Hackaren Dr HeX har gripits i Marocko – misstänks för en rad intrång

Hackaren Dr HeX har gripits i Marocko – misstänks för en rad intrång

av | jul 7, 2021 | Säkerhet

Interpol har gripit en av de senare årens mest aktiva hackare, Dr HeX. Mannen misstänkts för en lång rad bedrägerier, intrång och attacker på senare år och gripandet är resultatet av en mer än två år lång utredning.

Mannen tros ha varit aktiv sedan 2009 och misstänks för omfattande bedrägerier och för attacker mot ett mycket stort antal företag, organisationer och enskilda.

Acting under the signature name of ‘Dr Hex’, the suspect is believed to have targeted thousands of unsuspecting victims over several years through global phishing, fraud and carding activities involving credit card fraud.

He is also accused of defacing numerous websites by modifying their appearance and content, and targeting French-speaking communications companies, multiple banks and multinational companies with malware campaigns.

The suspect is also alleged to have helped develop carding and phishing kits, which were then sold to other individuals through online forums to allow them to facilitate similar malicious campaigns against victims.

Interpol

Phishing

Mannen har använt sig phishing, falska hemsidor och lurat av enskilda kontouppgifter. Den nu gripne ska även ha använt stulna kontokort, hackat andras hemsidor och webbplatser för att styra trafik till sina egna webbplatser. Mannen misstänks även för att ha utvecklat så kallade phishing-kit, instruktioner och mjukvaror för att genomföra bedrägerier ute på nätet.

 

Samtidigt på den andra sidan: Nio appar i Google Play stal användarnas lösenord

Samtidigt på den andra sidan: Nio appar i Google Play stal användarnas lösenord

av | jul 5, 2021 | Säkerhet

blank

Nio appar i den officiella butiken för appar för Android, Google Play, har visat sig vara trojaner och de 5.8 miljoner nedladdningarna innebär att ett mycket stort antal användare kan ha blivit av med kontouppgifter, lösenord och annan känslig information.

Det handlar om sammanlagt nio appar som funnits i Google subtil ett längre tag. Apparna har laddats ned 5.8 miljoner gånger vilket betyder att om det vill sig illa så har närmare 6 miljoner Android-användare blivit av med viktig personlig konfirmationsläger. Upptäckten gjordes av Dr Web:

  1. a photo-editing software called Processing Photo. It is detected by Dr.Web Anti-Virus as Android.PWS.Facebook.13 and was spread by the developer chikumburahamilton. It was installed over 500,000 times.
  2. applications that enabled access limitations for using other software installed on Android devices: App Lock Keep from the developer Sheralaw Rence, App Lock Manager from the developer Implummet col, and Lockit Master from the developer Enali mchicolo―all detected as Android.PWS.Facebook.13. They were downloaded at least 50,000, 10 and 5,000 times respectively.
  3. Rubbish Cleaner from the developer SNT.rbcl―a utility to optimize the Android device performance. It was downloaded over 100,000 times. Dr.Web detects it as Android.PWS.Facebook.13.
  4. astrology programs Horoscope Daily from the developer HscopeDaily momo and Horoscope Pi from the developer Talleyr Shauna, also detected as Android.PWS.Facebook.13. The former had more than 100,000 installs while the latter―more than 1,000 installs.
  5. a fitness program called Inwell Fitness, and detected as Android.PWS.Facebook.14 from the developer Reuben Germaine. It has more than 100,000 installs.
  6. an image editing app called PIP Photo that was spread by the developer Lillians. Its various versions are detected as Android.PWS.Facebook.17 and Android.PWS.Facebook.18. This app has over 5,000,000 downloads.

Dr Web

Facebook

Enligt analysen så har apparna stulit inloggningsuppgifter till Facebook. Google uppges nu ha plockat bort de nio aktuella apparna från sin butik.

Ännu ett nätverksnamn som kan slå ut din iPhone

Ännu ett nätverksnamn som kan slå ut din iPhone

av | jul 5, 2021 | Säkerhet

blank

Nu har ett nytt nätverksnamn hittats som kan slå ut din iPhone och den här gången värre än det tidigare hittade namnet – nu slås WiFi-funktionen ut mer permanent.

Tidigare hittades ett namn på ett nätverk, något du kan döpa ditt nätverk till, som tillfälligt kunde slå ut WiFi-funktionen i en iPhone och iPad. Genom att döpa ett nätverk till ett visst namn och sedan försöka att avslutat så slogs funktionen ut men den gick att få igång igen genom en omstart eller ett återställande av nätverksinställningarna.

Namn på ett Wi-Fi-nätverk kan krascha din iOS-enhet

Permanent

Det här problemet, det nya namnet, uppges vara värre för det slår mer permanent ut WiFi-funktionen i en iPad och iPhone.

Apple har ännu inte kommenterat uppgifterna.

Kaseya: Hackarna tog sig in via ett säkerhetshål, kräver 70 miljoner dollar i lösensumma

Kaseya: Hackarna tog sig in via ett säkerhetshål, kräver 70 miljoner dollar i lösensumma

av | jul 5, 2021 | Säkerhet

blank

Hackarna, REvil, tog sig in via ett nyligen upptäckt säkerhetshål i Kaseyas mjukvara, VSA. Enligt uppgifter så höll Kaseya på att åtgärda buggarna när hackarna avslog till.

Kaseya hade fått en varning av nederländska The Dutch Institute for Vulnerability Disclosure (DIVD) att det fanns buggar i deras mjukvara. Buggar som enligt DIVD ska vara tämligen enkla att exploatera och utnyttja för att ta sig in i sårbara system.

After this crisis, there will be the question of who is to blame. From our side, we would like to mention Kaseya has been very cooperative. Once Kaseya was aware of our reported vulnerabilities, we have been in constant contact and cooperation with them. When items in our report were unclear, they asked the right questions. Also, partial patches were shared with us to validate their effectiveness. During the entire process, Kaseya has shown that they were willing to put in the maximum effort and initiative into this case both to get this issue fixed and their customers patched. They showed a genuine commitment to do the right thing. Unfortunately, we were beaten by REvil in the final sprint, as they could exploit the vulnerabilities before customers could even patch.

Attacken genomfördes praktiskt taget samtidigt som Kaseya jobbade med att ta fram buggfixar och åtgärda säkerhetshålen.

Grupp

Den grupp som tror ligga bakom intrånget och ransomware-attacken, ryska REvil, har även gett sig tillkänna via en webbplats på the Dark Web. Där kräver nu utpressarna 70 miljoner dollar för att lämna över de dekrypteringsnycklar som krävs för att kunna återställas filerna. Det har ifrågasatts om det verkligen är REvil som ligger bakom attacken men det finns flera tydliga indikationer om att det är den ryska hackargruppen som ligger bakom:

  • REvil har tagit på sig ansvaret enligt ett scenario som i delar liknar gruppen tillvägagångssätt sedan tidigare.
  • REvil har använts samma webbplatser som tidigare för att framföra sina krav på pengar.
  • Mjukvaran som använts, ransomware, överensstämmer i allt väsentligt med gruppens tidigare attacker.
  • De digitala spår som samlats in pekar också mot REvil och Ryssland.

Därmed inte sagt att det det är fastslaget att det är den här gruppen som är skyldiga till attacken som genomfördes i fredags eftermiddag svensk tid. Attacken har lett till att drygt 800 Coop-butiker fortfarande tvingats att hålla stängt och störningar inom SJs och Apoteket Hjärtats verksamheter bland annat. Internationellt så har drygt 1000 av Kaseyas kunder drabbats.

Uppdatering

Enligt den senaste uppdateringen från Kaseya så pågår arbetet med att återställa och åtgärda drabbade system fortfarande. Rådet är att inte koppla upp sårbara system mot nätet utan att fortfarande se till att aktuella servrar inte har någon access ut mot nätet. Kaseyas förhoppning är att börja att kunna koppla upp systemen igen för att återuppta normal drift under dagen, idag måndag, 5 juli.

All on-premises VSA Servers should continue to remain offline until further instructions from Kaseya about when it is safe to restore operations. A patch will be required to be installed prior to restarting the VSA and a set of recommendations on how to increase your security posture.

Kaseya

Stor ransomware-attack mot amerikanska bolag

Stor ransomware-attack mot amerikanska bolag

av | jul 3, 2021 | Säkerhet

blank

Över 200 amerikanska bolag har utsatts för en stor och omfattande attack med ransomware. Attacken riktades inledningsvis mot ett dataföretag och dessa kunder och har sedan spridit sig till fler företag.

Attacken inleddes mot dataföretaget Kaseya VSA som tillhandahåller produkter för datalagring. Företaget har drygt tip tusen kunder i mer ön 10 länder därav flera stora amerikanska företag. Kaseya bekräftar attacken som startade på fredagseftermiddagen, svensk tid:

Beginning around mid-day (EST/US) on Friday, July 2, 2021, Kaseya’s Incident Response team learned of a potential security incident involving our VSA software.  

We took swift actions to protect our customers: 

  • Immediately shut down our SaaS servers as a precautionary measure, even though we had not received any reports of compromise from any SaaS or hosted customers;
  • Immediately notified our on-premises customers via email, in-product notices, and phone to shut down their VSA servers to prevent them from being compromised. 

Kaseya 

Utredning

The US Cybersecurity and Infrastructure Agency, CISA, en del av Homeland Securtity har inletts en undersökning och utredningen av attacken som tros vara iscensatt av den ryska hackargruppen REvil. Samma ryska hackare genomförde en samordnad attack mot myndigheter i Texas, USA, 2019 på ett liknande sätt.

REvil pekas ut för flera attacker riktade mot stora företag. I maj i år slogs världens största köttproducent JBS ut i en ransomware-attack. Där pekas den ryska gruppen ut som ansvarig.

CISA

Hårddiskar raderades via buggar i mjukvaran

Hårddiskar raderades via buggar i mjukvaran

av | jun 30, 2021 | Säkerhet

blank

De Western Digital-diskar som raderats externt, fjärrstyrt, raderades via två säkerhetshål i mjukvaran som exploaterades av förövarna, visar två undersökningar som gjorts av Western Digital och Ars Technica.

För en dryg vecka sedan upptäckte flera användare av Western Digital My Book Live, en nätverksansluten hårddisk, att alla data hade raderats och i några fall så hade även hårddisken återställts till fabriksinställningarna. Av allt att döma så hade detta gjorts av okända, obehöriga, utifrån.

Western Digital uppmanar kunder att koppla bort sina hårddiskar från nätet

Undersökt

Western Digital har nu undersökt händelsen och konstaterar att de okända förvarna har exploaterat ett eller flera säkerhetshål i hårddiskarna mjukvara. Hårddiskarna uppdaterades senast 2015 och sedan dess har mjukvaran inte uppdaterats.

Western Digital has determined that Internet-connected My Book Live and My Book Live Duo devices are under attack by exploitation of multiple vulnerabilities present in the device. In some cases, the attackers have triggered a factory reset that appears to erase all data on the device.

Western Digital

Western Digital erbjuder nu uppdatering av hårddiskarna till nyare modeller och startar även ett program för att hjälpa kunder med att återvinna förlorad information, i den mån det är möjligt.

Mjukvara

Parallelt med Western Digitals undersökning så har även Ars Technica, tekniskt nyhetsblogg, undersökt mjukvara och det som hänt. Även den undersökningen visar att förövarna exploaterat buggar i mjukvaran.