2023.02.28 - Nyhetsbrev

IMSI-catcher brukt for å sende ut SMS-spam med phishing-innhold.
LastPass sitt passord-hvelv nok en gang kopiert ut av hackere. Det hvite hus gir regjeringskontorer én måned til å slette Tiktok.

IMSI-catcher brukt for å sende ut SMS-spam med phishing-innhold

Rundt nyttår ble en kvinnelig sjåfør stoppet i en rutinekontroll i Paris. I bilen ble det funnet en mistenkelig gjenstand som politiet først trodde var en bombe. Det viste seg etter hvert at gjenstanden var en IMSI-catcher. Dette er avansert utstyr som brukes av politi og hemmelige tjenester for å overvåke mobilkommunikasjon og finne ut hvor mobiltelefoner befinner seg fysisk. Det viser seg nå at utstyret ble brukt til å sende ut over 400.000 SMS-meldinger til mobiler i nærheten som lurte mottakerne til å besøke en phishing-side.
Referanser
https://www-francetvinfo-fr.translate.goog/fa[...] https://twitter.com/Sh0ckFR/status/1609531989[...]

LastPass sitt passord-hvelv nok en gang kopiert ut av hackere

LastPass, en passordbehandler-tjeneste har nok en gang blitt utsatt for datalekkasje av sine passord-hvelv. Forrige gang var i desember 2022. I dette tilfellet skal en av DevOps ingeniørene ha fått infisert en av sine personlige maskiner, der angriperen hadde installert en keylogger for å ta opp tastetrykk. Med dette skal angriperen ha fått tak i dekrypteringsnøkler som videre ble brukt for å laste ned backups og kundedata fra en AWS S3 bucket. Maskinen til ingeniøren ble infisert som følge av en sårbarhet i et tredjeparts mediap-rogramvare. Det er også spekulert at denne programvaren kan være Plex.
Referanser
https://thehackernews.com/2023/02/lastpass-re[...] https://arstechnica.com/information-technolog[...] https://support.lastpass.com/help/incident-2-[...]

Det hvite hus gir regjeringskontorer én måned til å slette Tiktok

I forrige uke meldte EU-kommisjonen at TikTok forbys hos de ansatte og at må fjernes innen 15. mars. Også i Sverige har regjeringsansatte blitt oppfordret til å slette appen. Det hvite hus har nå bestemt at den kinesiskutviklede appen skal være fjernet fra telefoner og systemer som tilhører regjeringskontorene i USA innen 30 dager.
Referanser
https://www.digi.no/artikler/det-hvite-hus-gi[...]

2023.02.27 - Nyhetsbrev

Nederlandsk politi har arrestert tre medlemmer av ransomware-bande. Interne data fra den kanadiske teleoperatøren Telus postet på hacker-nettsted. Ny rapport om utpressingsvirus: Så mye skade gjør man ved å betale løsepengene.

Nederlandsk politi har arrestert tre medlemmer av ransomware-bande

Nederlandsk politi i Amsterdam har nylig arrestert tre menn for kriminalitet relatert til ransomware, med antatt fortjeneste på €2.5 millioner euro. De siktede er alle unge menn i alderen 18-21 og er siktet for tyveri av sensitiv data med krav om løsepenger. Banden skal ha krevd en sum mellom €100,000 and €700,000 euro i løsepenger ut fra størrelsen på bedriften. Selv etter at betaling ble utført skal trusselaktørene likevel ha solgt dataene videre på nettet for å få ekstra profitt.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Data fra den kanadiske teleoperatøren Telus postet på hacker-nettsted

En trusselaktør har postet interne data, blant annet lønnsinformasjon og kildekode, tilhørende Telus på nettstedet BreachForums. Trusselaktøren prøver nå å selge de interne dataene til interesserte kjøpere. Dataene inkluderer blant annet 1000 interne GitHub kodebiblioteker.
Referanser
https://www.darkreading.com/attacks-breaches/[...]

Ny rapport om utpressingsvirus: Så mye skade gjør man ved å betale løsepengene

Sikkerhetsselskapet Trend Micro har utarbeidet en rapport som synliggjør skadeomfanget knyttet til det å betale løsepengene i stedet for å la være – og det viser seg å være ganske stort. Et hovedfunn i rapporten er at kun 10 prosent av ofre for utpressingsvirus faktisk betaler løsepengene. De relativt få som likevel velger å betale gjør imidlertid mer skade enn man kanskje skulle tro.
Referanser
https://www.digi.no/artikler/ny-rapport-om-ut[...]

2023.02.24 - Nyhetsbrev

Fruktgigant Dole utsatt for ransomwareangrep. Cisco lanserer sikkerhetsoppdateringer for samtlige produkter. Europakommisjonen har bannlyst sine ansatte fra å bruke TikTok.

Fruktgigant Dole utsatt for ransomwareangrep

Dole Food Company, best kjent for sine bananer og annen frukt har nylig blitt utsatt for et ransomwareangrep. Som følge av angrepet har selskapet måtte stenge ned samtlige systemer i Nord-Amerika. Kunder av Dole har tidligere klaget på mangel av ferdigpakket salater i over en uke, der dette med stor sannsynlighet kan ha blitt forårsaket av angrepet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Cisco lanserer sikkerhetsoppdateringer for samtlige produkter

Cisco lanserer sikkerhetsoppdateringer for samtlige produkter, der disse inkluderer patching av sårbarheter som kan la en angriper oppnå ekstern kodeeksekvering. En sårbarhet i web-grensesnittet til Cisco APIC kunne blant annet la en uautentisert bruker utføre cross-site request forgery (CSRF) angrep på et system (CVE-2023-20011).
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

Europakommisjonen har bannlyst sine ansatte fra å bruke TikTok

Europakommisjonen har nå innført nye sikkerhetsregler som bannlyser de ansatte fra å bruke appen TikTok på sine mobile enheter. Begrunnelsen for de nye sikkerhetsreglene skal ha vært for å styrke cybersikkerhet internt i kommisjonen, mye for å minske sannsynligheten for potensielle cyberangrep eller trusler. De ansatte skal ha blitt beordret til å avinstallere appen på offisielle enheter umiddelbart, samt personlige enheter dersom disse blir brukt i bedriftsammenheng. Dette må gjøres innen 15. mars. Alternativt kan de ansatte heller slette alle jobbrelaterte apper fra sin personlig enhet dersom de fremdeles ønsker å beholde appen.
Referanser
https://securityaffairs.com/142615/breaking-n[...]

2023.02.23 - Nyhetsbrev

Ny kritisk fiks for VMware Carbon Black sårbarhet.

Ny kritisk fiks for VMware Carbon Black sårbarhet

VMware på torsdag slapp ut en oppdatering som håndterer en kritisk sikkerhets-sårbarhet for Carbon Black App Control VMware produkter. Sårbarheten tillot trusselaktører med priviligert tilgang til å injisere kode i det underliggende server operativsystemet. Sårbarheten går under CVE-2023-20858 med en 9.1 CVSS score. Anbefaler brukere av produkter å oppdatere til versjon 8.7.8, 8.8.6, og 8.9.4 for å mitigere sårbarheten.
Referanser
https://thehackernews.com/2023/02/vmware-patc[...]

2023.02.21 - Nyhetsbrev

Angrep rettet mot Coinbase brukte falsk SMS varsling for å phishe ansatte

Angrep rettet mot Coinbase brukte falsk SMS varsling for å phishe ansatte

Coinbase, som er en plattform for utveksling av kryptovaluta, har gått ut med opplysninger om at en ukjent trusselaktør har klart å tilordne seg ansattes påloggingsinformasjon og klarte å oppnå fjerntilgang. Aktøren skal ha klart dette ved å sende ut falske SMS varsling hvor ansatte ble bedt om å logge seg på bedriftens tjenester, men de ble istedet sendt mot en phisingtjeneste. Coinbase opplyser videre om at bare ansatte og bedriftsopplysninger skal være på avveie og dermed ingen kundedata eller verdier.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.02.20 - Nyhetsbrev

Fortinet fikser kritsk RCE sårbarhet i FortiNAC og FortiWeb. GoDaddy kunngjør flerårig datainnbrudd som har resultert i kapring av kunders nettsider og kontoer.

Fortinet fikser kritsk RCE sårbarhet i FortiNAC og FortiWeb

Selskap for cybersikkerhetsløsninger Forinet publiserte sikkerhetsoppdatering for FortiNAC og FortiWeb produktene sine. Sårbarhetene adresserer to kritiske sårbarheter som tillater uautentiserte trusselaktører å eksekvere vilkårlig kommandoer eller kode. FortiNAC under CVE-2022-39952 ble rangert med 9.8, og FortiWeb (CVE-2021-42756) med 9.3 på CVSS v3 tabellen. Anbefales å oppdatere FortiNAC til 9.4.1 eller nyere, 9.2.6 eller nyere, 9.1.7 eller nyere, og 7.2.0 eller nyere. Anbefales å oppdatere FortiWeb til 7.0.0 eller nyere, 6.2.7 eller nyere, 6.1.3 eller nyere, og 6.0.8 eller nyere.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

GoDaddy kunngjør flerårig datainnbrudd som har resultert i kapring av kunders nettsider og kontoer.

Domeneregistraren GoDaddy har informert om at nettverket deres har hatt en flerårig sikkerhetskompromittering som har latt ukjente angripere stjele kildekode samt brukernavn og passord til både kunder og ansatte. I tillegg har det blitt installert skadevare på kunders nettsider som videresender til ondsinnede nettsider.
Referanser
https://arstechnica.com/information-technolog[...]

2023.02.17 - Nyhetsbrev

Kritiske sårbarheter i Modicon PLC fra Schneider. Google har gitt ut rapport om hvordan krigen i Ukraina har påvirket cybertrussellandskapet. Cisco kommer med sikkerhetsanbefalninger for flere av deres produkter, flere skyldes en alvorlig svakhet i ClamAV.

Kritiske sårbarheter i Modicon PLC fra Schneider

Sikkerhetsforskere har oppdaget to nye svakheter i programmerbare logiske kontrollere (PLC) fra Schneider Electric Modicon. Firmaet Forescout har i det siste avdekket en rekke svakheter i systemer for prosesstyring. Disse kan forårsake kjøring av ikke-autorisert kode, tjenestenekt og informasjonslekkasje. De to ferskeste svakhetene kan brukes sammen med andre svakheter for å bevege seg fra system til system i OT-nettverk.
Referanser
https://thehackernews.com/2023/02/researchers[...]

Google har gitt ut rapport om hvordan krigen i Ukraina har påvirket cybertrussellandskapet

Ett år etter Russlands invasjon av Ukraina, kommer Google, i samarbeid med Mandiant og Trust & Safety, med en rapport som tar for seg hvordan trusselbildet har endret seg som følge av invasjonen. Hovedfunnene er som følger: Russiske statsfinansierte trusselaktører bruker aggressive og flersidige angrepsmetoder i deres cyberoperasjoner for å støtte krigsmaskinen. Angrepene er ofte rettet mot nasjonal, millitær og sivil infrastruktur i Ukraina, samtidig som spear phishing aktivitet mot NATO-land har økt dramatisk. Eksempelvis så en i 2022 en 250% økning i angrep mot Ukrainske brukere, og 300% økning mot NATO-land, sammenliknet med i 2020. Russland benytter seg av diverse verktøy for å spre informasjon, fra statseid media til sosiale medier. Målsetningen ved å spre deres eget narrativ er å undergrave den ukrainske regjeringen, forminske internasjonal støtte til Ukraina og aller viktigst for å opprettholde innenlands støtte til krigen. Invasjonen har utløst en endring i det øst-europeske cyberkriminelle økosystemet, som kan ha langvarige implikasjoner for koordinasjon mellom kriminelle organisasjoner samt cyberkriminalitet på verdensbasis. Noen grupper er oppløst eller splittet basert på politiske oppfatninger, mens andre har mistet medlemmer. Videre ser en trender innenfor ransomware, der aktører ser ut til å bruke liknende angrepsmetodikk på tvers av grupperinger, som gjør det vanskeligere å attribuere angrep til en spesifikk gruppe.
Referanser
https://blog.google/threat-analysis-group/fog[...]

Cisco kommer med sikkerhetsanbefalninger for flere av deres produkter

Cisco har sluppet en rekke anbefalninger rundt svakheter i deres produkter. Dette gjelder ClamAV, Cisco Nexus, Cisco Email Security Appliance og Cisco Secure Email And Web Manager. Svakheten i ClamAV er generell og berører flere produkter, både fra Cisco og andre leverandører. Den gjør det mulig for en angriper å ta kontroll over et system som scanner filer med ClamAV ved å få scannet en spesiell HFS+ partisjonsfil.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...] https://blog.clamav.net/2023/02/clamav-01038-[...]

2023.02.16 - Nyhetsbrev

Amerikansk kritisk infrastruktur var nær ved å bli tatt ned av russisk hackergruppe. Økokrim satte rekord i krypto-beslag. Helse-informasjon for 1 million amerikanske pasienter på avveie. Ny MortalKombat ransomware og Laplas Clipper skadevare brukt i kampanje.

Amerikansk kritisk infrastruktur var nær ved å bli tatt ned av russisk hackergruppe

En hackergruppe koblet til Russland var nære å ta ned flere Amerikanske elektriskanlegg og gassanlegg i de første ukene av Ukraina krigen. Dette melder cybersikkerhetsfirmaet Dragos, som spesialiserer seg på angrep mot industrielle styringssystemer. Hadde angrepet vært vellykket, ville dette vært det mest alvorlige tilfellet av europeisk eller amerikansk infrastruktur som har blitt tatt ned som resultat av et cyber-angrep. Lederen for Dragos, Robert M. Lee, sier at det aldri har vært så nære på å gå galt som denne gangen. Hvordan angrepet ble håndtert blir ikke offentliggjort, men at Amerikanske myndigheter og cybersikkerhetsfirmaer var med å stoppe angrepet fra å skje. Det var grupperingen Chernovite som stod bak angrepet med skadevare kalt "Pipedream".
Referanser
https://www.politico.com/news/2023/02/14/russ[...]

Økokrim satte rekord i krypto-beslag

Økokrim har tatt beslag i rundt 60 millioner kroner, etter rekordtyveriet mot spillet Axie og 750 norske spillere i fjor. De jakter nå flere milliarder kroner sammen med FBI. Tidligere har FBI tatt rundt 300 millioner i tilsvarende beslag. Ifølge det amerikanske føderale politiet FBI stod den nordkoreanske hackergruppen «Lazarus» bak tyveriet i fjor.
Referanser
https://e24.no/boers-og-finans/i/nQmJXQ/oekok[...]

Helse-informasjon for 1 million amerikanske pasienter på avveie

En av de største sykehus-kjedene i USA opplyser at hackere har fått tak i sensitiv helseinformasjon om rundt 1 million pasienter. Opplysingene ble stjålet etter å ha utnyttet en svakhet i filoverføringsverktøyet GoAnywhere fra Fortra. Journalisten Brian Krebs advarte for to uker siden om at en ny svakhet var under aktiv utnyttelse i verktøyet GoAnywhere. Svakheten har senere blitt kjent som CVE-2023-0669 og ble patchet av selskapet 7. februar. Utnyttelse av svakheten krever tilgang til innloggings-siden til verktøyet GoAnywhere. Flere andre firmaer skal også ha blitt kompromittert ved hjelp av svakheten. Flere har blitt utsatt for ransomware.
Referanser
https://arstechnica.com/information-technolog[...]

Ny MortalKombat ransomware og Laplas Clipper skadevare brukt i kampanje

Cisko Talos melder at de siden desember 2022 har observert en uidentifisert aktør som har tatt i bruk to nye typer malware, MortalKombat ransomware og en variant av Laplas Clipper skadevaren for å stjele kryptovaluta. De har observert aktøren scanne internett for maskiner med en eksponert remote desktop protocol (RDP) port 3389, ved å bruke en nedlastingsserver som kjører en RDP crawler og har MortalKombat rasomware. Talos ser for tiden mange angrepskampanjer mot individer, mindre bedrifter og større bedrifter med mål om å stjele eller utpresse kryptovaluta, da kryptovaluta gir angriperen gunstige fordeler som desentralisering, anonymitet og manglende regulering. Dette gjør det vanskelig å spore angriperen.
Referanser
https://blog.talosintelligence.com/new-mortal[...]

2023.02.15 - Nyhetsbrev

Citrix oppdaterer Workspace Apps, Virtual Apps og Desktops. SAS utsatt for kyberangrep: Personopplysninger på avveie. Mozilla slipper sikkerhetsoppdateringer for Firefox. Microsoft utgir sikkerhetsoppdateringer for februar 2023

Citrix oppdaterer Workspace Apps, Virtual Apps og Desktops

Citrix har gitt ut sikkerhetsoppdateringer som fikser flere sårbarheter kategorisert med "høy" viktighet. En lokal bruker vil kunne bruke sårbarhetene til å få full kontroll over systemene.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

SAS utsatt for kyberangrep: Personopplysninger på avveie

Flyselskapet SAS ble i går ettermiddag utsatt for et kyberangrep som omfattet både nettsiden og appen til SAS. I forkant av angrepene hadde en hacktivist-gruppe truet med å utføre DDoS-angrep mot flere svenske flyselskaper. I en tidsperiode ble kunder sendt til en annen tilfeldig profil dersom de prøvde å logge seg inn på appen. Med dette kunne man både se sensitive personopplysninger samt bonuspoeng og neste flyvninger. Klokken 20:45 skal innloggingsproblemene ha blitt løst.
Referanser
https://www.vg.no/nyheter/utenriks/i/kEm1MX/s[...]

Mozilla slipper sikkerhetsoppdateringer for Firefox

Mozilla Foundation slipper sikkerhetsoppdateringer for Firefox. Blant sårbarhetene er 11 av 20 klassifisert som "høy" med blant annet screen hijacking (fullscreen mode) og krasj ved printing.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Microsoft utgir sikkerhetsoppdateringer for februar 2023

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer for februar 2023. Det er totalt 80 bulletiner, hvor 9 er vurdert som kritiske av Microsoft. Flere av sårbarhetene kan utnyttes til å kjøre kode over internett og ta kontroll over brukere og systemer.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]

2023.02.14 - Nyhetsbrev

Apple fikser ny 0-dags sårbarhet funnet for iPhone, iPad, Mac og Safari.

Apple fikser ny 0-dags sårbarhet funnet for iPhone, iPad, Mac og Safari

Apple patcher sin første 0-dags sårbarhet for 2023, CVE-2023-23529. Sårbarheten har røtter i Apple sin nettleser-motor WebKit. En angriper kan trigge sårbarheten ved at brukeren av enheten navigerer til en nettside med spesielt utformet innhold. Nettsiden kan få operativsystemet til å krasje og angriper får eksekvere vilkårlig kode på enheten. Apple opplyser at svakheten allerede kan være i bruk for å kompromittere enheter. Apple patcher også en svakhet i kjernen til operativsystemet som gjør at en prosess kan få utvidede rettigheter (CVE-2023-23514).
Anbefaling
Oppdatere til enten iOS 16.3.1, iPadOS 16.3.1 eller macOS VEntrura 13.2.1 avhengig av enheten din
Referanser
https://thehackernews.com/2023/02/patch-now-a[...] https://support.apple.com/en-us/HT213635 https://support.apple.com/en-us/HT213633 https://support.apple.com/en-us/HT213638

2023.02.13 - Nyhetsbrev

Årets trussel- og risikovurderinger er offentliggjort. Nord-Koreanske APT-grupper finansierer regimet med ransomware. Hackere har angrepet det israelske universitetet Technion og krever løsepenger. Epost-kontoen til Namecheap kompromittert og brukt til å sende ut spam.

Nord-Koreanske APT-grupper finansierer regimet med ransomware

Amerikanske og Sør-Koreanske myndigheter advarer om at Nord-Koreanske APT-grupper tjener penger på ransomware-angrep mot kritisk infrastruktur og spesielt helsevesen. Myndighetene har gitt ut en rapport som går igjennom taktikkene brukt i angrepene.
Referanser
https://securityaffairs.com/142090/breaking-n[...]

Hackere har angrepet det israelske universitetet Technion og krever løsepenger

En ny og så langt ukjent gruppering kalt DarkBit har angrepet det israelske Technion-universitetet. Angriperne krever at det betales 80 Bitcoins i løsepenger innen 48 timer, ellers truer gruppen med å offentliggjøre stjålne data og ikke levere ut nøkkelen for å dekryptere filene. Trusselbrevet som ble lagt igjen tyder på at angrepet til dels kan være politisk motivert.
Referanser
https://www.csoonline.com/article/3687615/hac[...]

Årets trussel- og risikovurderinger er offentliggjort

13. februar la Etterretningstjenesten, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet frem sine åpne trussel- og risikovurderinger. - Rapportene som presenteres i dag understreker at verden er farligere og mer uforutsigbar. Det er snart ett år siden Russlands brutale angrep på Ukraina. Krigen har forandret verden, Europa og Norge. Krigen har forandret hverdagen vår. Situasjonen stiller høye krav til nasjonalt samarbeid om sikkerhet og beredskap, og den krever at vi utnytter kunnskapen EOS-tjenestene presenterer for oss her i dag, sa forsvarsminister Bjørn Arild Gram.
Referanser
https://www.regjeringen.no/no/aktuelt/pktruss[...]

Epost-kontoen til Namecheap kompromittert og brukt til å sende ut spam

Søndag kveld ble epost-kontoen til Namecheap på tjenesten SendGrid kompromittert og brukt til å sende ut spam. Blant annet ble det sendt ut eposter som omhandlet kryptolommebøker og pakker fra DHL, i et forsøk på å lure til seg sensitiv informasjon. Namecheap opplyser i en uttalelse at ingen av deres egne systemer har blitt kompromittert.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.02.10 - Nyhetsbrev

Politiet: Pågrepet «sentral aktør» i phishingmiljø. Myndighetene i USA og UK sanksjonerer 7 personer knyttet til ransomware. Norske håndballklubber utsatt for hackerangrep. ESET har gitt ut sin trusselrapport for 2022.

Politiet: Pågrepet «sentral aktør» i phishingmiljø

En mann i 20-årene er pågrepet av Oslo-politiet, siktet for grovt bedrageri og hvitvasking. Ifølge politiet er han en sentral aktør i et svindelmiljø. Mannen knyttes til et internasjonalt kriminelt miljø med koblinger til kriminelle nettverk i Norge. Det er knyttet til såkalt phishing, også kalt nettfisking.
Referanser
https://www.aftenposten.no/norge/i/mBKed4/nyh[...]

Myndighetene i USA og UK sanksjonerer 7 personer knyttet til ransomware

Myndighetene i USA og UK har innført sanksjoner mot syv navngitte russiske statsborgere som har vært medlemmer av Trickbot-banden. Trickbot har infiserte en mengde maskiner med malware, for deretter å selv installere ransomware på dem eller selge tilgangen videre. Videre tilgang har blant annet blitt solgt til Ryuk-banden og Trickbot har selv installert ransomware-variantene Conti og Diavol på infiserte systemer. Bare i UK har 149 organisasjoner betalt rundt £27 millioner i løsepenger relatert til banden. Etter sanksjonene er nå firmaer i UK og USA forhindret fra å betale løsepenger til banden. Myndighetene sier også at Trickbot-banden har forbindelser til etterretnings-tjenesten i Russland og antageligvis har mottatt oppdrag fra dem.
Referanser
https://www.wired.co.uk/article/conti-trickbo[...] https://home.treasury.gov/news/press-releases[...] https://www.gov.uk/government/news/uk-cracks-[...]

Norske håndballklubber utsatt for hackerangrep

På onsdag ble flere norske håndballklubber utsatt for hackerangrep da en aktør tok over flere av klubbene sine kontoer i sosiale medier.
Referanser
https://www.digi.no/artikler/norske-handballk[...]

ESET har gitt ut sin trusselrapport for 2022

ESET Research har gitt ut sin trusselrappport for 2022. Her ser oppsummerer de året som var og ser på hva vi kan vente i 2023. Blant annet skriver de at angrep via RDP har gått kraftig ned, ransomware har blitt enda mer destruktivt og at Log4j-svakheten er fortsatt en viktig angrepsvektor.
Referanser
https://www.welivesecurity.com/wp-content/upl[...]

2023.02.09 - Nyhetsbrev

SentinelLabs har oppdaget en variant av Cl0p ransomware for Linux.

SentinelLabs har oppdaget en variant av Cl0p ransomware for Linux

Sikkerhetsforskere hos SentinelLabs har oppdaget den første varianten av Cl0p sin ransomware som er laget for å kjøre på Linux-systemer. ELF-filen har imidlertid en alvorlig svakhet i implementasjonen av kryptografien som brukes, noe som gjør at krypterte filer kan dekrypteres enkelt. I det siste har det dukket opp flere Linux-varianter av ransomware-familier. Mange av disse har også støtte for å angripe VMWare ESXi-servere.
Referanser
https://www.sentinelone.com/labs/cl0p-ransomw[...]

2023.02.08 - Nyhetsbrev

Åtte svakheter fikset i ny versjon av OpenSSL.

Åtte svakheter fikset i ny versjon av OpenSSL

OpenSSL har sluppet nye versjoner og brukere av gamle versjoner bes om å oppgradere til de nye versjonene 3.0.8, 1.1.1t og 1.0.2zg. Den mest alvorlige svakheten er CVE-2023-0286 og er av typen "type confusion". Den kan i teorien utnyttes til å lese vilkårlig minne og å utføre tjenestenekt.
Referanser
https://www.openwall.com/lists/oss-security/2[...] https://www.securityweek.com/openssl-ships-pa[...]

2023.02.07 - Nyhetsbrev

Alvorlig svakhet i OpenSSH kan utnyttes før autentisering. DNB melder om en eksplosiv økning i digitale bedragerier det siste året. Oppsummering av nyhetsbildet innen datasikkerhet for januar 2023.

Alvorlig svakhet i OpenSSH kan utnyttes før autentisering

OpenSSH versjon 9.2 har blitt utgitt og den fikser en rekke sikkerhetssvakheter. Den viktigste er CVE-2023-25136, som er en "double free" svakhet som kan utnyttes før brukeren er autentisert mot serveren. Feilen ble introdusert i versjon 9.1. OpenSSH opplyser selv at det skal være vanskelig å utnytte svakheten på grunn av flere mitigerende sikkerhetstiltak. Denne typen svakhet oppstår når kode frigjør minnet to ganger, noe som kan føre til korrupt minne, som videre kan føre til krasj eller eksekvering av kode.
Referanser
https://thehackernews.com/2023/02/openssh-rel[...]

DNB melder om en eksplosiv økning i digitale bedragerier det siste året

DNB melder at digitale bedragerier har økt med 832 prosent fra 2018 til 2022. Bedrageriene er også mer avanserte enn tidligere, samtidig som at de rammer både bedrifter og privatpersoner. DNB klarte i fjor å avverge bedrageriforsøk for 1067 millioner kroner, men de kriminelle lyktes med å gjennomføre bedragerier for 177 millioner kroner fra deres kunder. Størsteparten av bedrageriforsøkene skyldes phishing, nærmere bestemt 2/3. Det siste året har en opplevd en økning i phishingforsøk på 69 prosent og hele 920 prosent de siste 3 årene. Ofte skyldes vellykket phishing at folk har mer tillit til bedrageren enn de har til bankens varslinger. Dette forklares med at bedragerne har blitt mer sofistikerte i sine angrep.
Referanser
https://www.vg.no/nyheter/innenriks/i/JQBVnX/[...]

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2023

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for januar 2023. Denne måneden skriver vi blant annet om dataangrep mot TV2, DNV og Royal Mail.
Referanser
https://telenorsoc.blogspot.com/2023/02/oppsu[...]

2023.02.06 - Nyhetsbrev

Mistanke mot dataangrep mot enda en kommune i Nord-Norge. Ny bølge med ransomware-angrep utnytter VMware-bug for å angripe ESXi-servere.

Mistanke mot dataangrep mot enda en kommune i Nord-Norge

Torsdag meldte Vadsø kommune at de var utsatt for datainnbrudd. Fredag melder Målselv kommune at de mistenker det samme. «Pga. mistanke om et dataangrep mot Målselv kommune har vi nedstengt hele datasystemet vårt», melder kommunen selv på egne nettsider. Senere på dagen meldte kommunen at situasjonen var avklart og at kommunens tjenester var gjenåpnet. Saken er politianmeldt og følges opp mot Datatilsynet.
Referanser
https://www.vg.no/nyheter/innenriks/i/WRkPGa/[...] https://www.malselv.kommune.no/mistanke-om-da[...]

Ny bølge med ransomware-angrep utnytter VMware-bug for å angripe ESXi-servere

VMware ESXi hypervisors er målet i en ny bølge med angrep med mål om å installere ransomware på sårbare systemer. Frankrikes CERT melder at disse angrepskampanjene ser ut til å bruke CVE-2021-21974, som ble patchet allerede 23. februar 2021. VMware skriver selv at problemet skyldes en OpenSLP heap overflow-svakhet som kan muliggjøre eksekvering av kode. En ondsinnet aktør med tilgang til port 427 på ESXi-serveren kan utnytte denne svakheten. Den franske skyleverandøren OVHcloud skriver at angrepene er oppdaget over hele verden men er spesielt fokusert mot Europa, videre skriver de at det er sannsynlig at disse angrepene er relatert til en ny Rust-basert ransomware kalt Nevada, som ble kjent i desember 2022.
Referanser
https://thehackernews.com/2023/02/new-wave-of[...]

2023.02.03 - Nyhetsbrev

Vadsø kommune utsatt for dataangrep, WithSecure oppdaget Lazarus Group-styrt cyberangrep rettet mot forskningsorganisasjoner og alvorlige sårbarheter oppdaget i industrielle Cisco-enheter.

Vadsø kommune utsatt for dataangrep

Vadsø kommune ble utsatt for et dataangrep natt til torsdag. Angrepet ser ut til å ha rammet alle brukere av det kommunalet nettet, inkludert legekontor. Kommunen vet foreløpig ikke hva det videre omfanget av angrepet er, og om informasjon er hentet ut av systemene deres, men kommundirektøren informerer om at det ikke er fare for liv og helse. De er i løpende kontakt med nasjonale sikkerhetsmyndigheter.
Referanser
https://direkte.vg.no/nyhetsdognet/news/vadso[...]

WithSecure oppdaget Lazarus Group-styrt cyberangrep rettet mot forskningsorganisasjoner

WithSecure oppdaget og responderte på et cyberangrep i Q4 2022, som de med høy sannsynlighet mener var utført av Lazarus Group. Dette baserer de på teknikker brukt i angrepet som overlapper med teknikker Lazarus Group ofte benytter, samt en operativ sikkerhetsfeil gjort av aktøren. Angrepet var rettet mot forskningsorganisasjoner i både offentlig og privat sektor. WithSecure antar motivasjonen for angrepet var å samle informasjon.
Referanser
https://labs.withsecure.com/publications/no-p[...]

Alvorlige sårbarheter oppdaget i industrielle Cisco-enheter

To sikkerhetsfeil som påvirker flere industrielle Cisco-enheter har blitt oppdaget. Den første feilen ble oppdaget i kode som ikke var utgitt enda og ga mulighet for ekstern kodeeksekvering. Den andre feilen ble oppdaget i eksisterende utstyr som er i bruk. Denne feilen lar angripere injisere kommandoer som kan gi mulighet for ekstern kodeeksekvering og full root-tilgang på utstyret. Begge feilene ble funnet i utstyrets mulighet for å kjøre spesiallagede applikasjoner.
Referanser
https://www.darkreading.com/ics-ot/command-in[...]

2023.02.01 - Nyhetsbrev

Falske nettsider for Bitwarden og 1Password dukker opp i Google-søk. Microsofts «Verified publisher»-ordning blir misbrukt til å distribuere skadelig programvare. Ukraina-krigen har styrket båndene mellom Russlands regjering og cyberkriminelle. Utnyttelseskode sluppet for kritiske svakheter i VMware vRealize.

Falske nettsider for Bitwarden og 1Password dukker opp i Google-søk

Bitwarden og 1Password melder om aktivitet der cyberkriminelle lager falske nettsider som gir seg ut for å være legitime tjenester for passordhåndtering via Google Ads. Når man f.eks. søker etter «bitwarden password manager» blir man sendt til phishing-sider som ser identiske ut til originalen og også har et lignende domene-navn. Trusselaktørene prøver gjennom den nye teknikken å få tilgang til alle kontoene som er lagret i ofrenes passord-hvelv. Google opplyser at å stoppe denne typen angrep har høyeste prioritet, men annonser fra Google har i det vært kilde til flere typer misbruk.
Referanser
https://www.darkreading.com/threat-intelligen[...]

Microsofts «Verified publisher»-ordning blir misbrukt til å distribuere skadelig programvare

Proofpoint melder om en trussel-kampanje som involverer skadelige tredjeparts Oauth-applikasjoner. Disse blir publisert fra kontoer som har status som «verified publisher» fra Microsoft. Appene blir brukt for å infiltrere målenes sky-miljøer. Foreløpig har Proofpoint sett tre forskjellige applikasjoner fra tre utgivere. Alle angrepene har vært målrettede angrep mot britiske selskaper. Blant de rammede brukerne var det ansatte innen økonomi og markedsførings, samt ledere og direktører. For å unngå denne typen angrep er det viktig å verifisere at appen en gir tilgang til sitt miljø kommer fra riktig utgiver. Vanlige brukere bør heller ikke ha ha tillatelse til å gi tilganger til tilfeldige tredjeparts apper.
Referanser
https://thehackernews.com/2023/02/hackers-abu[...] https://www.proofpoint.com/us/blog/cloud-secu[...]

Ukraina-krigen har styrket båndene mellom Russlands regjering og cyberkriminelle

Før Russland invaderte Ukraina gjennomførte den russiske regjeringen flere aksjoner mot russiske kriminelle grupper for å blidgjøre vestlige land. Etter invasjonen har den russiske regjeringens styrket båndene til cyberkriminelle, skriver The Record. Forskjellige kriminelle grupperinger utfører oppdrag som understøtter krigen, ofte ved å lekke stjålne data fra Ukraina. Dette har også ført til en økning i cyberkriminalitet, da kriminelle har fått økt støtte og beskyttelse fra regjeringen, så lenge de ikke angriper mål innenlands. Myndighetene kan også gjennomføre aksjoner gjennom de kriminelle gruppene eller gi seg ut for å være dem.
Referanser
https://www-therecord.recfut.com/how-the-war-[...]

Utnyttelseskode sluppet for kritiske svakheter i VMware vRealize

Sikkerhetsforskere fra Horizon3 har sluppet eksempelkode for utnyttelse i de nylig meldte svakhetene i VMware vRealize. Patcher for å fikse svakhetene ble utgitt sist uke. Det er ventet at svakhetene snarlig vil bli utnyttet i reelle angrep, så vi anbefaler å installere patcher så fort som mulig.
Referanser
https://www.bleepingcomputer.com/news/securit[...]