av Mikael Winterkvist | jul 19, 2021 | Säkerhet
Amazon har stängt ned NSO Groups nätverk och infrastruktur – de delar av det israeliska företagets nätverk där Amazon har varit leverantör.
– När vi fick kännedom om de här aktiviteterna så agerade vid snabbt och stängde ned all infrastruktur och alla konton, skriver en representant för Amazon i ett mail till Motherboard.
Pegasus
Av Amnesty International och Citizen labs undersökning framgår att Amazons nätverk har använts av NSO Groups för att distribuera och skicka ut malware, däribland spyware-programmet Pegasus. I ett specifikt fall så har Amnesty fått fram uppgifter som visar hur NSO Groups attackerade en fransk människorättsadvokat. I attacken användes Amazons Cloudfront-tjänst.
In a statement to The Guardian, NSO said ”NSO does not operate the systems that it sells to vetted government customers, and does not have access to the data of its customers’ targets. NSO does not operate its technology, does not collect, nor possesses, nor has any access to any kind of data of its customers. Due to contractual and national security considerations, NSO cannot confirm or deny the identity of our government customers, as well as identity of customers of which we have shut down systems.”
Vice
av Mikael Winterkvist | jul 19, 2021 | Säkerhet
Israeliska NSO Groups spyware Pegasus kan användas för att exploatera en eller flera buggar i Apples Messages, i iOS 14.6, den senaste versionen.
Enligt Amnestys säkerhetslabb, Amnesty Tech, som analyserat förmodat hackade telefoner så finns det tecken som tyder på att Pegasus kan installeras med en så kallad ”No-Click” funktion. Det vill säga att Pegasus kan installeras utan att användaren måste klicka eller göra något aktivt. Detta via Apples inbyggda meddelandeprogram Messages.
https://twitter.com/AmnestyTech/status/1416834680553414657?s=20
Buggar
Uppgifterna från Amnesty bekräftas av Citizen Lab vilket innebär att det finns en eller flera synnerligen allvarliga buggar i iOS 14.6 och i iPadOS 14.6.
https://twitter.com/billmarczak/status/1416801637104902146?s=20
NSO har tillbakavisat alla uppgifter:
NSO does not operate the systems that it sells to vetted government customers, and does not have access to the data of its customers’ targets. NSO does not operate its technology, does not collect, nor possesses, nor has any access to any kind of data of its customers. Due to contractual and national security considerations, NSO cannot confirm or deny the identity of our government customers, as well as identity of customers of which we have shut down systems.
The Guardian
Apple har ännu inte kommenterat uppgifterna.
av Mikael Winterkvist | jul 14, 2021 | Säkerhet
Utpressarna (Ransomware) REvils hemsida har plockats ned och försvunnit från nätet, utan förklaring. Gruppen, som tros finnas i Ryssland, har legat bakom flera uppmärksammade attacker på senare tid, bland annat mot Kaseyas nätverk vilket slog ut drygt 800 av Coops butiker här i Sverige.
Gruppens framfart och olagliga verksamhet har tagits upp högsta politiska nivå. Nyligen varnade president Joe Biden Vladimir Putin, rysk president, att om Ryssland inte agerade mot de grupper som med ransomware pressar företag och organisationer på pengar stoppas så kommer USA att vidta åtgärder.
Nu har REvils hemsida plockats ned och bort från nätet, utan förklaring.
Monitors say a payment website and a blog run by the REvil group became suddenly unreachable on Tuesday.
The reason behind the disappearance is unknown, but has sparked speculation that the group may have been targeted deliberately by authorities.
It comes amid growing pressure between the US and Russia over cyber-crime.
US President Joe Biden said he raised the issue with Vladimir Putin during a phone call on Friday, after discussing the subject during a summit with the Russian president in Geneva last month.
Mr Biden told reporters that he had ”made it very clear to him…we expect them to act” on information and also hinted the US could take direct digital retaliation on servers used for intrusions.
BBC
Tidspunkten, just nu, har satt fart på spekulationer om att de ryska myndigheterna nu börjat att ingripa mot de hackare som tros operera i skydd av Rysslands gränser.
av Mikael Winterkvist | jul 13, 2021 | Säkerhet
Webbplatsen ransomwhe.re håller koll på kända digitala plånböcker som används för att ta emot utprsssningpengar via ransomware.
På webbplatsen kan du följa betalströmmar för olika grupper och du kan se de senaste betalningarna.
Av informationen så framgår att gruppen Mailto/Netwalker lyckats få in mest pengar totalt och att REvil pressat ut mest pengar i år. Webbplatsen har skapats av säkerhetsforskare Jack Cable som menar att utan en spån här sammanställning, utan statistik som ger en bild av hur omfattande problemet är så går det inte heller att bedöma allvaret.
Why track ransomware payments?
Transparency is crucially needed in assessing the spread of ransomware and the efficacy of mitigations. Fortunately, due to the transparent nature of Bitcoin, it’s easy to track payments with knowledge of receipt addresses. By crowdsourcing ransomware payment addresses, we hope to provide an open resource for the security community and the public.
av Mikael Winterkvist | jul 12, 2021 | Säkerhet
Det börjar att bli ett lite alltför vanligt mönster – bolaget som inte lyssnar på sina egna anställdas varningar, som inte lyssnar på externa konsulters varningar och som reagerar alldeles för sent. Kaseya varnades för buggar redan i april i år, både internt och extern men gjorde ingenting.
Bloomberg har talat med före detta anställda varav en sparkades sedan han skrivit ett 40 sidor långt PM med varningar om buggar i Kaseyas mjukvaror. Flera andra anställda sparkade sedan de haft invändningar mot att Kaseya flyttade delar av verksamheten till Belarus.
Eko
Så sent som i april i år så varnades Kaseya för att det fanns allvarliga och kritiska säkerhetshål i deras system. Varningar som var ett eko av liknande varningar som Kaseya fått ända sedan 2017. Gammal kod, bristfällig kryptering och även buggar av en typ som ett bolag med Kaseyas resurser inte ska råka ut för exempelvis det som kallas för en ”SQL Injection”. Det innebär, enkelt förklarat, att skadlig kod kan skjutas in i befintlig kod och det är en typ av buggar som helt enkelt inte ska slinka igenom kvalitetskontrollen, speciellt inte som att det finns verktyg som kan användas för att upptäcka och identifiera ”SQL injection” problem.
Åtminstone en av de allvarliga buggar som tros ha exploateras av REvil vid attacken som bland annat slog ut 1500 av Kaseyas kunder, däribland över 800+ CLP-butiken kassasystem var av just den typen.
Buggfixar
Först igår började Kaseya att distribuera de nödvändiga buggfixar som krävs för att täppa till de nu aktuella säkerhetshålen, buggarna.
- CVE-2021-30116 – Credentials leak and business logic flaw
- CVE-2021-30119 – Cross-site scripting vulnerability
- CVE-2021-30120 – Two-factor authentication bypass
Och
- CVE-2021-30117 – SQL injection vulnerability (Fixed in VSA 9.5.6)
- CVE-2021-30118 – Remote code execution vulnerability (Fixed in VSA 9.5.5)
- CVE-2021-30121 – Local file inclusion vulnerability (Fixed in VSA 9.5.6)
- CVE-2021-30201 – XML external entity vulnerability (Fixed in VSA 9.5.6)
Av de sju buggarna är åtminstone fem att betrakta som synnerligen allvarliga och det är anmärkningsvärt att ett företag av Kaseyas storlek, resurser och ansvar visat sig vara sårbar för den här typen av buggar.
On several occasions from 2017 to 2020, employees at Kaseya’s offices in the U.S. said they flagged wide-ranging cybersecurity concerns to company leaders. But those issues often weren’t fully addressed, according to the workers, who were employed in software engineering and development at Kaseya and asked not to be identified because they had signed non-disclosure agreements or feared professional retribution.
Bloomberg
Gammal kod
Förutom gammal kod, föräldrar kryptering så har Kaseya även underlåtit att uppdatera sin underliggande system – sina servrar vilket betyder att det fanns mer än en väg in i Kaseyas system.
Two former employees said they warned executives about vulnerabilities in its antiquated Virtual System Administrator software—the system that hackers hijacked to launch this latest attack—that was supposedly so riddled with problems that they wanted it replaced. Kaseya’s customers, companies known as managed service providers or MSPs, provide remote IT services to hundreds of smaller businesses and use VSA servers to manage and send software updates to these clients.
Gizmodo
Börja nedräkningen nu tills den första stämningen landar i amerikansk domstol.
av Mikael Winterkvist | jul 10, 2021 | Säkerhet
Nu har ransomware-attackerna tagits upp på hösta politiska nivå skriver New York Times. Joe Biden har lyft ämnet i samtal med Vladimir Putin med ett tydligt budskap – stoppa attackerna.
Enligt tidningen så ska budskapet ha varit mycket tydligt – sätt stopp för attackerna eller så gör vi (USA) det. Biden gjorde också klart att attackerna inte kommer att behandlas som eller betraktas som brott utan som ett direkt hot mot USAs nationella säkerhet.
“I made it very clear to him that the United States expects, when a ransomware operation is coming from his soil, even though it’s not sponsored by the state, we expect them to act if we give them enough information to act on who that is,” Mr. Biden told reporters.
New York Times
Problemet
Nu är problemet ingalunda så lätt att lösa även om förövarna och de skyldiga sitter gömda i Ryssland. Attackerna kan iscensättas från praktiskt taget vilket dator som hels, var som helst i världen. Biden har tagit upp ryska attacker mot viktiga amerikanska system vid flera samtal tidigare utan att någon synbart har hänt. Nu ser det ut som att Bidéns och amerikaniseras tålamod är på upphällningen.
