og flere Cisco SD-WAN programvareprodukter

Cisco har sluppet flere sikkerhetsoppdateringer for å adressere tre kritiske svakheter som gjør det mulig å kjøre vilkårlig kode eller omgå autentisering i Cisco Data Center Network Manager og flere Cisco SD-WAN programvareprodukter.
Anbefaling
Vi anbefaler å installere de nyeste sikkerhetsoppdateringene.
Referanser
https://www.bleepingcomputer.com/news/securit[...]