2021.01.29 - Nyhetsbrev

Microsoft med flere detaljer rundt gruppen som angriper sikkerhetsforskere.

Microsoft med flere detaljer rundt gruppen som angriper sikkerhetsforskere

Microsoft skriver om sin sporing av den Nord-koreanske hacker-gruppen som har begynt med målrettede angrep mot sikkerhetsforskere. Dette er den samme gruppen som det ble rapportert om av Googles trusselanalysegruppe (TAG) tidligere denne uken. Microsoft håper at deling av ytterligere detaljer om angrepet vil minne sikkerhetsfagfolk om at de er høyverdige mål for angripere.
Referanser
https://www.microsoft.com/security/blog/2021/[...]

2021.01.28 - Nyhetsbrev

Verdens farligste skadevare Emotet tatt ned gjennom global operasjon. Mozilla har sluppet oppdateringer for Firefox, Firefox ESR og Thunderbird.

Verdens farligste skadevare Emotet tatt ned gjennom global operasjon

Etterforskere har tatt kontroll over Emotets infrastruktur i en internasjonal koordinert operasjon. Gruppen bak Emotet har vært kjent i lang tid for å drive en svært profesjonell operasjon med "malware as a service". Emotet ble først oppdaget som en banktrojaner i 2014, før skadevaren utviklet seg til en populær løsning for nettkriminelle de siste årene. Infrastrukturen til Emotet fungerte som primær døråpner for datasystemer globalt. Da denne uautoriserte tilgangen var etablert, ble den solgt videre til andre kriminelle grupper som brukte den til videre ulovlige aktiviteter som spionasje og installasjon av ransomware. Myndightene planlegger nå å sende ut en oppdatering til infiserte maskiner som skal fjerne malwaren den 25. mars. Vær oppmerksom på at en maskin infisert av Emotet gjerne også har fått annen malware installert, så å fjerne kun Emotet er som oftest ikke tilstrekkelig.
Referanser
https://www.europol.europa.eu/newsroom/news/w[...] https://www.zdnet.com/article/authorities-pla[...]

Mozilla har sluppet oppdateringer for Firefox, Firefox ESR og Thunderbird

Mozilla har oppdatert flere av sine produkter. Flere av svakhetene kan brukes til å ta kontroll over et sårbart system. Vi anbefaler å oppdatere!
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

2021.01.27 - Nyhetsbrev

Apple fikser tre sårbarheter under aktiv utnyttelse i iOS versjon 14.4. Kritisk sårbarhet i Sudo.

Apple fikser tre sårbarheter under aktiv utnyttelse i iOS versjon 14.4

Apple fikser tre sårbarheter de mistenker blir aktivt utnyttet i iOS 14.4. To av sårbarhetene er knyttet til Safari WebKit, og den siste er en sårbarhet i kjernen. Vi anbefaler å oppdatere så fort som mulig!
Referanser
https://techcrunch.com/2021/01/26/apple-says-[...]

Sårbarhet i Sudo

Qualys Research Team har oppdaget en heap-overflow sårbarhet i sudo, et sentralt verktøy som brukes på de fleste Unix-lignende operativsystemer. Enhver uprivilegert bruker kan få root-rettigheter på en sårbar vert, med en standard sudo-konfigurasjon, ved å utnytte denne sårbarheten. Sårbarheten har vært tilstede i nesten 10 år uten å bli oppdaget. Den ble introdusert i juli 2011 og påvirker alle eldre versjoner fra 1.8.2 til 1.8.31p2 og alle stabile versjoner fra 1.9.0 til 1.9.5p1 i standardkonfigurasjon. Vi anbefaler å oppgradere ASAP, spesielt på multi-user systemer.
Anbefaling
Installer fiks ASAP.
Referanser
https://blog.qualys.com/vulnerabilities-resea[...]

2021.01.26 - Nyhetsbrev

Feil i Cisco DNA Center åpner opp bedrifter for eksterne angrep. Nord-koreanske hackere har startet målrettet angrep mot sikkerhetsforskere. Datatilsynet har varslet gebyr på 100 millioner kroner til Grindr for brudd på GDPR. Kritisk bugfix for Drupal Core.

Feil i Cisco DNA Center åpner opp bedrifter for eksterne angrep

En cross-site request forgery (CSRF)-svakhet gjør det mulig å få en innlogget brruker til å kjøre kommandoer på Cisco Digital Network Architecture (DNA) Center. Svakheten er blitt fikset i utgivelsene 2.1.1.0, 2.1.2.0 2.1.2.3 og 2.1.2.4 og senere.
Referanser
https://threatpost.com/cisco-dna-center-bug-r[...] https://tools.cisco.com/security/center/conte[...]

Nord-koreanske hackere har startet målrettet angrep mot sikkerhetsforskere

Googles trusselanalysegruppe (TAG) har i dag publisert en blogg-post hvor de informerer om at det har blitt identifisert en pågående kampanje mot sikkerhetsforskere som jobber med sårbarhetsforskning og utvikling hos forskjellige selskaper og orginisasjoner. Angriperne bruker flere sosiale medieplattformer, inkludert Twitter, LinkedIn, Telegram, Discord, Keybase og epost til å levere ondsinnet kode og bakdører til spesifikke personer. Angriperne har blant annet satt opp et nettsted med reelle artikler om relevant svakheter som ble brukt til vannhullsangrep. Angrepskode på denne bloggen skal ha kompromittert fullt patchede Chrome-nettlesere. I andre tilfeller fikk ofrene oversendt Visual Studio-prosjekter med bakdører. Flere ofre står nå fram på Twitter med sine historier for å advare andre. Det antas at myndighetene i Nord-Korea står bak og at målet er å samle inn informasjon om nye svakheter for å bruke dem selv.
Referanser
https://blog.google/threat-analysis-group/new[...] https://www.zdnet.com/article/google-north-ko[...]

Datatilsynet har varslet gebyr på 100 millioner kroner til Grindr for brudd på GDPR

Dating-appen Grindr har blitt varslet om et gebyr på 100 millioner kroner for brudd på GDPR. Applikasjonen utleverer GPS-lokasjon, opplysninger fra brukerprofilene og at vedkommende er Grindr-bruker til flere tredjeparter for markedsføringsformal uten tilstrekkelig samtykke fra brukeren.
Referanser
https://www.datatilsynet.no/aktuelt/aktuelle-[...] https://www.reuters.com/article/us-grindr-dat[...]

Kritisk bugfix for Drupal Core

Kritisk bugfix Drupal Core. Sårbare systemer kan bli utnyttet hvis Drupal er konfigurert til å tillate .tar, .tar.gz, .bz2, eller .tlz filopplastninger og prosesserer dem.
Anbefaling
Hvis du bruker Drupal 9.1, oppdater til Drupal 9.1.3. Hvis du bruker Drupal 9.0, oppdater til Drupal 9.0.11. Hvis du bruker Drupal 8.9, oppdater til Drupal 8.9.13. Hvis du bruker Drupal 7, oppdater til Drupal 7.78.
Referanser
https://www.drupal.org/sa-core-2021-001

2021.01.25 - Nyhetsbrev

Forsikringsselskaper bidrar til økt ransomware-bølge. Mulig 0-dagssårbarhet funnet i SonicWall SMA (Høy).

Forsikringsselskaper bidrar til økt ransomware-bølge

Ciaran Martin, som var sjef for National Cyber Security Centre i UK til august i fjor, mener at bruk av ransomware er i ferd med å komme ut av kontroll. Han mener at forsikringsselskapene bidrar til problemet, siden det enkleste for firmaer med forsikring ofte er å betale løsepengene.
Referanser
https://www.theguardian.com/technology/2021/j[...]

Mulig 0-dagssårbarhet funnet i SonicWall SMA

Det er funnet en mulig nulldagssårbarhet i SonicWall Secure Mobile Access (SMA) 100-serie. SonicWall jobber fremdeles med å finne ut av sårbarheten, men skriver at sårbarheten ikke gjelder for SonicWall Firewalls, NetExtender VPN Client, SMA 1000 Series og SonicWall SonicWave APs.
Anbefaling
Det anbefales å bruke spesifikke tilgangsregler eller deaktivere "Virtual Office" og administrativ tilgang fra internett frem til sårbarheten er ferdig etterforsket.
Referanser
https://www.sonicwall.com/support/product-not[...]

2021.01.21 - Nyhetsbrev

Dypdykk i Solorigate fase to aktivering. Kritisk feil i Cisco SD-WAN gir mulight for ekstern kode-eksekvering. FireEye: Mer detaljer om teknikkene brukt i SolarWinds-innbrudd med verktøy for analyse. Oracle ute med kvartalsvise oppdateringer. Feil i flere samtale-apper kunne føre til avlytting av mobiler.

Dypdykk i Solorigate fase to aktivering

Microsoft har sluppet en dyptgående analyse av hva som skjer etter at andre fase blir aktivert fra Solarigate-bakdøren. Microsoft mener også at angriperne har et høyt kompetansenivå, basert på analyse av hvordan angrepene ble gjennomført og kompleksiteten av malwaren.
Referanser
https://www.microsoft.com/security/blog/2021/[...]

Kritisk feil i Cisco SD-WAN gir mulight for ekstern kode-eksekvering

Cisco advarer om sårbarheter knyttet til programdefinert WAN løsninger, Cisco har nå kommet med sikkerhetsoppdateringer som er ment til å eliminere disse sårbarhetene. Cisco har også sluppet oppdateringer for flere andre produkter, blant annet Cisco smart software manager satellite.
Referanser
https://threatpost.com/critical-cisco-sd-wan-[...] https://tools.cisco.com/security/center/publi[...]

FireEye: Mer detaljer om teknikkene brukt i SolarWinds-innbrudd med verktøy for analyse

Det har blitt gjort en dypere analyse av hvordan innbruddene av Solarwinds ble gjennomført. Blant annet forfalsket inntrengerne SAML-tokens for videre utforskning av nettverket. FireEye har sluppet instruksjoner for hvordan en kan analysere logger for denne typen innbrudd sammen med et verktøy.
Referanser
https://www.fireeye.com/blog/threat-research/[...] https://www.theregister.com/2021/01/19/fireey[...]

Oracle ute med kvartalsvise oppdateringer

Oracle slipper 329 sikkerhetsoppdateringer for en mengde forskjellige produkter.
Referanser
https://www.oracle.com/security-alerts/cpujan[...]

Feil i flere samtale-apper kunne føre til avlytting av mobiler

Google Project Zero har avdekket mulighet for avlytting ved hjelp av mobilversjonene av Signal, Google Duo, Facebook Messenger, JioChat og Mocha. Sårbarheten medførte mulighet for å avlytte både lyd og bilde uten at mottaker hadde svarte på anropet. Fem av syv testede applikasjoner hadde denne svakheten. Problemet skyldtes at overføring av lyd og bilde startet før mottakeren hadde svart på et anrop.
Anbefaling
Til informasjon, da sårbarhetene skal være oppdatert og fikset.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.01.20 - Nyhetsbrev

Malwarebytes angrepet av samme gruppen som var ansvarlige for SolardWinds supply-chain hendelsen. Ny skadelig programvare oppdaget i SolarWinds-etterforskningen: Raindrop.

Malwarebytes angrepet av samme gruppen som var ansvarlige for SolardWinds supply-chain hendelsen

Den kjente sikkerhetsleverandøren Malwarebytes har også blitt kompromittert av trusselaktøren UNC2452 / Dark Halo-trusselsaktøren, som amerikanske tjenestemenn har knyttet til russisk etterretning. Malwarebytes opplyser at innbruddet ikke er gjort via SolarWinds supply-chain hendelsen som skjdde tidligere i 2020. Innbruddet ble gjort via en svakhet i et produkt for epost-sikkerhet, som var installert i deres Office 365-instans. Etter en grundig undersøkelse av hendelsen, har Malwarebytes kommet frem til at angriperne kun hadde fått tilgang til ett fåtall av bedriftens interne eposter og at det ikke er noen Malwarebytes applikasjoner som har blitt påvirket av hendelsen. Kunder av selskapet skal altså ikke være berørt.
Referanser
https://www.zdnet.com/article/malwarebytes-sa[...] https://blog.malwarebytes.com/malwarebytes-ne[...]

Ny skadelig programvare oppdaget i SolarWinds-etterforskningen: Raindrop

Symantec, en avdeling av Broadcom, har avdekket enda en type malware brukt i SolarWinds-angrepene. Skadevaren, som kalles for Raindrop, ble brukt mot et utvalgt av ofre som var av interesse for angriperne. Raindrop minner veldig om det allerede dokumenterte Teardrop-verktøyet, men det er noen forskjeller på de to. Teardrop ble brukt på datamaskiner som hadde blitt infisert av den opprinnelige Sunburst Trojan, mens Raindrop dukket opp andre steder i nettverket, og ble brukt av angriperne til å bevege seg sidelengs og distribuere nyttelast på andre datamaskiner. Raindrop (Backdoor.Raindrop) er en loader som leverer en payload av Cobalt Strike.
Referanser
https://symantec-enterprise-blogs.security.co[...]

2021.01.18 - Nyhetsbrev

Microsoft implementerer "Enforcement Mode" for å takle Windows Zerologon svakheten. Hackere har lekket stjålet Pfizer-BioNTech COVID-19 vaksinedata. Sikkerhetsfeil ved Linux Mint skjermsparer modus. Norske cyberforsvarere mottar Sønstebyprisen.

Microsoft implementerer "Enforcement Mode" for å takle Windows Zerologon svakheten

Fra 9. februar aktiverer Microsoft "Enforcement Mode" på domenekontrollere. Dette vil sørge for at Zerologon-svakheten blir mitigert for dem som enda ikke har oppdatert systemene sine.
Referanser
https://threatpost.com/microsoft-implements-w[...]

Hackere har lekket stjålet Pfizer-BioNTech COVID-19 vaksinedata

På hælene av en tidligere rapportert nettangrep på Det europeiske legemiddelkontoret (EMA) har nettkriminelle spilt kompromitterte data relatert til COVID-19-vaksinasjoner på internett.
Referanser
https://threatpost.com/hackers-leak-pfizer-co[...]

Sikkerhetsfeil ved Linux Mint skjermsparer modus

Utviklingsteamet bak Linux Mint distro har løst en sikkerhetsfeil som kunne ha tillatt brukere å omgå OS-skjermspareren ved å krasje skjermspareren, og låse opp skrivebordet via det virtuelle tastaturet.
Referanser
https://securityaffairs.co/wordpress/113518/h[...]

Norske cyberforsvarere mottar Sønstebyprisen

Sønstebyprisen er en pris som tildeles de som i krigshelt Gunnar Sønsteby sin ånd, forsvarer demokratiske verdier i Norge. I år gikk prisen til en rekke organisasjoner som har en sentral rolle i å forsvare verdens mest digitale folkeslag mot digitale trusler. Med andre ord, prisen ble tildelt landets cyberforsvarere. Virksomhetene som mottar prisen er FSH/Cyberingeniørskolen, Etterretningstjenesten, Kripos NC3, Telenor Norge, Næringslivets Sikkerhetsråd, Politiets sikkerhetstjeneste (PST), NTNU, Nasjonal sikkerhetsmyndighet (NSM), Norsk Senter for Informasjonssikring – NorSIS, CSS og Norwegian Maritime Cyber Resilience Centre (Norma Cyber). "Vi er stolte over prisen og den anerkjennelsen dette er av vårt arbeid med robusthet, sikkerhet og motstandsdyktighet. Dette inspirerer stort til å fortsette den gode sikkerhetsreisen med å beskytte Norges demokratiske verdier – for kundene, for samfunnet – og i samarbeid med alle de som har samme mål", sier Hanne Tangen Nilsen, som mottok prisen på vegne av Telenor.
Referanser
https://www.digi.no/artikler/norske-cyberfors[...] https://www.online.no/sikkerhet/sonstebyprise[...]

2021.01.15 - Nyhetsbrev

Å se på et ikon kan gjøre filsystemet korrupt i Windows 10.

Å se på et ikon kan gjøre filsystemet korrupt i Windows 10

BleepingComputer melder om at det finnes en svakhet i Windows 10 som gjør det mulig å få Windows til å gjøre filsystemet korrupt. Når Windows 10 ser en spesiell filsti i et ikon, eller den skrives inn manuelt, vil Windows gi beskjed om at filsystemet er korrupt og Windows må restartes. Man trenger ikke å trykke på ikonet som inneholder denne filstien, men kun åpne mappen som dette ikonet ligger i. Etter at maskinen restarter seg, vil den utføre en sjekk av filsystemet. Det virker som at det er litt varierende om Windows greier å fikse det korrupte systemet basert på tilbakemeldinger i artikkelen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.01.14 - Nyhetsbrev

Cisco slipper sikkerhetsoppdateringer.

Cisco slipper sikkerhetsoppdateringer

Cisco har sluppet oppdateringer for 67 sikkerhetssvakheter. De mest alvorlige svakhetene finnes i Cisco Small Business Routers, Cisco Connected Mobile Experience og Cisco AnyConnect Secure Mobility Client.
Referanser
https://threatpost.com/cisco-flaw-cmx-softwar[...] https://tools.cisco.com/security/center/publi[...]

2021.01.13 - Nyhetsbrev

Microsoft gir ut 83 patcher i sin månedlige sikkerhetsoppdatering. Adobe oppdaterer flere produkter. Crowdstrike med avsløring av SUNSPOT-malware benyttet ifbm. SolarWinds-angrepet. SolarLeaks nettsted selger data som hevdes å være stålet i SolarWinds supply-chain angrep. DarkMarket, den største illegale markedsplassen på det mørke nettet, har blitt tatt ned i stor internasjonal operasjon. Email-løsninger fra Mimecast kompromittert av trusselaktør for å spionere på kunder. Mozilla fikser kristisk svakhet i Thunderbird.

Microsoft gir ut 83 patcher i sin månedlige sikkerhetsoppdatering

Microsoft er ute med deres månedlige sikkerhetsoppdatering for januar. Denne gangen er det hele 83 oppdateringer, hvorav 10 er rangert som kritiske. Blant de mest alvorlige svakhtene er en svakhet i Microsoft Defender, som kan gi en angriper mulighet for fjern-eksekvering av ondsinnet kode (CVE-2021-1647). Denne svakheten utnyttes allerede i aktive angrep. For ytterligere detaljer vises det til advisories fra Microsoft.
Referanser
https://msrc.microsoft.com/update-guide/en-us https://krebsonsecurity.com/2021/01/microsoft[...]

Adobe oppdaterer flere produkter

Adobe har gitt ut sikkerhetsoppdateringer for svakheter i en rekke produkter, inkl. Adobe Photoshop, Adobe Illustrator, Adobe Animate, Adobe Campaign Classic, Adobe InCopy/Captivate og Adobe Bridge. Flere av dem er alvorlige, og gir mulighet for kjøring av vilkårlig kode.
Referanser
https://blogs.adobe.com/psirt/?p=1960

Crowdstrike med analyse av SUNSPOT-malware benyttet ifbm. SolarWinds-angrepet

Sikkerhetsselskapet CrowdStrike, som er engasjert av SolarWinds for å bistå i etterforskningen av deres datainnbrudd, har avdekket et stykke malware som angriperne har benyttet til å få kompilert SUNBURST-bakdøren inn i Orion-produktene. Malwaren har fått navnet SUNSPOT.
Referanser
https://thehackernews.com/2021/01/unveiled-su[...] https://www.crowdstrike.com/blog/sunspot-malw[...]

SolarLeaks nettsted selger data som hevdes å være stålet i SolarWinds supply-chain angrep

Nettstedet solarleaks[.]net selger data som de hevder er stålet fra selskaper som har blitt kompromittert ifbm. SolarWinds supply-chain angrepet. På nettstedet tilbys bl.a. det som angivelig skal være kildekode fra Microsoft, Cisco, FireEye og SolarWinds. Det er ukjent hvem som står bak nettsiden og om påstandene stemmer.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

DarkMarket, den største illegale markedsplassen på det mørke nettet, tatt ned i stor internasjonal operasjon.

Europol melder at de, i samarbeid med en rekke andre land, har gjennomført en operasjon der de har tatt ned "DarkMarket", den største illegale markedsplassen på det mørke nettet. Nettstedet hadde over en halv million brukere og over 20 servere er beslaglagt i Ukraina og Moldova.
Referanser
https://www.europol.europa.eu/newsroom/news/d[...]

Epost-løsninger fra Mimecast kompromittert av trusselaktør for å spionere på M365-kunder

Selskapet Mimecast, som lager sikkerhetsprodukter for epost, sier i en uttalelse at de har vært utsatt for en avansert trusselaktør som har klart å kompromittere sertifikatene som benyttes for å kryptere kommunikasjonen mellom selskapets produkter og Microsoft sine skytjenester. Mimecast ble varslet om forholdet av Microsoft. Uavhengige sikkerhetseksperter spekulerer i om dette angrepet kan ha blitt utført av samme trusselaktør som stod bak angrepet mot SolarWinds. Angrepet kan ha gjort det mulig å lese eposter og andre data i kundenes Microsoft 365-kontoer.
Referanser
https://www.reuters.com/article/us-global-cyb[...] https://www.bleepingcomputer.com/news/securit[...]

Mozilla fikser kristisk svakhet i Thunderbird

Mozilla gir ut en oppdatering til Thunderbird, og fikser med det en kritisk svakhet som potensielt kan benyttes til å få kjørt vilkårlig kode fra eksternt hold.
Anbefaling
Oppdater til Thunderbird 78.6.1
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

2021.01.12 - Nyhetsbrev

Nettverksgiganten Ubiquiti advarer om mulig datainnbrudd. Oppdrettsleverandøren Akva Group kreves for løsepenger i dataangrep. Kaspersky har funnet sammenheng mellom Sunburst og Kazuar malware. Analyse av BumbleBee Webshell. Flere aviser utsatt for dataangrep.

Nettverksgiganten Ubiquiti advarer om mulig datainnbrudd

Ubiquiti har varslet kundene sine om et mulig datainnbrudd hos en tredjepart som de samarbeider med. Firmaet tilbyr mange typer nettverksutstyr og også mulighet til å fjernadministrere dette via en skytjeneste som selskapet tilbyr. Kundene anbefales å bytte passord og skru på to-faktor autentisering.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Oppdrettsleverandøren Akva Group kreves for løsepenger i dataangrep

Selskapet bekrefter mandag ettermiddag at de blir krevd for løsepenger i dataangrepet som setter deler av deres systemer ute av spill. Teknologiselskapet leverer utstyr og tjenester til oppdrettsnæringen, og omsetter for rundt tre milliarder kroner i året.
Referanser
https://www.dn.no/bors/oppdrettsleverandoren-[...]

Kaspersky har funnet sammenheng mellom Sunburst og Kazuar malware

En sikkerhetsforsker hos firmaet Kaspersky har funnet en sammenheng mellom Sunburst-bakdøren og malware-familien Kazuar, som først ble dokumentert av Palo Alto Networks i 2017. Sunburst ble brukt i det avanserte forsyningskjede-angrepet gjort gjennom programvare fra SolarWinds. Forskeren mener at både Sunburst og Kazuar ble laget av den samme grupperingen eller at Sunburst er inspirert av Kazuar. APT-gruppen Turla er kjent for å drive spionasje for Russland.
Referanser
https://thehackernews.com/2021/01/researchers[...] https://securelist.com/sunburst-backdoor-kazu[...]

Analyse av BumbleBee Webshell

PaloAlto har gjort en analyse av webshell-bakdøren BumbleBee. Dette er en webshell som er brukt i forbindelse med xHunt-kampanjen. Tidligere har de analysert flere andre verktøy som også har vært brukt i kampanjen mot en organisasjon i Kuwait.
Referanser
https://unit42.paloaltonetworks.com/bumblebee[...]

Flere aviser utsatt for dataangrep

Hamar Arbeiderblad har i morgentimene vært utsatt for et dataangrep. Det samme gjelder Totens blad, Gjøviks blad og Stangeavisa. Både lørdag og i går oppdaget Hamar Arbeiderblad uregelmessigheter i datatrafikken sin. Angrepen er av typen DDoS-angrep, altså at Internett-forbindelsen til avisene fylles opp med søppel-trafikk, slik at den vanlige trafikken ikke kommer igjennom.
Referanser
https://www.nrk.no/innlandet/hamar-media_-tot[...]

2021.01.11 - Nyhetsbrev

Hackerangrep mot Østre Toten Kommune. Personlig identifiserende data til over 100 tusen ansatte hos FN har blitt eksponert.

Hackerangrep mot Østre Toten Kommune

Natt til 9. januar ble det gjennomført et angrep mot Østre Toten kommune. Angriperne har ifølge kommunen kommet seg bak brannmuren og slettet sikkerhetskopier, og deretter kryptert alle datasystemer. Angrepet hindrer ansatte å ta i bruk systemene og det skal være snakk om mulig persondata på avveie.
Referanser
https://www.nrk.no/innlandet/ostre-toten-komm[...] https://www.digi.no/artikler/advarer-om-destr[...]

Personlig identifiserende data til over 100 tusen ansatte hos FN har blitt eksponert.

Forskere har funnet eksponerte innloggingsinformasjon for Git-depot hos FN som har gjort det mulig å klone databasen. Dette har gjort det mulig å samle personlig identifiserende informasjon til over 100000 ansatte hos United Nations Environment Programme - UNEP. Svakheten ble rapportert direkte til FN den 4. Januar 2021, men det er å forvente at informasjonen allerede er blitt gjort tilgjengelig hos trusselaktører.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.01.08 - Nyhetsbrev

Ryuk-banden anslås å ha presset bedrifter for 150 millioner dollar. Mozilla slipper sikkerhetsoppdateringer til FireFox. Google slipper sikkerhetsoppdateringer til Chrome. Nvidia slipper sikkerhetsoppdateringer for Nvidia grafikk-driver.

Ryuk-banden anslås å ha presset bedrifter for 150 millioner dollar

Operatørene av Ryuk ransomware antas å ha tjent mer enn 150 millioner dollar i løsepenger fra selskaper og over hele verden. Beregningene er gjort ved å følge Bitcoin-transaksjonene.
Referanser
https://www.zdnet.com/article/ryuk-gang-estim[...]

Mozilla slipper sikkerhetsoppdateringer til FireFox

Mozilla har gitt ut sikkerhetsoppdateringer for Firefox, Firefox for Android og Firefox ESR. Oppdateringen løser et sikkerhetsproblem som kunne gjøre det mulig for en angriper å ta kontroll over det berørte systemet og blir kategorisert som "kritisk".
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Google slipper sikkerhetsoppdateringer til Chrome

Google har gitt ut ny versjon av Google Chrome for Windows, Mac og Linux. Den nye versjonen fikser flere sårbarheter som bl.a. kunne gjøre det mulig for en angriper å ta kontroll over det berørte systemet.
Referanser
https://chromereleases.googleblog.com/2021/01[...]

Nvidia slipper sikkerhetsoppdateringer for Nvidia grafikk-driver

Nvidia har sluppet sikkerhetsoppdateringer for grafikkdrivere for Nvidia grafikkort. Oppdateringene fikser 16 svakheter som bl.a. gjør det mulig for en angriper å gjøre tjenestenektangrep, oppnå utivdede rettigheter på systemet, endre på data eller kopiere ut sensitive data.
Referanser
https://threatpost.com/nvidia-windows-gamers-[...] https://nvidia.custhelp.com/app/answers/detai[...]

2021.01.07 - Nyhetsbrev

DDoSecrets publiserer informasjon fra Ransomware-angrep. Kildekode fra Nissan lekket. ReconHellcat bruker forfalsket NIST-dokument for å spre malware. ElectroRAT-malware rammer crypto-investorer

Kildekode fra Nissan lekket

Kildekode for mobil-applikasjoner og interne verktøy utviklet av Nissan North America har lekket ut på Internett. Angivelig skal koden ha befunnet seg på en Bitbucket-server med standard brukernavn og passord admin/admin. Bitbucket-instansen er ikke lenger tilgjengelig, men filene skal være i sirkulasjon. Mercedes Benz opplevde en lignende sak i 2020 da de hadde en feil-konfigurering som tillot hvem som helst å opprette en konto på én av sine git-servere.
Referanser
https://www.zdnet.com/article/nissan-source-c[...] https://www.zdnet.com/article/mercedes-benz-o[...]

ElectroRAT-malware rammer crypto-investorer

Firmaet Intezer Labs har oppdaget en større operasjon hvor en aktør har utviklet falske applikasjoner for kjøp og salg av kryptovaluta. Applikasjonen er basert på rammeverket Electron og inneholdt skadevaren som har fått navnet ElectroRAT. Dette er en omfattende operasjon som ble brukt til å stjele privatnøkler til krypto-lommebøker slik at midlene kunne overføres til aktørens egen lommebok. Skadevaren er skrevet i programmeringsspråket Go. Sikkerhetsforskere mistenker at Go har økt i popularitet blant malware-produsenter i løpet av de siste årene, ettersom det er vanskeligere å analysere enn tilsvarende programvare skrevet i C, C# og C++.
Referanser
https://www.zdnet.com/article/hackers-target-[...]

ReconHellcat bruker forfalsket NIST-dokument for å spre malware

Aktøren ReconHellCat benytter et filnavn som imiterer en legitim fil fra NIST.gov for å spre skadevaren kjent som BlackSoul. Dette er en minimal Remote Access Trojan (RAT) som har mulighet for filoverføring, samt å kjøre vilkårlige kommandoer. En fullstendig oversikt over kommandoene som er tilgjengelige i verktøyet har blitt publisert av QuoIntelligence.
Referanser
https://quointelligence.eu/2021/01/reconhellc[...]

DDoSecrets publiserer informasjon fra Ransomware-angrep

Gruppen Distributed Denial of Secrets har publisert en terabyte med informasjon fra tidligere lekkasjer i forbindelse med Ransomware-angrep. DDoSecrets benytter dumper som har blitt gjort tilgjengelig på The Dark Web fra tidligere angrep mot bedrifter. Blant den publiserte informasjonen ligger 750 000 eposter, bilder og dokumenter fra fem forskjellige selskaper. Organisasjonen mener at de har en plikt til å dele informasjonen med resten av verden, f.eks. for å unngå at kriminelle handlinger går ustraffet, eller for å øke det kollektive kunnskapsnivået. Gruppen har blitt sammenlignet med Wikileaks og argumenterer med at all informasjon som de publiserer allerede har blitt offentliggjort tidligere av ransomware-aktøren.
Referanser
https://www.wired.com/story/ddosecrets-ransom[...]

2021.01.06 - Nyhetsbrev

FBI, CISA, ODNI og NSA publiserer pressemelding om angrepet gjennomført ved hjelp av SolarWinds Orion. Google slipper månedlig sikkerhetsoppdatering for Android.

FBI, CISA, ODNI og NSA publiserer pressemelding om angrepet gjennomført ved hjelp av SolarWinds Orion

En gruppe som består av FBI, CISA, ODNI og NSA som kalles Cyber Unified Coordination Group (UCG) jobber med å undersøke og håndtere angrepet gjennomført ved hjelp av SolarWinds sitt produkt. De har nå lagt ut en pressemelding om arbeidet så langt. De opplyser at over 18.000 kunder har hatt bakdøren installert, men kun et titall av disse har blitt videre utnyttet. Gruppen mener også at det trolig er en russisk APT som står bak, hvor formålet er etterretning. CISA har laget et verktøy som kan brukes til å se etter aktivitet som indikerer at systemet er rammet som de har lagt ut på Github.
Referanser
https://www.cisa.gov/news/2021/01/05/joint-st[...] https://github.com/cisagov/Sparrow

Google slipper månedlig sikkerhetsoppdatering for Android

Google har sluppet januar-utgaven av sin månedlige oppdatering for Android. Denne måneden er det 43 svakheter som blir patchet. Blant annet er det en kritisk svakhet i System-komponenten som muliggjør fjernkjøring av kode.
Referanser
https://threatpost.com/google-warns-of-critic[...] https://source.android.com/security/bulletin/[...]

2021.01.05 - Nyhetsbrev

Malware-operatører bruker BSSID for å utføre sporing.

Malware-operatører bruker BSSID for å utføre sporing

En sikkerhetsforsker for SANS har oppdaget en form for skadevare som henter ut BSSID for infiserte enheter. BSSID fungerer som en MAC-addresse for trådløse rutere og aksesspunkter. Ved å hente ut denne kan man bruke en BSSID-to-geo database som ofte inneholder mer nøyaktig informasjon om sluttbrukeren sin posisjon. Dette kan dermed brukes for å verifisere påliteligheten til treff i tradisjonelle IP-to-geo databaser.
Referanser
https://www.zdnet.com/article/malware-uses-wi[...]

2021.01.04 - Nyhetsbrev

IT-giganter på krigsstien mot "lovlig" spionprogram. SolarWinds-hackere fikk tilgang til Microsoft kildekode. Bakdørkonto oppdaget i mer enn 100 000 Zyxel-brannmurer, VPN-gateways.

IT-giganter på krigsstien mot "lovlig" spionprogram

Google, Microsoft og flere andre store selskaper har i den siste tiden stilt seg svært kritisk til Pegasus, et mobil-overvåkningsverktøy laget av NSO Group. I et pågående søksmål argumenteres det for at programvaren kan brukes til ulovlig spionasje. NSO Group har forsøkt å avvise søksmålet da de mener at Pegasus har blitt brukt på vegne av myndigheter i nasjonalstater, og at selskapet derfor fortjener immunitet. Slike spionprogrammer bruker sårbarheter i kode som lar en person få tilgang til en annens enhet, nettverk eller system, og kan misbrukes med katastrofale følger dersom det havner i gale hender. Flere nasjonalstater har også brukt verktøyet mot journalister.
Referanser
https://www.digi.no/artikler/it-giganter-pa-k[...]

SolarWinds-hackere fikk tilgang til Microsoft kildekode

Hackerne som stod bak SolarWinds-innbruddet var i stand til å bryte seg inn i Microsoft Corp og få tilgang til noe av kildekoden, opplyste Microsoft på nyttårsaften. SolarWinds-saken er blant de mest ambisiøse cyber-operasjonene som noensinne er avslørt, og har kompromittert flere føderale etater og større firmaer. Microsoft opplyser at angriperne ikke har hatt tilgang til å gjøre endringer i kildekoden. Å lese kildekoden skal heller ikke gjøre det enklere å oppdage svakheter, i henhold til Microsoft.
Referanser
https://www.reuters.com/article/us-global-cyb[...] https://www.digi.no/artikler/microsoft-solarw[...] https://msrc-blog.microsoft.com/2020/12/31/mi[...]

Bakdørkonto oppdaget i mer enn 100 000 Zyxel-brannmurer, VPN-gateways

Mer enn 100.000 Zyxel-brannmurer, VPN-gateways og routere inneholder en hardkodet bakdørkonto som vil gi angripere root-tilgang til enheter via enten SSH-grensesnittet eller webadministrasjonspanelet. Bakdørkontoen ble oppdaget av et team av nederlandske sikkerhetsforskere fra Eye Control og regnes for å være svært en svært alvorlig svakhet. Enhetseiere rådes til å oppdatere systemer så snart som mulig.
Anbefaling
Patch eller begrens tilgang til tjenestene
Referanser
https://www.zdnet.com/article/backdoor-accoun[...]