2022.02.28 - Nyhetsbrev

Anonyme hacktivister og løsepengevirus-grupper blir involvert i Ukraina-Russland konflikten. TrickBot-banden legger ned, utviklerne går over til mer skjult skadevare. Iranske hackere tar i bruk nytt skadevare som misbruker et Telegram-API. Russland sperrer vesten ute fra russiske tjenester etter DDoS-angrep. Selskapet Nvidia truffet av ransomware som tok ned deler av deres datasystemer i to dager.

Anonyme hacktivister og løsepengevirus-grupper blir involvert i Ukraina-Russland konflikten

Ukraina har spurt om hjelp fra hackere til hjelp med å stoppe Russland. Blant de som har sagt at de kan hjelpe er Anonymous, som har sier de har utført DDooS-angrep mot flere statlige Russiske nettsider. De har også sagt at de kommer til å lekke informasjonen fra den Russiske forsvarsdepartementet sin nettside. Løsepengevirus gruppen Conti og CoomingProject har sagt at alle cyber angrep mot Russland vil bli møtt med hevn fra deres side. Et medlem av Conti-gruppen reagerte imidlertid sterkt på uttalelsen, og slapp store mengder logger fra gruppens interne logger som hevn. Det har blitt advart om at enkelt-grupper involverer seg i cyber-angrep, da dette kan skape forvirring rundt situasjonen og kan utløse artikkel 5 fra Nato, som sier at et hvert angrep på et Nato-medlem er som et angrep på alle.
Referanser
https://www.zdnet.com/article/anonymous-hackt[...] https://therecord.media/conti-ransomware-gang[...]

TrickBot-banden legger ned, utviklerne går over til mer skjult skadevare

Utviklerne legger ned operasjonen av malwaren TrickBot som har infisert Windows-klienter i store mengder siden 2016, og har blitt brukt av en rekke løsepengevirus-grupper. Utviklerne skal ha slått seg sammen med Conti etter at Trickbot-gjengen misslyktes i sin egen ransomware-operasjon. De skal sammen fokusere på malwaren BazarBackdoor, som skal være vanskeligere å detektere. Etter at malwaren har infisert klienten så laster de ned moduler som stjeler en rekke data, låser klienten og sprer seg i nettverket.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Iranske hackere tar i bruk nytt skadevare som misbruker et Telegram-API

En Iransk trusselaktør tar i bruk et nytt spionverktøy som misbruker Telegram sitt meldings-API. Sikkerhetsselskapet Mandiant har knyttet skadevaren til gruppen UNC3313 med moderat sannsynlighet, som er tilknyttet den statlig sponsede gruppen kjent som MuddyWater. Det er bakdøren "GRAMDOOR" som blir levert gjennom Telegram sitt maldings-API, som kommuniserer med servere kontrollert av angriperne for å unngå å bli detektert.
Referanser
https://thehackernews.com/2022/02/iranian-hac[...] https://www.mandiant.com/resources/telegram-m[...]

Russland sperrer vesten ute fra russiske tjenester etter DDoS-angrep

Konflikten mellom Russland og Ukraina gjenspeiles i cyberspace. Russlands myndigheter har nå begynt å sperre ute vestlige IP-adresser for å forsvare sine nettsidder. Torsdag gikk Russiske myndigheters nettsider ned som følge av DDOS-angrep. Russland har også delvis blokkert vestlige tjenester som Facebook og Twitter fra å bli brukt i Russland. Facebook og Twitter har også stengt ned flere kontoer de mener at driver med russisk propaganda. I dag tidlig gikk det myndighetsstyrte nyhetsnettstedet Tass ned. Det ble også lagt ut en melding på russisk om at "Putin får oss til å lyve".
Referanser
https://therecord.media/russia-appears-to-dep[...] https://www.thedailybeast.com/tass-site-hacke[...] https://www.dailymail.co.uk/news/article-1055[...]

Selskapet Nvidia truffet av ransomware som tok ned deler av deres datasystemer i to dager

Nvidia har blitt rammet av ransomware fra ransomware-grupperingen Lapsus. De påstår å ha stjålet over 1 TB med data fra Nvidia sitt nettverk og har lekket innloggingsinformasjon til alle Nvidia sine ansatte. Nvidia melder selv at business-prosessene og kommersielle aktiviteter ikke er berørt og at de ikke mistenker at aktiviteten er relatert til den spente situasjonen i Ukraina.
Referanser
http://securityaffairs.co/wordpress/128456/cy[...]