2020.09.30 - Nyhetsbrev

Russisk hacker utlevert til USA og dømt til over 7 års fengselsstraff for omfattende datainbrudd.

Russisk hacker dømt til over 7 års fengselsstraff for omfattende datainbrudd

Den russiske hackeren Yevgeniy Nikulin har av en amerikansk domstol blitt dømt til fengsel i 88 måneder, for bl.a. omfattende datainnbrudd hos LinkedIn og Formspring i 2012. Yevgeniy Nikulin ble arrestert i Tsjekkia i 2016, og dommen kommer etter en langvarig drakamp mellom USA og Russland om å få Nikulin utlevert.
Referanser
https://therecord.media/russian-hacker-nikuli[...]

2020.09.29 - Nyhetsbrev

Programvareleverandøren Tyler Technologies rammet av løsepengevirus. Universal Health Services sine sykehus rammet av løsepengevirus. Det franske transportfirmaet CMA CGM rammet av malware-angrep.

Programvareleverandøren Tyler Technologies rammet av løsepengevirus

Tyler Technologies ble rammet av løsepengevirus 23. september. Selskapet leverer programvare til statlige og føderale styresmakter i USA. I tillegg til løsepengevirus-angrepet melder nå flere av kundene til Tyler om mistenkelige innlogginger og installasjon av bakdører på deres systemer, noe som tyder på at angriperne fortsatt har tilgang.
Referanser
https://www.zdnet.com/google-amp/article/susp[...]

Universal Health Services sine sykehus rammet av løsepengevirus

UHS, som er en av verdens største tilbyder av helsetjenester, har blitt utsatt for løsepengevirus de siste dagene og mange datasystemer er utilgjengelig. Dette har rammet sykehus både i USA og Storbritannia. Det er foreløpig ikke bekreftet hvilket løsepengevirus som ble benyttet, men det spekuleres i at det er Ryuk Ransomware. Så langt vet man ikke skadeomfanget, men UHS sier at ingen data om ansatte eller pasienter har blitt tatt eller misbrukt.
Referanser
https://www.zdnet.com/article/uhs-hospital-ne[...] https://www.uhsinc.com/statement-from-univers[...] https://threatpost.com/universal-health-ranso[...] https://www.theregister.com/2020/09/28/united[...]

Det franske transportfirmaet CMA CGM rammet av malware-angrep

Det franske transportfirmaet CMA CGM er rammet av et malware angrep og har stengt ned deler av nettverket deres for å forhindre spredning. Det er ikke klart hva slags angrep det er snakk om. Opplysninger kan tyde på at det er ransomware-varianten Ragner Locker som har rammet virksomheten.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2020.09.28 - Nyhetsbrev

Kaspersky med rapport om trusselbildet for industrielle kontrollsystemer for H1 2020. Flere sårbarheter i Cisco-utstyr.

Kaspersky med rapport om trusselbildet for industrielle kontrollsystemer H1 2020

Kaspersky utga på torsdag en rapport som beskriver trusselbildet for industrielle kontrollsystemer så langt i år. Alt i alt har andelen angrepne datamaskiner sunket, mens en liten økning sees i "olje & gass"-sektoren og innen bygningsautomasjon. De beskriver en økning i malware bygd på .net-plattformen. Dessuten går de gjennom en del viktige hendelser i år, og beskriver trusselbildet ut i fra corona-pandemien.
Referanser
https://ics-cert.kaspersky.com/reports/2020/0[...]

Flere sårbarheter i Cisco-utstyr

Cisco har like før helgen publisert flere sårbarheter hovedsaklig knyttet til en oppdatering til Cisco IOS og IOS XE. Flere av disse sårbarhetene er vurdert med kritikalitet høy og lar seg utnytte over nett og uten autentisering. CVEene 2020-3408, 2020-3414, 2020-3422, 2020-3509 og 2020-3526 kan være av spesiell interesse og knyttes til tjenestenekt-situasjoner. Det er ikke rapportert aktiv utnyttelse av svakhetene.
Anbefaling
Vi anbefaler å se gjennom alle sårbarhetsvarslene, og vurdere disse mot egne systemer og infrastruktur.
Referanser
https://tools.cisco.com/security/center/publi[...]

2020.09.25 - Nyhetsbrev

Microsoft melder at Zerologon-sårbarhet utnyttes av angripere. NSM med advarsel til norske virksomheter om utenlandske skytjenester. Microsoft sporer opp de mest avanserte trusselaktørene i skyen. Ny banktrojaner til Android forbigår 2FA.

Microsoft melder at Zerologon-sårbarhet utnyttes av angripere

Zerologon-sårbarheten (CVE-2020-1472) benyttes nå aktivt av angripere, melder Microsoft på Twitter. Sårbarheten ble patchet i august, og tillater en angriper å utnytte Netlogon Remote protokollen til å endre passordet til Domenekontrolleren og få administratorrettigheter på nettverket. Svakheten er svært enkel å utnytte.
Referanser
https://twitter.com/MsftSecIntel/status/13089[...] https://portal.msrc.microsoft.com/en-US/secur[...] https://www.cynet.com/zerologon/ https://arstechnica.com/information-technolog[...]

NSM med advarsel til norske virksomheter om utenlandske skytjenester

NSM melder i deres rapport, Helhetlig digitalt risikobilde 2020, at de er bekymret for den samlede nasjonale avhengigheten av utenlandske skytjenesteleverandører. NSM advarer mot at virksomheter ser seg blind på lave kostnader alene og sier at det må bli gjort grundige vurderinger i forkant. Dette spesielt med tanke på at informasjon blir lagret på en trygg og sikker måte uten fare for lekkasje, samt om alt vil fungere også under krise, krig og konflikt. Rapporten ble utgitt idag og finnes på deres nettsider.
Referanser
https://www.nrk.no/norge/nsm-atvarar-om-utanl[...] https://nsm.no/aktuelt/nsm-bekymret-for-nasjo[...] https://nsm.no/regelverk-og-hjelp/rapporter/h[...]

Microsoft sporer opp de mest avanserte trusselaktørene i skyen

Microsoft Threat Intelligence Center observerte nylig en aktør som kalles for GADOLINIUM. Den nevnte aktøren ble oppdaget ved hjelp av Azure Sentinel som forsøkte å få kontroll helt fram til serveren som var målet for angrepet. Dette ble forsøkt utført ved hjelp av spear-phishing eposter som inneholdt ondsinnede vedlegg og ble oppdaget av Microsoft Defender. Artikkelen til Microsoft går mer inn på detaljer om historikken til aktøren og deres forsøk på å utnytte skytjenester.
Referanser
https://www.microsoft.com/security/blog/2020/[...]

Ny banktrojaner til Android forbigår 2FA

En ny banktrojaner for Android, gitt navnet Alien, prøver nå å stjele informasjon fra brukere av over 200 forskjellige apper. Trojaneren, som er basert på Cerberus bank-trojaneren, bruker avanserte metoder for å stjele 2FA koder fra telefonen. For eksempel vil den lytte og lese alle notifikasjoner som andre apper generer og hente ut koder derfra.
Referanser
https://threatpost.com/alien-android-2fa/159517/

2020.09.23 - Nyhetsbrev

Microsoft styrker Microsoft Defender merkevaren med nye produkter.

Microsoft styrker Microsoft Defender merkevaren med nye produkter

Microsoft endrer og slår sammen flere kjente produkter for å styrke Microsoft Defender merkevaren. Dette gjelder Microfost Treat Protection, Defender ATP, Azure Security Center med flere.
Referanser
https://www.zdnet.com/article/microsoft-renam[...]

2020.09.22 - Nyhetsbrev

Hackere hevder å ha kapret datasystemene til nordisk brillekjede. Cisco Talos: Hvordan detektere angrep utført med Cobalt Strike.

Hackere hevder å ha kapret datasystemene til nordisk brillekjede

Nettsidene til brillekjeden Synsam har vært nede siden tirsdag ettermiddag i forrige uke. Ifølge svenske Dagens Nyheter skal også kassasystemene være rammet. BDO Cybersecurity har funnet en bloggpost på det mørke internettet fra aktøren bak løsepengeviruset REvil Ransomware, hvor de hevder å ha kapret datasystemene til Synsam. Dette tyder på at selskapet har blitt utsatt for løsepengevirus. Synsam fokuserer nå på å løse situasjonen.
Referanser
https://nrkbeta.no/2020/09/21/hackere-hevder-[...]

Cisco Talos: Hvordan detektere angrep utført med Cobalt Strike

Cobalt Strike er et verktøy som både penetrasjonstestere og kriminelle grupperinger bruker for å få tilgang til sårbare servere og nettverk. Cisco Tales har forsket på hvordan angrep utført med Cobalt Strike kan oppdages og har sluppet en detaljert rapport om dette, samt oppdaterte Snort- og ClamAV-signaturer.
Referanser
https://blog.talosintelligence.com/2020/09/co[...] https://talosintelligence.com/resources/145

2020.09.21 - Nyhetsbrev

Apple fikser 11 sårbarheter med utgivelsen av iOS 14 og iPadOS 14.

Apple fikser 11 sårbarheter med utgivelsen av iOS 14 og iPadOS 14

Apple har sluppet oppdateringer som retter flere feil i iOS og iPadOS. Sårbarheten CVE-2020-9992 er vurdert som kritisk fordi den tillater kjøring av vilkårlig kode. De 10 andre sårbarhetene som blir fikset er som følger: AppleAVD/CVE-2020-9958, Assets/CVE-2020-9979, Icons/CVE-2020-9773, IOSurfaceAccelerator/CVE-2020-9964, Keyboard/CVE-2020-9976, Model I/O/CVE-2020-9973, Phone/CVE-2020-9946, Sandbox/CVE-2020-9968, Siri/CVE-2020-9959, WebKit/CVE-2020-9952.
Referanser
https://threatpost.com/apple-bug-code-executi[...] https://arstechnica.com/tech-policy/2020/09/a[...]

2020.09.18 - Nyhetsbrev

Forfalsket sikkerhetstrenings-epost fra phishing-simulatorfirma. Første dødsfall rapportert etter et ransomware-angrep mot tysk sykehus.

Forfalsket sikkerhetstrenings-epost fra phishing-simulatorfirma

Cofense Intelligence har analysert en kampanje med e-poster med sikkerhetstema. Disse gir seg ut for å være en påminnelse om å ta en anti-phishing-opplæring, men lenkene sender ofrene til en phishing-side. Phishing-sidene har blitt observert på kompromitterte nettsteder og har blitt brukt på minst 30 domener siden midten av april 2020.
Referanser
https://cofense.com/spoofed-training-email-fr[...]

Første dødsfall rapportert etter et ransomware-angrep mot tysk sykehus

Det har blitt registrert et dødsfall etter at en pasient ble omdirigert til et nærliggende sykehus etter at Düsseldorf universitetssykehus ble rammet av et ransomware-angrep. Pasienten, som trengte akutt behandling, døde etter å ha blitt omdirigert til et sykehus mer en 30 km unna. Det nærmeste sykehuset hadde fått ransomware på mer enn 30 interne servere.
Referanser
https://www.zdnet.com/article/first-death-rep[...]

2020.09.17 - Nyhetsbrev

USA anklager fem hackere for å være en del av den kinesiske statsstøttede gruppen APT41. Iran-basert trusselsaktør utnytter VPN-sårbarheter.

USA anklager fem hackere for å være en del av den kinesiske statsstøttede gruppen APT41

USA mener at den kinesiske statsstøttede hackergruppen APT41 orkestrerte inntrenginger hos mer enn 100 selskaper over hele verden, alt fra programvareleverandører, videospillfirmaer, telekommunikasjonsenheter og mer. Selskapene befinner seg i land som USA, Australia, Brasil, Chile, Hong Kong, India, Indonesia, Japan, Malaysia, Pakistan, Singapore, Sør-Korea, Taiwan, Thailand og Vietnam. Alle de fem APT41-medlemmene er på frifot, og navnene deres er lagt til FBIs Cyber Most Wanted List.
Referanser
https://www.zdnet.com/article/us-charges-five[...]

Iran-basert trusselsaktør utnytter VPN-sårbarheter

Cybersecurity and Infrastructure Security Agency (CISA) og FBI er klar over at en Iran-basert trusselaktør retter seg mot flere amerikanske føderale byråer og andre amerikanske nettverk. Analysen de har gjort viser spor etter gruppen med navn Pioneer Kitten og UNC757. Aktøren utnytter flere kjente sårbarheter fra 2020 i blant annet Pulse Secure VPN, Citrix NetScaler og F5. Etter at aktøren har kompromittert et system prøver den å bevege seg videre i nettverket og samle data fra systemer.
Referanser
https://us-cert.cisa.gov/ncas/alerts/aa20-259a

2020.09.16 - Nyhetsbrev

Cyberkriminelle blir mer sofistikerte og antallet angrep øker dramatisk. Ny kryptoskadevare kjent som MrbMiner har infisert tusenvis av MSSQL-databaser. Datatilsynet undersøker lokasjonsbasert SMS-varsling. Flere sårbarheter utsetter tusenvis av MobileIron-servere for eksterne angrep.

Cyberkriminelle blir mer sofistikerte og antallet angrep øker dramatisk

Det har vært en kraftig økning i sofistikerte hackingkampanjer i løpet av dette året. De første seks månedene av 2020 ser man mer av disse inntrengingene enn det totale antallet for hele 2019. Funnene er beskrevet i Crowdstrikes Threat Hunting rapport for 2020.
Referanser
https://www.zdnet.com/article/hackers-are-get[...] https://www.darkreading.com/attacks-breaches/[...]

Ny kryptoskadevare kjent som MrbMiner har infisert tusenvis av MSSQL-databaser

Tencent Security sier at botnetet utelukkende har spredt seg ved å skanne internett for MSSQL-servere, for deretter å utføre brute-force-angrep ved gjentatte ganger å prøve admin-kontoen med forskjellige svake passord. Når angriperne får fotfeste på et system, laster de ned filen "assm.exe", som de bruker for å legge til en bakdør for fremtidig tilgang.
Referanser
https://www.zdnet.com/article/new-mrbminer-ma[...]

Datatilsynet undersøker lokasjonsbasert SMS-varsling

Datatilsynet har registrert at Helsedirektoratet har tatt i bruk lokasjonsbasert SMS-varsling for å varsle reisende om økende smitte i regioner og endringer i reiseanbefalinger som kan medføre reisekarantene. Lokasjonsbasert SMS-varsling er også brukt i andre sammenhenger av kommuner, både før og under pandemien.
Referanser
https://www.datatilsynet.no/aktuelt/aktuelle-[...]

Flere sårbarheter utsetter tusenvis av MobileIron-servere for eksterne angrep

Forskere har avslørt flere potensielt alvorlige sårbarheter som påvirker MobileIrons mobile enhetsadministrasjonsløsninger (MDM), inkludert en feil som kan utnyttes av en uautentisert angriper for ekstern kjøring av kode på berørte servere. En demonstrasjon (PoC) av svakheten er nå tilgjengelig. Sikkerhetshullene kan brukes til ekstern kjøring av kode (CVE-2020-15505), for å lese vilkårlige filer fra et målrettet system (CVE-2020-15507), og omgå autentiseringsmekanismer eksternt (CVE-2020-15506).
Anbefaling
Berørte produkter inkluderer MobileIron Core (versjon 10.6 og tidligere), MobileIron Sentry, MobileIron Cloud, Enterprise Connector og Reporting Database.
Referanser
https://www.securityweek.com/vulnerabilities-[...]

2020.09.15 - Nyhetsbrev

Windows Netlogon-svakhet kan gi kontroll over AD-domener. Flere Magento-installasjoner angrepet.

Windows Netlogon-svakhet kan gi kontroll over AD-domener

En svakhet i Netlogon-protokollen lar en angriper logge seg inn som en hvilken som helst bruker eller maskin i nettverket. Den utnytter en svakhet i den kryptografiske autentiseringen, og tar bare noen sekunder å utnytte. Sårbarheten har navnet CVE-2020-1472 og har full CVE score på 10, den er altså svært enkel å utnytte. En midlertidig oppdatering ble sluppet i forbindelse med Microsoft patche-tirsdag forrige måned. Den fullverdige oppdateringen er estimert i februar 2021. Vi anbefaler at alle Windows-servere får installert patchen fra august så fort som mulig!
Referanser
https://www.secura.com/blog/zero-logon https://github.com/SecuraBV/CVE-2020-1472 https://www.zdnet.com/article/zerologon-attac[...]

Flere Magento-installasjoner angrepet

Rundt 2000 Magento-installasjoner har blitt kompromittert og fått kode som stjeler kredittkort opplysninger fra kunder. De fleste bruker Magento versjon 1, som ikke lengre blir oppdatert.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2020.09.14 - Nyhetsbrev

Datasenter-giganten Equinix infisert med Netwalker ransomware, angripere krever $4.5M i løsepenger. 4 av 10 nordmenn har mottatt svindel-SMS det siste året. Ny phishing-teknikk bruker Azure AD autentiserings-API for å sjekke offerets passord i sanntid. Zoom gjør tofaktorautentisering tilgjengelig for alle kontoer. Windows-svakhet gir potensielle angripere mulighet til å unngå sikkerhetsreglene til Windows Defender. Flere større reiseselskap har unnlatt å sikre nettsidene sine, til tross for tidligere datainnbrudd.

Datasenter-giganten Equinix infisert med Netwalker ransomware, angripere krever $4.5M i løsepenger

Før helgen kom det fram at datasenter-giganten Equinix har blitt infisert med Netwalker ransomware. Angriperne krever 4.5 millioner dollar i løsepenger og har i tillegg laget en spesifikk melding til Equinix, noe som er uvanlig for denne ransomwaren. I meldingen som Bleepingcomputer har fått tilgang til kommer angriperne med bilder av stjålne data for å true Equinix til å betale løsepengene. Bildene indikerer at det var et datasenter i Australia som var inngangsnøkkelen for angriperne. Bleepingcomputer har også fått vite at 74 av Equinix sine RDP-servere er eksponert og innloggingsinformasjon til disse flyter rundt på markeder på det mørke nettet allerede.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

4 av 10 nordmenn har mottatt svindel-SMS det siste året

En undersøkelse gjort på vegne av Norsis viser at 37 prosent av nordmenn har mottatt SMSer fra falske avsenderer i løpet av det siste året, skriver E24. De har skrevet en artikkel om dette, med litt statistikk rundt svindelforsøk på SMS.
Referanser
https://e24.no/naeringsliv/i/g7XABq/45000-fal[...]

Ny phishing-teknikk bruker Azure AD autentiserings-API for å sjekke offerets passord i sanntid

Angripere kan nå sjekke passord i sanntid under phishingangrep, skriver Threatpost. Angrepsteknikken fører offeret til en falsk nettside, hvor hun blir bedt om å skrive inn brukernavn og passsord. Det som er nytt, er at angriperne har implementert et Azure AD autentiserings-API. Ved hjelp av dette kan brukernavn sjekkes i sanntid mot bedriftens Active Directory. Angriperen kan dermed få en tjuvstart i sammenligning med tradisjonelle metoder. Teknikken ble oppdaget i forbindelse med et målrettet angrep mot en bedrift.
Referanser
https://threatpost.com/office-365-phishing-at[...]

Zoom gjør tofaktorautentisering tilgjengelig for alle kontoer

Den 10. september annonserte Zoom i et blogginnlegg at tofaktorautentisering nå er tilgjengelig for alle typer kontoer. Man kan enten bruke tidsbregrensede engangspassord fra apper som Google Authenticator, Microsoft Authenticator o.l, eller bli tilsendt engangskode via SMS.
Referanser
https://blog.zoom.us/secure-your-zoom-account[...]

Windows-svakhet gir potensielle angripere mulighet til å unngå sikkerhetsreglene til Windows Defender

Windows-filen finger.exe blir levert med Windows-operativsystemet og kan bli utnyttet for nedlasting av ondsinnet programvare uten at Windows Defender reagerer, ettersom det blir sett på som en troverdig prosess. Bruken av FINGER-protokollen går over port 79. Det har har blitt gjort vellykket testing av svakheten som det kan leses mer om i referanselisten.
Referanser
http://hyp3rlinx.altervista.org/advisories/Wi[...]

Flere større reiseselskap har unnlatt å sikre nettsidene sine, til tross for tidligere datainnbrudd

En undersøkelse gjort av "Which?" tok for seg 98 reiseselskap og så etter sikkerhetshull i nettsidene deres. Blant de fem verste fant de store aktører som Marriot, British Airways og easyJet. "Which?" bemerker at disse selskapene har blitt bøtelagt for datainnbrudd tidligere, men har likevel ikke rettet opp i sikkerhetshullene.
Referanser
https://www.which.co.uk/news/2020/09/marriott[...]

2020.09.11 - Nyhetsbrev

Hackere fra Kina, Iran og Russland har forsøkt å påvirke valgkampen i USA
Microsoft knytter STRONTIUM til nytt legitimasjonhøstingmønster

Hackere fra Kina, Iran og Russland har forsøkt å påvirke valgkampen i USA

Microsoft bekrefter at aktører fra Kina, Iran og Russland har forsøkt å hacke seg inn på e-postkontoer som tilhører personer som er knyttet til valgkampen i USA. De Russiske aktørene retter seg mot Biden-kampanjen og er linket til gruppen Fancy Bear/APT28. Mesteparten av angrepene ble oppdaget og blokkert, ifølge Tom Burt, konserndirektør for kundesikkerhet og tillit hos Microsoft.
Referanser
https://www.zdnet.com/article/microsoft-confi[...] https://www.wired.com/story/russias-fancy-bea[...]

Microsoft knytter STRONTIUM til nytt legitimasjonhøstingmønster

MSTIC (Microsoft Threat Intelligence Center) har nylig funnet ett nytt mønster for innsamling av Office 365 legitimasjoner rettet mot amerikanske og britiske organisasjoner som er direkte involvert i politiske valg. Analytikere fra MSTIC og Microsoft Identity Security har sporet denne nye aktiviteten siden april 2020.
Referanser
https://www.microsoft.com/security/blog/2020/[...]

2020.09.10 - Nyhetsbrev

Palo Alto varsler om to svakheter i PAN-OS. Google patcher flere kritiske sårbarheter i Android. Stor økning i løspengevirusangrep i år ettersom cyberkriminelle jakter på større utbetalinger.

Palo Alto varsler om to svakheter i PAN-OS

Sårbarheten CVE-2020-2040 kan kun utnyttes om funksjonene "Captive Portal" eller "Multi-Factor Authentication (MFA)" er skrudd på, og kan forårsake buffer overflow. Dette kan føre til at systemprosesser blir forstyrra, og potensielt til vilkårlig kodeeksekvering. Palo Alto tildeler sårbarheten en alvorlighetsgrad på 9.8 av 10. Inntil systemer er oppdatert, blir det i varselet anbefalt å skru på "Signatures in content" i oppdateringsversjonen 8317 som et mitigerende tiltak for CVE-2020-2040. Sårbarheten CVE-2020-2037 lar autentiserte administratorer eksekvere vilkårlige OS-kommandoer med root-privilegier. Palo Alto tildeler sårbarheten en alvorlighetsgrad på 7.2 av 10.
Referanser
http://security.paloaltonetworks.com/CVE-2020-2037 http://security.paloaltonetworks.com/CVE-2020-2040

Google patcher flere kritiske sårbarheter i Android

Google har fikset flere sikkerhetsfeil i Android operativsystemet som er knyttet til totalt 53 CVEer, deriblant 3 kritiske og 5 alvorlige sårbarheter. To av de kritiske sårbarhetene kan føre til ekstern kodeeksekvering på sårbare enheter. Den tredje kritiske sårbarheten kan føre til utlevering av informasjon.
Referanser
https://threatpost.com/google-critical-bug-an[...]

Stor økning i løspengevirusangrep i år ettersom cyberkriminelle jakter på større utbetalinger

Stor økning i løspengevirusangrep i år ettersom cyberkriminelle jakter på større utbetalinger. Forskere har sett en økning på rundt 7 ganger sammenlignet med det forrige året, og det blir stadig utviklet nye teknikker. Bitdefender har sett en økning på 715% sammenlignet med 2019, til tross for at det er flere som jobber hjemmefra i 2020.
Referanser
https://www.zdnet.com/article/ransomware-huge[...]

2020.09.09 - Nyhetsbrev

Microsoft patcher 129 svakheter i denne månedens oppdatering. Frankrike, Japan, New Zealand advarer om plutselig økning i Emotet-angrep. E-sjefen frykter påvirkning av stortingsvalget. Angripere dropper DDOS-boter og kryptominere på eksponerte Docker-servere. Adobe med sikkerhetsoppdatering for tre produkter. Pakistansk strømselskap rammet av løsepengeviruset Netwalker.

Microsoft patcher 129 svakheter i denne månedens oppdatering

Microsoft patcher 129 sårbarheter i månedens oppdatering. 32 av svakhetene går på ekstern kodeeksekvering, og av disse får 20 høyeste score "critical" på Microsoft sin egene sårbarhetsrangering. Én av svakhetene skal gjøre det mulig å kjøre vilkårlig kode på en Exchange-server bare ved å sende en epost som behandles av serveren. Så langt er det ikke kjent at noen av svakhetene benyttes til angrep.
Referanser
https://www.zdnet.com/article/microsoft-septe[...] https://threatpost.com/microsofts-patch-tuesd[...] https://portal.msrc.microsoft.com/en-us/secur[...]

Frankrike, Japan, New Zealand advarer om plutselig økning i Emotet-angrep

Nettsikkerhetsbyråer fra Frankrike, Japan og New Zealand advarer om en stor økning i Emotet-angrep rettet mot deres respektive land. Emotet-aktivitet beskrevet i varslene refererer til spam-kampanjer via e-post som stammer fra Emotet-infrastruktur og målrettede selskaper og offentlige etater i de tre landene.
Referanser
https://www.zdnet.com/article/france-japan-ne[...]

E-sjefen frykter påvirkning av stortingsvalget

Dataangrepet mot Stortinget kan være en del av en større kampanje mot flere land, mener etterretningssjef Moten Haga Lunde. Han frykter at fremmede makter kan forsøke å påvirke valget neste høst.
Referanser
https://www.nrk.no/norge/etterretningssjefen-[...]

Angripere dropper DDOS-Boter og kryptominere på eksponerte Docker-servere

Ondsinnede aktører fortsetter å angripe målrettede miljøer som kjører Docker-kontainere. Trend Micro har nylig oppdaget et angrep som slipper både en ondsinnet kryptominer og en distribuert denial-of-service (DDoS)-bot på en Docker-container.
Referanser
https://www.trendmicro.com/en_us/research/20/[...]

Adobe med sikkerhetsoppdatering for tre produkter

Produktene som bør oppdateres er Adobe InDesign, Framemaker og Experience Manager. Oppdateringen til Experience Manager får prioritet 2, det vil si at produktet har vært utsatt for risiko tidligere, men at det ikke finnes kjente exploits.
Referanser
https://blogs.adobe.com/psirt/?p=1916 https://threatpost.com/critical-adobe-flaws-a[...]

Pakistansk strømselskap rammet av løsepengeviruset Netwalker

Pakistans største strømselskap ble rammet av ransomwaren Netwalker den 7. september. Angriperne skal ha bedt om 3.8 millioner USD i løsepenger. Det er selskapets nettsider for kunder som skal ha blitt påvirket av angrepet, ikke strømnettet i seg selv.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2020.09.08 - Nyhetsbrev

Ransomware-angrep stanset Argentinske grenseoverganger i fire timer.

Ransomware-angrep stanset Argentinsk grenseovergang i fire timer

Argentinas innvandringsbyrå ble den 27. august rammet av et Netwalker løsepengevirus som midlertidig stoppet grenseovergangen inn og ut fra landet i fire timer. For å hindre viruset i å spre seg stengte myndighetene ned nettverket til innvandringskontorene og grensekontrollen. Dette førte til forsinkelser i landets generelle drift i fire timer, før serverne ble startet opp igjen. I første omgang krever Netwalker 2 millioner dollar i løsepenger for å dekryptere filene og 4 millioner dollar om fristen på 7 dager ikke blir møtt. Løsepengevirus er blitt vanlige nyhetsoverskrifter, men dette er muligens ett av de første kjente løsepenge-angrepene mot et statlig organ som har avbrutt et lands operasjoner.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2020.09.04 - Nyhetsbrev

Europeiske ISP-er rapporterer mystisk bølge med DDoS-angrep. Pågående Emotet-kampanje i Norge.

Europeiske ISP-er rapporterer mystisk bølge med DDoS-angrep

I løpet av den siste uken har flere Internett-leverandører i Belgia, Frankrike og Nederland rapportert DDoS-angrep rettet mot deres DNS-infrastruktur.
Referanser
https://www.zdnet.com/article/european-isps-r[...]

Pågående Emotet-kampanje i Norge

Nasjonalt Cyber Sikkerhetssenter (NCSC) varsler om en pågående Emotet-kampanje observert i Norge. Emotet er en type skadevare som spres via e-post phishing med mål om å stjele informasjon, men kan også være det første steget i en større kampanje.
Referanser
https://www.kyberturvallisuuskeskus.fi/en/emo[...]

2020.09.03 - Nyhetsbrev

Cisco har sluppet en rekke sikkerhetsoppdateringer. Riksrevisjonen frykter flere dataangrep: – Har funnet betydelige mangler. Global kampanje truer med DDoS og forlanger Bitcoins.

Cisco har sluppet en rekke sikkerhetsoppdateringer

Cisco har sluppet en rekke sikkerhetsoppdateringer for forskjellige produkter, blant annet Jabber, IOS XR, Enterprise NFV Infrastructure Software og Webex Meetings. Den mest alvorlige svakhet her i Windows-klienten for Jabber. Denne svakheten har fått en CVSS-verdi på 9.9.
Referanser
https://tools.cisco.com/security/center/publi[...] https://watchcom.no/nyheter/nyhetsarkiv/uncov[...]

Riksrevisjonen frykter flere dataangrep: – Har funnet betydelige mangler

Riksrevisjonen har flere ganger kommet med krass kritikk av IT-sikkerheten i statlige institusjoner som politiet og Oljedirektoratet. Nå frykter riksrevisor Per-Kristian Foss at for dårlig sikkerhet i norsk offentlighet vil føre til flere dataangrep.
Referanser
https://www.nrk.no/norge/riksrevisjonen-frykt[...]

Global kampanje truer med DDoS og forlanger Bitcoins

Siden midten av August har det pågått en global kampanje der en eller flere grupperinger truer med DDoS-angrep, dersom de ikke får betalt i Bitcoins. I trussele-poster gir angriperne seg gjerne ut for å være Fancy Bear, Armada Collective eller Lazarus Group. For å stoppe angrepene forlanges det løsepenger i form av 10-20 Bitcoins. Tidligere har denne typen trusler ofte vært tomme, det har altså ikke kommet noen angrep i etterkant, eller disse har vært mindre alvorlige. Også bedrifter i Norge har mottatt trusler. Vi anbefaler å ikke betale løsepenger for å prøve å unngå angrep. Sørg for å ha gode rutiner på plass i tilfelle trusler eller angrep.
Referanser
https://www.infosecurity-magazine.com/news/gl[...] https://security.radware.com/ddos-threats-att[...]

2020.09.02 - Nyhetsbrev

Omfattende dataangrep mot Stortinget. 10.000 kommunalt ansatte har fått tilsendt phishing-epost. Pioneer Kitten selger tilgang til kompromiterte systemer. Apple og Google annonserer nytt system for å spore smitte.

Omfattende dataangrep mot Stortinget

Et mindre antall stortingsrepresentanter har fått epost-kontoene sine hos Stortinget kompromitert. NSM bistår Stortinget i kartlegging og mitigerende tiltak. PST sier til NRK at en av hypotesene deres er at en statlig aktør står bak IT-angrepet mot Stortinget. De sier at det er mulig det ikke bare er et digitalt angrep, men at det kan være en del av en etteretningsoperasjon mot Norge. Det er ikke funnet tegn til noen sammenheng mellom datainnbruddene på Stortinget og i flere Hedmark-kommuner, opplyser Nasjonal sikkerhetsmyndighet overfor NTB.
Referanser
https://www.vg.no/nyheter/innenriks/i/P9WGdR/[...] https://www.nrk.no/nyheter/it-angrep-mot-stor[...]

10.000 kommunalt ansatte har fått tilsendt phishing-epost

Omtrent 10.000 kommunalt ansatte har fått tilsendt phishing-epost. Epostene har tilsynelatende kommet fra kolleger og har inneholdt skadelige vedlegg. Hedmark IKT jobber med kartlegging, NSM er informert om hendelsen.
Referanser
https://www.vg.no/nyheter/innenriks/i/8m3Ayr/[...]

Pioneer Kitten selger tilgang til kompromiterte systemer

Pioneer Kitten, en iransk-sponset hacker gruppe, har over lengre tid benyttet VPN-svakheter til å tilegne seg tilganger. Disse blir nå solgt til andre aktører og grupperinger. Fra tidligere hendelser er det ofte ransomware-grupperinger som kjøper disse tilgangene.
Referanser
https://www.zdnet.com/article/iranian-hackers[...]

Apple og Google annonserer nytt system for å spore smitte

Apple og Google lanserer innbygget programvare i iOS og Android for smittesporing. Dette er et mer ferdig system enn det som allerede har blitt lansert. Systemet blir helt innbygget i iOS, mens det i Android trengs en automatisk generert app i tillegg. iOS får støtte for systemet i versjon 13.7, som skal lanseres i dag. Android får støtte senere i måneden. Systemet skal ikke identifisere enkelt-brukere overfor myndigheter.
Referanser
https://www.theverge.com/2020/9/1/21410281/ap[...]

2020.09.01 - Nyhetsbrev

Apple går god for Shlayer-adware for Mac-maskiner ved en feil.

Apple går god for Shlayer-adware for Mac-maskiner ved en feil

Shlayer er en type adware som har relativt stor spredning på Mac-maskiner. Malwaren sprer seg ved å gi seg ut for å være en oppdatering til Flash-player. Normalt skal Apples Gatekeeper for OS X stoppe denne typen malware fra å bli installert, men nyere varianter av Shlayer slipper forbi. Nettstedet homebrews[.]sh har de siste dagene spredt malwaren. Dette sammenfaller godt med at vi de siste dagene på TSOC har sett et oppsving i maskiner som har vært infisert av Shlayer.
Referanser
https://threatpost.com/apple-accidentally-not[...]