av Mikael Winterkvist | nov 12, 2021 | Säkerhet
Ransomware-attackerna där offren får viktiga filer krypterade. Låsta usch obrukbara av hackare blir alltmer hänsynslösa och målinriktade skriver Europol i en ny rapport.
Antalet attacker har ökat, markant, och de metoder som nu används är mer hänsynslösa och innefattar inte enbart att kryptera filer. Data stjäls och utpressarna hotar även att offentliggöra information om lösensumman inte betalas. I flera fall så har de kriminella även ringt medier för att tipsa om vilken information som har stulits och det finns även fall de drabbades chefer, anställda och släktingar har ringts upp. Även offers kunder har ringts upp – allt för att öka pressen på drabbade att betala den begärda lösensumman. De alltmer hänsynslösa metoderna tycks också fungera, lkonstaterar Europol, som beräknar att utbetalningarna har ökat med 300 procent mellan åren 2019 och 2020.
Ransomware
En ransomware-attack kan genomföras på flera olika sätt och målet med attacken är att få offret att exekvera ett program som snabbt krypterar alla filer i ett sårbart system. Det kan göras med länkar i e-post, bifogade filer i e-post eller genom att de kriminella lyckas att ta sig in via ett känt säkerhetshål och en vägen starta krypteringen av filer. När väl filerna är krypterade, oläsliga så får offret en uppmaning att betala en summa, ofta i Bitcoin eller någon annan digital valuta för då få en en dekrypteringsnyckel så att filerna kan låsa upp igen. I samband med attackerna stjäls numera även data och Europol konstaterar att de stulna filerna används som extra påtryckningsmedel.
av Mikael Winterkvist | nov 12, 2021 | Säkerhet
Buggar i macOS och iOS exploateras i attacker riktade mot användare i Hongkong Kong, rapporterar Google säkerhetsexperter i en färsk rapport.
Buggen har upptäckts av Googles utvecklare och säkerhetsforskare och buggen exploateras i attacker främst riktade mot demokratiförespråkare, aktivister och politiska grupper i Hong Kong. Buggarna, CVE-2021-30869, åtgärdades av Apple i en uppdatering den 23 september i år, alltså ganska nyligen.
Allvarliga
Det är synnerligen allvarliga buggar därför att de kan exploateras för att få ett sårbart system att köra kod på en hög accessnivå vilket kan leda till att en sårbar enhet kan kapas och tas över. Det faktum att attackerna ser ut att vara riktade mot en viss pågrund, demokratiförespråkare, gör att Googles experter drar slutsatsen att det sannolikt rör sig om statsstödda hackare.
Based on our findings, we believe this threat actor to be a well-resourced group, likely state backed, with access to their own software engineering team based on the quality of the payload code.
Google
Spela in
I attackerna installeras mjukvara som används för att avlyssna en sårbar enhet. Den kod som har installerats visar sig kunna spela in såväl ljud som bild. Koden, mer ett komplett avlyssningsprogram, kan även spela in tangentnedtryckningar, fingeravtryck och skärmbilder – förutom att kunna ställa information som lagrats i en enhet – dator, iPhone eller iPad.
Kina
Google experter menar att det högst sannolikt handlar om statsstödda hackare som genomför attackerna och den bedömningen görs utifrån vilka som attackeras, kvaliteten på den kod som laddats upp och som exekverats i drabbades enheter samt den information som hackarna har försökt att komma över. Även om Google inte pekar ut något land så är är slutsatsen att det handlar om Kina eller ett land som står Kina nära.
av Mikael Winterkvist | nov 11, 2021 | Säkerhet
Svenska företag, även myndigheter har enorma utmaningar när det kommer till IT-säkerhet. Det visade bland annat den stora it-attacken som fick Coop att stänga ner de allra flesta butiker. Även skandalen med Transportstyrelsen bristfälliga IT-säkerhet vid outsourcing är ett bra exempel på hur stora skador som kan ske när IT-säkerheten inte beaktas tillräckligt.
Det går att bryta ner IT-säkerhet i många delar, varje del med sin egen svaghet. Företag och offentlig sektor blir även mer beroende av att hitta extern expertis inom området. Det är ofta svårt att ha en specialistkompetens som kan se helheten inom företag och organisationer. En viktig faktor när det kommer till IT-säkerhet är hur lätt det är att komma åt interna system och intern information externt.
Säkrare IT-system med åtkomstkontroll
Det finns flera olika sätt att säkra åtkomsten till IT-system och sätt att styra vad som kan utföras och av vem. Då handlar det främst om att kunna ha en intern kontroll, några viktiga faktorer och utmaningar:
- Företag bör ha möjlighet att ha åtkomstkontroll utan extra hårdvara eller en mjukvara, det underlättar när det finns behov av att införa begränsningar till åtkomst för olika användare.
- Det kan vara svårt att hitta en enkel lösning utan att behöva blanda in flera olika externa aktörer. Framför allt om det finns behov av att skapa många olika behörighetsnivåer i många olika system.
- Det bör gå snabbt att lägga till behörigheter och ta bort dem, helt enkelt ska det finnas flexibilitet i skalbarheten. Trots allt skapas det säkerhetsluckor om det inte går att smidigt kontrollera åtkomsten snabbt.
Lagar och förordningar inom informationssäkerhet och skydd av personuppgifter ställer även krav på det ska vara möjligt att snabbt få ut vem som har tillgång till vad. Det finns en del lösningar som gör det möjligt utan att blanda in flera externa aktörer.
Säkrare IT-system- grundläggande krav som kan ställas
Företag och organisationer bör ha en tydlig intern säkerhetspolicy där det finns klara riktlinjer som rör IT-system. På så sätt blir det tydligt för alla som har tillgång till systemen vad som får göras och av vem. Det underlättar om det olika användargrupper som styrs med åtkomstkontroll.
Ytterligare ett krav som kan ställas är olika former och nivåer av kryptering. Det finns möjlighet att se över exempelvis åtkomstkontroll utifrån IP-adresser. Tvåfaktorsidentifiering är en grundläggande säkerhetsfråga och bör vara ett standardkrav för all extern åtkomst av system. Det är ett sätt att försvåra olaga intrång eller att medarbetare kommer över information som de inte borde ha tillgång till.
Även om det finns tvåfaktorsidentifiering är det rimligt att kunna begränsa åtkomsten till hela företagets eller organisationens IT-system enkelt. Ett sätt är att bygga in säkerhetslösningar som gör det svårare för obehöriga att komma åt information eller komma in i system.
av Mikael Winterkvist | nov 9, 2021 | Säkerhet
Jakten på medlemmar och enskilda som kan kopplas till ransomware-gruppen REVil har nu resulterat i fem gripanden och över 6 miljoner dollar i beslag i form av kryptovalutor.
I samarbete med rumänsk polis och myndigheter så har Europapolitik gjort ett tillslag gjorts mot flera misstänkta varav två personer nu har gripits. I jakten på gruppens medlemmar och samarbetspartners så har nu sammanlagt sju misstänkta gripits i en operation, Golddust, som inleddes i våras av olika polismyndigheter. Sammanlagt 17 länder samarbetar i jakten på Sodinokibi/REvil-gruppens medlemmar.
Kaseya
Grupperna misstänks ligga bakom mer än 7 000 ransomware-attacker med uppskattningsvis runt 600 000 drabbade. I gruppen på de sju som nu har gripits från en 22-åring man från Ukraina som misstänks ha varit den som genomförde attacken mot mjukvarugigantens Kaseya i juli i år. Attacken låste Kaseyas system vilket drabbade ett mycket stort antal kunder i hela världen. Svenska underleverantörer åt Kaseya drabbades också i attacken vilket resulterade att kassasystemen i 800 Coop-butiker i Sverige slogs ut i nära en vecka.
Snaran dras åt runt REvil – en av huvudmännen identifierad
Polisen har jobbat på att kartlägga gruppernas medlemmar, samarbetspartners och vilka internetleverantörer som anlitas för den kriminella verksamheten.
REVil fick smaka på sin egen medicin – hackades i en samordnad operation av polis
Enligt uppgifter så har även gruppernas datorsystem hackats och tagits ned av amerikanska FBI.
Ritningar
REvil misstänks även ligga bakom ett intrång i Quantas datorsystem. Quantas är underleverantör åt Apple och vid intrånget stals bland annat riktningar och grafik som tillhörde de nya modellerna av MaBook Pro. Det var i samband med att de dokumenten publicerades som det blev känt att Apples nya modeller skulle ha fler anslutningar och även en ny MagSafe-kontakt.
Europol
av Mikael Winterkvist | nov 8, 2021 | Säkerhet
Den kinesiska hackargruppen APT27 Pekas ut som ansvarig för en rad attacker mot organisationer i olika delar av världen. Attacker som fortfarande pågår.
Det är säkerhetsforskare vid Paloalto Network som pekar ut gruppen i en rapport. Attackerna inleddes i mitten av september och de misstänkta kinesiska hackarna använde då ett säkerhetshål i mjukvara från Zoho vilket innebar att drygt 11 000 servrar övärlden över var sårbara för en attack:
Beginning on Sept. 17 and continuing through early October, we observed scanning against ManageEngine ADSelfService Plus servers. Through global telemetry, we believe that the actor targeted at least 370 Zoho ManageEngine servers in the United States alone. Given the scale, we assess that these scans were largely indiscriminate in nature as targets ranged from education to Department of Defense entities.
Paloalto Networks
Kraftbolag
Enligt rapportern så har bland annat det amerikanska försvarsdepartementet system attackerats. I andra länder så attacker gjorts bland annat mot kraftbolag och sjukvård, teknik och utbildningsorganisationer. Syftet med attackerna ser ut att vara att försöka att komma över inloggsuppgifter för att kunna kapa konton i sin tur datorsystem.
While we lack insight into the totality of organizations that were exploited during this campaign, we believe that, globally, at least nine entities across the technology, defense, healthcare, energy and education industries were compromised. Following successful exploitation, the actor uploaded a payload which deployed a Godzilla webshell, thereby enabling additional access to a victim network.
Paloalto Networks
Den nu utpekade gruppen APT27 har tidigare pekats ut för en lång av av attacker. Nu senast i somras attackerades sårbara Microsoft-servrar i en mängd attacker tros ha gjorts av gruppen.
av Mikael Winterkvist | nov 7, 2021 | Säkerhet
Amerikanska myndigheter har utfäst en belöning på motsvarande 85 miljoner kronor för uppgifter som kan leda fram till gripandet av medlemmarna i den kriminella hackargruppen Darkside.
Darkside misstänks för att ha legat bakom attacken mot the Colonial Pipeline som förser den amerikanska östkusten med diesel och naturgas. Bolaget betalde 5 miljoner dollar i lösensumma efter en ransomware-attack som slog ut verksamheten. Det amerikanska justitiedepartementet kunde spåra och ta tillbaka närmare 2.3 miljoner av lösensumman men resterande belopp tros ha hamnat i händerna på de kriminella som opererar från Ryssland.
The State Department also said it is offering a reward of up to $5 million for information leading to the arrest or conviction in any country of any person attempting to participate in a DarkSide ransomware incident.
”In offering this reward, the United States demonstrates its commitment to protecting ransomware victims around the world from exploitation by cyber criminals,” the department said in a statement.
Reuters
