2021.04.30 - Nyhetsbrev

Ransomware Task Force har sluppet rammeverk for å motvirke løsepengevirus.
Codecov varsler kunder som kan ha blitt berørt av supply-chain angrep.
Microsoft avslører ”BadAlloc”-feil som påvirker smarte enheter(IoT) og industrielt utstyr. Cisco lanserer sikkerhetsoppdateringer for flere produkter. F5 har publisert en oppdatering som fikser kritisk sårbarhet (Høy).

Ransomware Task Force har sluppet rammeverk for å motvirke løsepengevirus

Den nylig opprettede Ransomware Task Force (RTF) har som mål å lage en robust plan for å redusere trusselen fra løsepengevirus. De vil både ødelegge for løsepengevirus-aktører og sørge for at bedrifter er klare til å håndtere eventuelle problemer med løsepengevirus. De har denne uken sluppet sin første rapport som inneholder et rammeverk som gjør det lettere for bedrifter å redusere skaden som viruset kan gjøre. De mener også at det må et internasjonalt samarbeid over flere fagfelter til for å få slått ned ransomware-bølgen.
Referanser
https://www.ncsc.gov.uk/blog-post/ransomware-[...]

Codecov varsler kunder som kan ha blitt berørt av supply-chain angrep

Codecov har nå avslørt flere indikatorer (IOCer) som ble brukt av trusselaktører i forbindelse med forsyningskjedeangrepet de nylig ble rammet av. I angrepet samlet trusselaktøren inn sensitiv informasjon (miljøvariabler) fra kunder. Codecov Bash, et script for å laste opp filer, brukes av tusenvis av Codecov-kunder. Trusselaktøren klarte å endre dette for å hente ut miljøvariabler og å samle informasjon fra kundes CI / CD-miljøer. Disse inneholder blant annet API-nøkler, tokens og innloggingsinfo. Codecov nevner at de har beviser på at de kompromitterte variablene kan ha blitt brukt og ber alle kunder om å logge inn på Codecov så snart som mulig og se om de har blitt kompromittert.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Microsoft avslører ”BadAlloc”-feil som påvirker smarte enheter(IoT) og industrielt utstyr

BadAlloc påvirker et bredt spekter av smarte IoT-enheter og industrielt utstyr. BadAlloc-feilene oppstår som følge av manglende input-validering når det gjelder allokering av minne. Uten disse inndatavalideringene kan en angriper utnytte minnetildelingsfunksjonen til å utføre heap overflow, noe som kan resultere i kjøring av ondsinnet kode på enhetene. Disse angrepene kan utføres eksternt, over et nettverk eller over internett hvis enheten er tilgjengelig over nett. Leverandørene har allerede levert sikkerhetsoppdatering til 15 av 25 berørøte produkter for å tette hull i real-time operating systems (RTOS), innebygde programvareutviklingssett (SDKer) og i C-standardbibliotek (libc). Inntil alle oppdateringer er tilgjengelige, har både CISA og Microsoft anbefalt at selskaper minimerer eksponeringen av sårbare systemer mot Internet, overvåker IoT / OT-systemer for avvik og segmenterer interne nettverk for å forhindre utnyttelse av BadAlloc-feilene.
Referanser
https://therecord.media/microsoft-discloses-b[...]

Cisco lanserer sikkerhetsoppdateringer for flere produkter

Cisco har gitt ut sikkerhetsoppdateringer for å løse sårbarheter i flere Cisco-produkter. En angriper kan utnytte en av disse sårbarhetene for å ta kontroll over et berørt system. For oppdateringer som adresserer sårbarheter med lavere alvorlighetsgrad, se Cisco Security Advisories-siden.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

F5 har publisert en oppdatering som fikser kritisk sårbarhet

Sårbarheten gjør det mulig for angripere å komme seg forbi BIG-IP APM AD (Active Directory) autentisering ved noen spesielle tilfeller. Sårbarheten har fått CVE score på 8.3 og påvirker følgende versjoner: 16.0.0 - 16.0.1, 15.0.0 - 15.1.2, 14.1.0 - 14.1.3, 13.1.0 - 13.1.3, 12.1.0 - 12.1.5, 11.5.2 - 11.6.5.
Anbefaling
Oppdatere G5 BIG-IP APM versjonene til den nyeste oppdateringen.
Referanser
https://support.f5.com/csp/article/K51213246

2021.04.29 - Nyhetsbrev

Hackere truer med å dele data om politi-informanter. DigitalOcean-datainnbrudd involverer kunders faktureringsdata. "Anonyme tokens" får Innebygd personvernprisen 2020 fra Datatilsynet.

Hackere truer med å dele data om politi-informanter

Washington DCs Metropolitan Police Department har blitt utsatt for et målrettet cyberangrep. Nå truer en ransomware-gruppe, ved navn Babuk, å gi ut sensitive data om politiets informanter hvis de ikke blir kontaktet innen tre dager.
Referanser
https://www.bbc.com/news/world-us-canada-56898711

DigitalOcean-datainnbrudd involverer kunders faktureringsdata

DigitalOcean advarer kunder om et datainnbrudd hvor kundenes faktureringsdata skal ha blitt eksponert. DigitalOcean sier de eksponerte dataene bl.a. inneholder navn og adresse, de siste fire sifrene på betalingskortet og utløpsdato.
Referanser
https://techcrunch.com/2021/04/28/digitalocea[...]

"Anonyme tokens" får Innebygd personvernprisen 2020 fra Datatilsynet

Prisen "Innebygd personvern" deles ut av Datatilsynet til nye løsninger hvor personvernet har blitt ivaretatt. Den har blitt delt ut tre ganger tidligere. Prisen går denne gangen til "Anonyme tokens", som benyttes i Smittestopp-appen for å øke anonymiteten til de som testet positivt for covid-19.
Referanser
https://www.datatilsynet.no/aktuelt/aktuelle-[...]

2021.04.28 - Nyhetsbrev

Telenor har sluppet mer informasjon om Flubot-kampanjen. Chrome har sluppet nye sikkerhetsoppdatering. Apple har sluppet nye sikkerhetsoppdateringer til sine produkter.

Telenor har sluppet mer informasjon om Flubot-kampanjen

Vi omtalte i gårsdagens nyhetsbrev den nye bølgen med SMS-spam sendt av skadevaren Flubot. Skadevaren kan infisere Android-mobiler og spre seg videre, dersom brukeren omgår sikkerheten på enheten og velger å installere den. Telenor har nå sluppet mer detaljert informasjon om kampanjen.
Referanser
https://www.online.no/sikkerhet/flubot-androi[...]

Chrome har sluppet nye sikkerhetsoppdatering

Google har sluppet en ny versjon av Chrome med fokus på å rette opp sikkerhetsfeil som har blitt rapportert av eksterne sikkerhetsforskere.
Referanser
https://chromereleases.googleblog.com/2021/04[...]

Apple har sluppet nye sikkerhetsoppdateringer til sine produkter

Apple har sluppet oppdateringer for flere av deres enheter og programvare. Disse retter en mengde sikkerhetssvakheter. Oppdateringen gjelder iCloud for Windows 12.3, Xcode 12.5, Safari 14.1, macOS Big Sur 11.3, iOS, iPadOS og tvOS 14.5, og watchOS 7.4.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

2021.04.27 - Nyhetsbrev

SMS-spam leder til nedlasting av Android-malware. Shlayer-trojaneren utnytter svakhet i MacOS for å installere seg .

SMS-spam leder til nedlasting av Android-malware

I løpet av det siste døgnet har mange nordmenn mottatt tekst-meldinger på engelsk om å hente en tilsendt pakke. Dersom en følger lenken fra en Android-mobil, leder den til en nedlastingsside for malware. For å installere malwaren må brukeren slå på muligheten for å installere apper fra ukjente kilder og svare ja til flere sikkerhetsadvarsler. Det er malwaren Flubot som blir installert. Derom Flubot blir installert på en mobil, vil den laste ned personlige detaljer og prøve å lure brukeren til å gi fra seg nettbank-detaljer. Flubot vil også fortsette å sende SMS-meldingene videre til brukeren kontakter.
Referanser
https://www.ncsc.gov.uk/guidance/flubot-guida[...]

Shlayer-trojaneren utnytter svakhet i MacOS for å installere seg

En programvarefeil i MacOS gjør det mulig å skape og kjøre skadevare som ser ut som harmløse dokumenter. Brukeren trenger kun å dobbelklikke for at malwaren forbigår MacOS sikkerhetsrutiner der advarsler normalt dukker opp. Det gir en angriper mulighet til å få tilgang til privat informasjon ved at brukeren åpner det forfalskede dokumentet. Svakheten ble fikset i MacOS 11.3.
Anbefaling
oppdatere til macOS til 11.3 eller nyere.
Referanser
https://techcrunch.com/2021/04/26/shlayer-mac[...] http://securityaffairs.co/wordpress/117262/ma[...]

2021.04.26 - Nyhetsbrev

Forkyningskjede-angrep på Clickstudios - Passwordstate. Løspengevirus-gruppe tjente over 2 millioner kroner på 5 dager ved hjelp av 7zip-verktøyet.

Forkyningskjede-angrep på Clickstudios - Passwordstate

Bedriften ClickStudios har meddelt at de har vært utsatt for et sikkerhetsbrudd mellom 20. og 22. april. Bedriften lager et produkt kalt Passwordstate, som brukes av større organisasjoner for å holde orden på passord og automatisere innlogginger. Denne programvaren ble kompromittert og en bakdør ble lagt inn. Versjonen av Passwordstate med bakdøren var tilgjengelig for nedlasting i 28 timer. Passwordstate ble brukt til å legge inn en skadevare med filnavent "moserware[.]secretsplitter[.]dll" på maskiner der det ble lastet ned. Skadevaren prøver å få den påvirkede maskinen til å kontakte C&C domenet, som heldigvis har vært nede siden 22. april. Clickstudios har sluppet informasjon om hvordan en kan sjekke om en har den kompromitterte utgaven av Passwordstate,
Referanser
https://www.csis.dk/newsroom-blog-overview/20[...] https://www.clickstudios.com.au/advisories/In[...]

Løspengevirus-gruppe tjente over 2 millioner kroner på 5 dager ved hjelp av 7zip-verktøyet

En løspengevirus-gruppe som kaller seg for Qlocker tjente over 2 millioner kroner på fem dager ved å bruke 7zip arkiveringsprogrammet til å kryptere filer på QNAP NAS enheter. Gruppen skal ha søkt etter sårbare enheter på Internet, etter at det nylig ble offentliggjort at det har vært en sårbarhet i NAS backup-verktøyet til QNAP.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.04.23 - Nyhetsbrev

Hackere utnytter VPN for å distribuere SUPERNOVA-programvare på SolarWinds Orion installasjoner. Twitter sendte ved et uhell mistenkelige e-postmeldinger som ber om bekreftelse av kontoer.

Hackere utnytter VPN for å distribuere SUPERNOVA-programvare på SolarWinds Orion installasjoner

US Cybersecurity og Infrastructure Security Agency (CISA) har avslørt detaljer om en ny avansert trusselaktør (APT) som utnytter Supernova-bakdøren til å kompromittere SolarWinds Orion-installasjoner etter å ha fått tilgang til nettverket gjennom en forbindelse til en Pulse Secure VPN-enhet.
Referanser
https://thehackernews.com/2021/04/hackers-exp[...]

Twitter sendte ved et uhell mistenkelige e-postmeldinger som ber om bekreftelse av kontoer

Twitter forårsaket bekymring torsdag kveld da de ved et uhell sendte e-postmeldinger der brukerne ble bedt om å bekrefte kontoene sine. E-postene så mistenkelig ut, som i et phishing-angrep.
Referanser
https://www.bleepingcomputer.com/news/technol[...]

2021.04.22 - Nyhetsbrev

Apple Macbook produsent Quanta utsatt for løsepengevirus.
Universitetet i Minnesota utestengt fra å bidra på Linux kjerne etter eksperiment fra studenter.

Apple Macbook produsent Quanta utsatt for løsepengevirus.

Hackergruppen REvil truer Apple etter å fått tak i planløsningene for diverse Apple produkter etter å ha hatt et suksessfull angrep mot produsenten Quanta. Designet av en ny Macbook har blitt spredt, og hackergruppen truer med å publisere mer dersom løsepengesummen ikke blir betalt innen 1 mai.
Referanser
https://thehackernews.com/2021/04/hackers-thr[...]

Universitetet i Minnesota utestengt fra å bidra på Linux kjerne etter eksperiment fra studenter

To studenter fra Universitetet i Minnesota ville i ett eksperiment finne ut om de kunne få inn bakdører og svakheter implementert i Linux kjernen. Dette endte med at alle e-post adresser fra umn.edu ble utestengt fra å bidra på kjernen.
Referanser
https://www.theregister.com/2021/04/21/minnes[...]

Zero-Day sårbarheter i SonicWalls e-postsikkerhet

Det er oppdaget utnyttelse av tre Zero-Day sårbarheter i SonicWalls e-postsikkerhetsprodukt (ES). Disse sårbarhetene ble brukt for å oppnå administrativ tilgang og eksekvering av kode på en SonicWall ES-enhet ved å installere en bakdør. På denne måten får motpart full tilgang til filer og e-poster, samt muligheter for å bevege seg dypere inn i nettverket.
Anbefaling
SonicWall råder alle kunder og partnere til å oppgradere til hotfix 10.0.9.6173 for Windows-brukere, og hotfix 10.0.9.6177 for hardware og brukere av ESXi.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

2021.04.21 - Nyhetsbrev

Japansk politi sier at det kinesiske militæret står bak Tick APT. Oracle har sluppet kvartalsvise oppdateringer. Mozilla har sluppet sikkerhetsoppdateringer for Firefox og Thunderbird. Kritisk svakhet i Pulse Secure VPN-enheter.

Japansk politi sier at det kinesiske militæret står bak Tick APT

Japanske politimyndigheter mener at grupperingen Tick APT, som er linket til angrep mot over 200 Japanske selskaper, stammer fra det kinesiske militæret. "Japan Aerospace Exploration Agency" er det eneste offeret som så langt er navngitt.
Referanser
https://therecord.media/japanese-police-say-t[...]

Oracle har sluppet kvartalsvise oppdateringer

Kritiske oppdateringer for en rekke Oracle-produkter for dette kvartalet har blitt sluppet. Følgende produkter har fått oppdateringer: Oracle Database Server, Oracle Global Lifecycle Management, Oracle NoSQL Database, Oracle REST Data Services, Oracle Spatial Studio, Oracle SQL Developer, Oracle Commerce, Oracle Communications Applications, Oracle Communications, Oracle Construction and Engineering, Oracle E-Business Suite, Oracle Enterprise Manager, Oracle Financial Services Applications, Oracle Food and Beverage Applications, Oracle Fusion Middleware, Oracle Health Sciences Applications, Oracle Hospitality Applications, Oracle Hyperion, Oracle iLearning, Oracle Insurance Applications, Oracle Java SE, Oracle JD Edwards, Oracle MySQL, Oracle PeopleSoft, Oracle Retail Applications, Oracle Siebel CRM, Oracle Storage Gateway, Oracle Supply Chain, Oracle Support Tools, Oracle Systems, Oracle Utilities Applications og Oracle Virtualization.
Referanser
https://blogs.oracle.com/security/post/april-[...]

Mozilla har sluppet sikkerhetsoppdateringer for Firefox og Thunderbird

Mozilla har sluppet sikkerhetsoppdateringer for å fikse svakheter i Firefox, Firefox ESR og Thunderbird som gjør det mulig for en angriper å ta kontroll over systemer med de sårbare versjonene.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Kritisk svakhet i Pulse Secure VPN-enheter

Det er oppdaget en kritisk svakhet i Pulse Secure VPN-enheter som lar angripere omgå autentisering. Svakheten er svært enkel å utnytte og FireEye melder at flere trusselaktører allerede utnytter den til å installere flere forskjellige typer malware. Blant annet er flere amerikanske forsvars-underleverandører rammet. Kinesisk-støttede aktører skal stå bak angrepene. Pulse Secures eier Ivanti har gitt ut mitigeringer og verktøy for å finne ut om en enhet er infisert.
Anbefaling
Referanser
https://www.fireeye.com/blog/threat-research/[...] https://www.bleepingcomputer.com/news/securit[...] https://kb.pulsesecure.net/articles/Pulse_Sec[...]

2021.04.16 - Nyhetsbrev

Ny 0-dagssvakhet til Google Chrome lagt ut på twitter. USA ute med sanksjoner mot Russland for Solarwind hack. Juniper Networks gir ut sikkerhetsoppdateringer

Ny 0-dagssvakhet til Google Chrome lagt ut på twitter

Det er nå lagt ut enda en ny 0-dagssvakhet til Google Chrome og Microsoft Edge på twitter. Det er den andre 0-dagssvakheten som har blitt gitt ut på Twitter denne uken, hvor den første var nevnt i nyhetsbrevet vårt på tirsdag. Som den første 0-dagssvakheten gitt ut denne uken, er dette også en svakhet som gir mulighet for fjernkodeeksekvering. Lignende den første 0-dagssvakheten kommer heller ikke denne seg ut av sandkassen som Chrome har innbygd.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

USA ute med sanksjoner mot Russland for Solarwind hack

Arstechnica melder om at NSA, FBI og Cybersecurity and Information Security Agency legger skylden på Russland for supply-chain angrepet mot Solarwinds. Angrepet første til at en bakdør ble sendt ut til over 18 000 kunder via oppdateringer. USA har nå lagt sanksjoner mot Russland og seks russiske selskaper som støttet Russland i å utføre dette angrepet. Amerikanske myndigheter advarer videre om at russisk etterretning særlig benytter seg av fem svakheter i fortsatt pågående angrep. Disse svakhetene er som følger: - CVE-2018-13379 Fortinet FortiGate VPN - CVE-2019-9670 Synacor Zimbra Collaboration Suite - CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN - CVE-2019-19781 Citrix Application Delivery Controller and Gateway - CVE-2020-4006 VMware Workspace ONE Access
Referanser
https://arstechnica.com/tech-policy/2021/04/u[...] https://home.treasury.gov/news/press-releases[...]

Juniper Networks gir ut sikkerhetsoppdateringer

Juniper Networks har kommet ut med flere varsler om sårbarheter i deres system, samt oppdateringer for å fikse disse svakhetene. Svakhetene er av forskjellige typer, blant annet hvor utnyttelse kan gi vilkårlig kode-eksekvering, kræsje systemet eller rettigheteskalering via utnyttelse av hardkodede brukernavn og passord.
Referanser
https://kb.juniper.net/InfoCenter/index?page=[...]

2021.04.15 - Nyhetsbrev

Sverige sier at Russland sto bak dataangrep mot Riksidrottsförbundet i 2018. Det forventes sanksjoner fra USA mot Russland etter innblanding i valget.

Sverige sier at Russland sto bak dataangrep mot Riksidrottsförbundet i 2018

Mellom desember 2017 og mai 2018 ble den svenske idrettsforeningen "Riksidrottsförbundet" utsatt for et dataangrep. Sikerhätspolisen skriver i en pressemelding at datainnbruddet var en del av en større russisk påvirkningskampanje. Idrettsforbundet skriver i sin nyhetssak at de siden da har styrket IT-sikkerheten.
Referanser
https://www.rf.se/Nyheter/Allanyheter/ryskund[...] https://www.sakerhetspolisen.se/ovrigt/pressr[...] https://securityaffairs.co/wordpress/116775/c[...]

Det forventes sanksjoner fra USA mot Russland etter innblanding i valget

Det forventes at USA vedtar økonomiske sanksjoner mot Russland for innblanding i det siste presidentvalget samt flere data-angrep. I tillegg spekuleres det i utvisning av opp mot 10 diplomater.
Referanser
https://www.wsj.com/articles/u-s-to-sanction-[...]

2021.04.14 - Nyhetsbrev

Patche-tirsdag for April: Microsoft, Adobe og Chrome. Myndigheter i USA benytter Exchange-bakdør til å slette bakdøren. IcedID tar over for Emotet.

Patche-tirsdag for April: Microsoft, Adobe og Chrome

Microsoft fikser 114 sårbarheter, der 19 er vurdert som kritiske. En av disse er en lokal rettighetseskalering som blir aktivt utnyttet. Det er også sluppet flere fikser for Exchange med høy CVSS score, og det anbefales at disse installeres så raskt som mulig. Exchange-sårbarhetene har blitt meldt til Microsoft av NSA. Adobe slipper flere oppdateringer, blant annet for RoboHelp, Bridge og Photoshop. Google slipper 2 oppdateringer til Chrome og melder at begge blir utnyttet i angrep. Patching anbefales!
Referanser
https://msrc-blog.microsoft.com/2021/04/13/ap[...] https://www.bleepingcomputer.com/news/securit[...] https://us-cert.cisa.gov/ncas/current-activit[...] https://chromereleases.googleblog.com/2021/04[...]

Myndigheter i USA benytter Exchange-bakdør til å slette bakdøren

FBI har aktivt gått etter bakdører som ble installert på amerikanske systemer etter utenyttelse av Exchange-sårbarhetene ProxyLogon i mars. De har benyttet bakdøren for å automatisk forsøke å fjerne bakdøren. Eierne av serverne som ble berørt ble ikke kontaktet først.
Referanser
https://www.justice.gov/usao-sdtx/pr/justice-[...]

IcedID tar over for Emotet

Etter at flere grupperinger har jobbet med å ta ned banktrojaneren Emotet de siste månedene, ser det ut til at trojaneren IcedID tar over tomrommet.
Referanser
https://threatpost.com/icedid-banking-trojan-[...]

2021.04.13 - Nyhetsbrev

0-dags sårbarhet i Google Chrome og Microsoft Edge delt på Twitter.

0-dags sårbarhet i Google Chrome og Microsoft Edge delt på Twitter

En indisk sikkerhetsforsker har delt eksempelkode (PoC) for en 0-dags sårbarhet som rammer Chromium-baserte nettlesere som Chrome og Edge. Feilen ligger i v8 Javascript-motoren som tegner opp nettsidene. Eksempelet som er lagt ut har ikke kode for å komme seg ut av Chromiums innebygde sandkasse. Exploit-koden er antakeligvis laget ved å analysere Googles patch til en svakhet som ble demonstrert ved Pwn2Own.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://thehackernews.com/2021/04/rce-exploit[...] https://twitter.com/r4j0x00/status/1381643526[...]

2021.04.09 - Nyhetsbrev

APT 34, også kjent som OilRig fra Iran, returnerer med nye verktøy. Angripere øker bruken av sammarbeidsplatformer som Discord og Slack for å spre skadevare. Oppdateringer fra årets Pwn2Own-konkurranse.

APT 34, også kjent som OilRig fra Iran, returnerer med nye verktøy

Checkpoint har oppdaget en ny kampanje styrt av APT34 som antagelig angriper ett libanesisk mål. Dette er fordi en fil som ble lastet opp til VirusTotal kom fra Libanon. Etter at flere av APT34 sine verktøy ble lekket i 2019, har de fortsatt med å utvikle verktøyene sine for å unngå deteksjon. En av metodene denne APTen bruker for å spre skadevaren er gjennom direkte meldinger til målene på Linkedin. Checkpoint har gjort en analyse av skadevaren som ble lastet opp til VirusTotal i januar.
Referanser
https://research.checkpoint.com/2021/irans-ap[...]

Angripere øker bruken av sammarbeidsplatformer som Discord og Slack for å spre skadevare

Etter COVID-19 har det vært en økning i bruken av kommunikasjonsplatformer i bedrifter. Dette har medført at angripere også har økt misbruken av disse platformene for å infisere flere brukere. Disse platformene tillater angripere å dele skadevaren sin enklere og åpner også opp muligheter for mer målrettede phising-angrep. En stor årsak til dette er fordi brukere har lettere for å åpne og eller laste ned skadevare som blir delt i et kommunikasjonsrom som de stoler på. Talos Intelligense har tatt en gjennomgang av tre faser i et skadevare angrep. Dette innebærer levering av skadevaren, komponentinnhenting og C2 og data eksfiltrering.
Referanser
https://research.checkpoint.com/2021/irans-ap[...]

Oppdateringer fra årets Pwn2Own konkurranse

I løpet av den første dagen i Pwn2Own 2021 vant deltakerne 440 000 dollar etter å ha utnyttet tidligere ukjente sårbarheter for å hacke Microsofts Windows 10 OS, Exchange-mailserveren og Teams kommunikasjonsplattformen. I løpet av den andre dagen på Pwn2Own hacket deltakere Microsofts Windows 10 OS to ganger, sammen med Google Chrome-nettleseren og Zoom-videokommunikasjonsplattformen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.04.08 - Nyhetsbrev

VISA: Hackere bruker i økende grad bakdører for å stjele kredittkort. Informasjon om 500 millioner LinkedIn-brukere selges online.

VISA: Hackere bruker i økende grad bakdører for å stjele kredittkort

VISA advarer om at trusselaktører i økende grad distribuerer bakdører på kompromitterte servere for å eksfiltrere kredittkortinformasjon stjålet fra nettbutikkunder.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Informasjon om 500 millioner LinkedIn-brukere selges online

Et arkiv som inneholder data som angivelig er samlet inn fra 500 millioner LinkedIn-profiler, har blitt lagt ut for salg på et populært hackerforum. Informasjon om 2 millioner av brukerne er lagt ut som en gratis prøvesmak av hackerne. Informasjonen er antakeligvis samlet inn via offentlig tilgjengelige data fra brukernes profiler.
Referanser
https://cybernews.com/news/stolen-data-of-500[...]

2021.04.07 - Nyhetsbrev

Løsepengergrupper får kunder av ofre til å presse på for å betale, og ny rapport detaljerer informasjon om aktive målrettede Cyber trusseler mot SAP.

Ny rapport detaljerer informasjon om aktive målrettede Cyber trusseler mot SAP

Onapsis og SAP har sluppet trusselinformasjon og rapport for å hjelpe SAP-brukere til å beskytte seg mot målrettede cyber-angrep mot SAP-installasjoner.
Referanser
https://blogs.sap.com/2021/04/06/active-cyber[...]

Løsepengergrupper får kunder av ofre til å presse på for å betale

Noen av de store løsepengegruppene har begynt å presse flere bedrifter til å betale løsepenger ved å sende eposter direkte til både kunder og partnere av offeret. I epostene står det at sensitive data om dem som kunder/brukere vil bli lekket. Mottakerne oppfordres videre til å legge press på offeret for løsepengevirus og få dem til å betale.
Referanser
https://krebsonsecurity.com/2021/04/ransom-ga[...]

2021.04.06 - Nyhetsbrev

Ubiquiti har bagatellisert datainnbrudd, FBI og CISA advarer mot statlige hackere som angriper Fortinet FortiOS-servere, VMware har gitt ut sikkerhetsoppdatering, Cybersikkerhetsforskere angrepet, BazarLoader jobber med tvilsomme call-centere og 533 millioner Facebook brukere har fått telefonnummeret sitt lekket.

Ubiquiti bagatelliserte datainnbrudd

Ubiquiti Networks, en større leverandør av blant annet nettskytilknyttede sikkerhetskameraer, videoopptakere og nettverksutstyr, har kommet ut for hardt vær. I januar i år opplyste selskapet at det var blitt berørt av at en tredjeparts nettskyleverandør hadde eksponert innloggingsinformasjon til kundekontoer. Nå har en varsler kommet med en helt ny versjon av hva som egentlig skjedde. Den har han fortalt til den kjente sikkerhetsbloggeren Brian Krebs, men angivelig også til Det europeiske datatilsynet.
Referanser
https://www.digi.no/artikler/varsler-global-i[...] https://krebsonsecurity.com/2021/03/whistlebl[...]

FBI og CISA advarer mot statlige hackere som angriper Fortinet FortiOS-servere

Federal Bureau of Investigation (FBI) og Cybersecurity and Infrastructure Security Agency (CISA) advarer mot Advanced Persistent Threat (APT) aktører som målretter seg mot Fortinet FortiOS-servere ved å utnytte svakheter som CVE-2018-13379, CVE-2020-12812 og CVE-2019-5591. Svakhetene brukes til å få fotfeste hos både statlige organisasjoner og kommersielle firmaer. Installerte bakdører kan bli brukt i fremtidlige angrep.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

VMware har utgitt sikkerhetsoppdatering for deres Carbon Black Cloud Workload Appliance

Svakheten som blir fikset tillot en angriper å ta over det berørte systemet. Man bør derfor lese gjennom VMSA-2021-005 og installere de nødvendige oppdateringene.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Cybersikkerhetsforskere blir angrepet av hackere forbundet med Nord-Korea

Sikkerhetsforskere blir angrepet av hackere forbundet med Nord Korea gjennom sosiale medier. Google har nå kommet med en oppdatering rundt denne vedvarende kampanjen. Det er blitt brukt forfalskede Twitter og LinkedIn brukere for å komme i kontakt med ofrene. Hackerene har også laget en nettside for et falsk sikkerhetsfirma ved navn SecuriElite, som gir seg ut for å tilby offensive sikkerhetstjenester. Siden forsøkte å kompromittere besøkende ved hjelp av svakheter i nettlesere.
Referanser
https://blog.google/threat-analysis-group/upd[...]

BazarLoader bruker tvilsomme call-center for å lure ofrene

Den kjente malware gruppen BazarLoader jobber med tvilsomme call-center for å lure ofrene til å laste ned et infisert dokument. Phishing-mailene ber personer om å ringe et nummer for å oppgradere et abonnement eller liknende. Når personene ringer nummeret, blir de guidet til å laste ned et Office-dokument og deretter slå av Office sikkerhetsfunksjoner for å tillate makroer å kjøre. Makroen laster deretter ned malware og infiserer maskinen. Denne måten å infiltrere personer på er referert til som BazarCall or BazaCall.
Referanser
https://therecord.media/malware-uses-undergro[...]

533 millioner Facebook brukere har fått telefonnummeret sitt lekket på et hackerforum

Telefonnummeret til 533 millioner Facebook-kontoer er lekket på et hackerforum, gratis. Det mistenkes at dette er data som var til salgs sommeren 2020, men nå er utgitt gratis. Data inneholder bl.a. Facebook ID, navn, kjønn, lokasjon, arbeidsforhold, fødselesdato og epost-adresser. Dataene har blitt lastet ned fra Facebook i 2019 gjennom svakheter som nå har blitt fikset. Du kan sjekke om ditt telefonnummer er med i listene ved hjelp av tjenesten haveibeenpwned.com.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://haveibeenpwned.com/