Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 29 October 2020

2020.10.29 - Nyhetsbrev

Aktører utfører cyberangrep mot deltakere på internasjonale konferanser. FBI med flere advarer om økning i antall cyber-angrep mot helsevesenet. Maze-gruppen legger ned sin operasjon. FBI: Hidden Cobra utgir seg for å være journalister.

Aktører utfører cyberangrep mot deltakere på internasjonale konferanser

Microsoft har stoppet flere angrepsforsøk fra gruppen Phosphorus (forbindes gjerne med Iran) som målretter seg mot de som skal delta på Think 20 Summit og Munich Security Conference. Phosphorus har sendt falske invitasjoner til personer som skal delta på konferansene. Det blir brukt nesten helt perfekt engelsk og påmeldingene brukes til å samle informasjon. Lederne av konferansene har blitt bedt om å advare sine deltakere mot falske invitasjoner, det anbefales evaluere epostene man mottar grundig. Microsoft har delt eksempler på epostene som brukes til å sende falske invitasjoner.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...]

FBI med flere advarer om økning i antall cyber-angrep mot helsevesenet

Federal Bureau of Investigation (FBI), Department of Homeland Security (DHS) og Health and Human Services (HHS) har gitt ut et felles advarsel om en betydelig økning i antall cyber-angrep rettet spesifikt mot helsevesenet. Blant de mest utbredte truslene nevnes TrickBot-botnettet, samt Ryuk-ransomware som også rammet IT-giganten Sopra Steria i forrige uke. Det er også plukket opp informasjon om at kriminelle planlegger å angripe over 400 nye sykehus i USA.

Organisasjonene har publisert en rapport som omhandler taktikkene, verktøyene og prosedyrene trusselaktørene benytter i forbindelse med angrepene. Rapporten inneholder også en rekke IoCer (Indicator of Compromise) som kan brukes for å oppdage eventuelle innbrudd. Den fullstendige rapporten er tilgjengelig fra lenken til US-CERT.
Referanser
https://apnews.com/article/politics-crime-ele[...]
https://thehackernews.com/2020/10/ransomware-[...]
https://us-cert.cisa.gov/ncas/alerts/aa20-302a

Maze-gruppen legger ned sin operasjon

Gruppen som står bak løsepenegviruset Maze legger angivelig ned sin operasjon i følge BleepingComputer. Maze var en av de første gruppene som adopterte en såkalt "double-extortion"-strategi hvor de først hentet ut filene til et offer, krypterte de opprinnelige filee og truet med å offentliggjøre innholdet dersom offeret ikke betalte løsepengesummen.

I løpet av den siste uken har Maze gradvis fjernet en rekke ofre fra nettsiden hvor de tidligere har publisert lekkasjene sine og dette kan tyde på at det er kort tid til operasjonen legges ned. Ved flere anledninger har ransomware-grupper publisert dekrypteringsnøklene sine i forbindelse med nedleggingen av en operasjon, men aktørene bak Maze har ikke bekreftet om de kommer til å følge denne trenden enda.

Flere av aktørene i Maze ser likevel ut til å ha beveget seg videre til en ny form for ransomware som går under navnet Egregor og som deler mange likhetstrekk med Maze både i form av programvare og utpressings-meldinger. Det kan være at det er de samme personene som står bak begge grupperingene.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

FBI: Hidden Cobra utgir seg for å være journalister

Den nord-koreanske APTen Kimsuky, også kjent som Hidden Cobra, har utført en rekke angrep mot bedrifter. Gruppen har vært aktiv siden 2012 og opererer på vegne av den Nord-Koreanske regjeringen.

De største målene inkluderer tenkte-tanker og profilerte organisasjoner i Japan, Sør-Korea og USA. Spionene utgir seg for å være sør-koreanske reportere som ønsker å intervjue en person i bedriften. Først etter at vedkommende har akseptert forespørselen sender de et skadelig vedlegg som kompromitterer brukeren dersom det åpnes. Når datoen for intervjuet nærmer seg, sender de en ny epost om at de er nødt til å avlyse.

Denne aktøren benytter ofte fil-løse angrep, som vil si at eventuell skadevare blir lastet inn i minnet fra Internett og kjøres direkte i Powershell uten å mellomlagres på offerets maskin. Deretter benytter de diverse teknikker for å oppnå stadig høyere rettigheter på systemet og beveger seg dertter sideveis i nettverket. Formålet med angrepene ser primært ut til å være global etterretning.
Referanser
https://threatpost.com/north-korea-spy-report[...]

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

 
>