av Mikael Winterkvist | maj 24, 2021 | Säkerhet
För en dryg vecka sedan utsattes det irländska sjukvårdssystemet för en ransomware-attack som slog ut delar av verksamheten. Efter att ha krävt 20 miljoner i en lösensumma så har nu hackarna lämnat över de verktyg som ska kärvas för att låsa upp filerna – utan att ha fått betalt.
Även om hackarna lämnat ifrån sig verktygen för att få igång verksamheterna igen så hotar de fortfarande med att publicera och offentliggöra information om de inte får betalt – något som de irländska myndigheterna sagt är uteslutet. Irland tänker inte betala hackarna.
The Irish government says it is testing the tool and insists it did not, and would not, be paying the hackers.
Taoiseach (Irish prime minister) Micheál Martin said on Friday evening that getting the software tool was good, but that enormous work is still required to rebuild the system overall.
Conti is still threatening to publish or sell data it has stolen unless a ransom is paid.
On its darknet website, it told the Health Service Executive (HSE), which runs Ireland’s healthcare system, that ”we are providing the decryption tool for your network for free”.
Varning
Samtidigt med attacken mot det irländska sjukvårdssystemet så har FBI gått ut med en varning för gruppen Conti.
av Mikael Winterkvist | maj 19, 2021 | Säkerhet
En ständigt pågående diskussion när det gäller säkerhet är när du ska uppdatera, hur snabbt ska du uppdatera och med vilka intervaller. Ska vi tro på the Palo Alto Networks Cortex Xpanse research team, och det finns anledning att göra det, så handlar det om timmar och minuter innan hackarna börjar scanna efter sårbara system sedan en buggrapport publicerats.
I snitt så hittar och identifierar systemansvariga säkerhetsproblem inom 12 timmar och en trend sedan en tid tillbaka är att hackarna fokuserat söker efter buggar och problem med Remote Desktop Protocol. Kan hackarna ta över en sådan tjänst så kan de också snabbt ta över anslutna servrar och datorer.
Buggfix
Det intressanta i the Palo Alto Networks Cortex Xpanse research teams rapport är hur snabbt hackare reagerar och hur snabbt de börjar att söka efter gnugga och säkerhetshål efter det att de rapporterats. Det handlar om timmar, minuter ibland vilket gör det extra viktigt att inte lägga ut sådan information innan det finns en patch, en buggfix. Det finns en inofficiella hedersmedlem att alltid ge tillverkarna tillräckligt med tid att samla in information och ta fram en korrigering, en uppdatering som åtgärdar felet. Det är direkt svinaktigt och helt ansvarslöst att publicera information om buggar direkt bara för att få lite uppmärksamhet. Det försätter vanliga användare i fara och risk för att råka illa ut till ingen nytta alls.
Lista
Teamet har satt samman en lista på buggar och problem som är de som hackarna letar efter mest:
- Remote access services (e.g., RDP, VNC, TeamViewer)
- Insecure file sharing/exchange services (e.g., SMB, NetBIOS)
- Unpatched systems vulnerable to public exploit and end-of-life (EOL) systems
- IT admin system portals 5. Sensitive business operation applications (e.g., Jenkins, Grafana, Tableau)
- Unencrypted logins and text protocols (e.g., Telnet, SMTP, FTP)
- Directly exposed Internet of Things (IoT) devices
- Weak and insecure/deprecated crypto
- Exposed development infrastructure
- Insecure or abandoned marketing portals (which tend to run on Adobe Flash)
Bleeping Computer
av Mikael Winterkvist | maj 15, 2021 | Säkerhet
Den ryska hackargruppen Darkside, som tros ligga bakom attacken mot the Colonial Pipeline, har stängt ned sina verksamhet på nätet. Nyligen avslöjades att gruppen fått 5 miljoner dollar för att lämna över dekrypteringsprogrammet som låser upp filerna som som ledde till att den viktiga pipelinen stängdes ned. En utbetalning som också innebar startat för jakten på gruppens medlemmar.
Darkside som trots operera från Ryssland har genomfört en rad attacker, ransomware, mot företag och organisationer. FBI beräknar att gruppen tjänat närmare 15 miljoner dollar på senare år och attacken mot the Colonial Pipeline handlade om det alla Darksides attacker handlar om, pengar. Kort efter attacken bad Darkside om ursäkt och sa att det inte var deras avsikt att slå ut viktiga delar av den amerikanska instrastrukturen, de vill bara tjäna pengar. Gruppen bad om ursäkt via en av deras sidor på Dark Web.
“We are apolitical, we do not participate in geopolitics, do not need to tie us with a defined government and look for other our motives [sic]. Our goal is to make money, and not creating problems for society. From today we introduce moderation and check each company that our partners want to encrypt to avoid social consequences in the future.”
Misstag
Attacken var ett misstag av ett annat skäl – i och med att pipelinen, som förser den amerikanska östkusten med 46 procent av diesel och naturgas slogs ut, så upphöjdes Darkside till att bli ett prioriterat mål för de amerikanska polis-. och underättelseorganisationerna. Gruppen och deras plattform med ransomware dök upp i ryska forum i augusti 2020. Darkside borde också det alla företag gör – reklam som berättar varför just deras produkt och tjänst är bättre än andras. I det här fallet är produkten ransomware och tjänsten utpressning.
Ransomware innebär att vid en attack så krypteras dina bilder, videro, dokument – alla viktiga data med en svårforcerad kryptering. All din information är låst. Kort efter det attacken genomförts kommer så ett upressningsbrev där du får veta att du har en vidd tid på dig att betala en fastställd summa i kryptovaluta om du vill komma åt din information igen.
Jakten
Nu har gruppen försvunnit från nätet. Sannolikt sedan de insett att nu har jakten på dem intensifierats. De servrar som lagrat gruppen digitala plånböcker, för att ta emot betalningar, har beslagtagits och stängts. Polis och underrättelseorganisationer har en del information att gå på. Gruppen har skickat över dekrypteringsprogrammet och The Colonial Pipeline har uppenbarligen varit i kontakt med Darkside. Nu lär all sådan kommunikation vara skyddas på en rad olika sätt men det finns en del digitala spår att följa upp. Gruppen har säkerligen också funnits på FBIs och Homeland Securitys radar under en längre tid och efter attacken mot the Colonial Pipeline så har sannolikt extra medel snabbt anslagits för att intensifiera jakten på Darkside.
Darksides blog är stängd, borta, liksom konton i en del av de digitala mötesplatser där gruppen och dess medlemmar har funnits. Nu ska för tydlighetens skull också sägas att det här inte är webbplatser på det öppna kända nätet. De finns, eller fanns, på the Dark Web, den del av nätet som inte indexeras av nätet sökmotorer.
Darkside har också meddelat att servrar och annan utrustning beslagtagits av myndigheterna. Meddelandet nedan återpublicerades på en kanal på Telegram.
Statsunderstödda attacker
Enligt uttalanden från Vita Huset så finns det just nu inga tecken som tyder på att ryska underrättelseorganisationer ska vara inblandade i Darksides senaste attacker. Det ska därmed inte handla om statsunderstödda attacker.
av Mikael Winterkvist | maj 14, 2021 | Säkerhet
WordPress har uppdaterats till version 5.7.2 vilket är en viktiga säkerhetsuppdatering.
Uppdateringen korrigerar en bugg som påverkar alla versioner ända tillbaka till version 3.7.
WordPress 5.7.2 is now available.
This security release features one security fix. Because this is a security release, it is recommended that you update your sites immediately. All versions since WordPress 3.7 have also been updated.
WordPress 5.7.2 is a short-cycle security release. The next major release will be version 5.8.
You can update to WordPress 5.7.2 by downloading from WordPress.org, or visit your Dashboard → Updates and click Update Now.
If you have sites that support automatic background updates, they’ve already started the update process.
Automatiskt
Buggen är allvarlig och kan leda till att obehöriga kan kapa din webbplats.
Har du inte slagit av automatiska uppdateringar (rekommenderas ej) så kommer din webbplats att uppdateras automatiskt.’
av Mikael Winterkvist | maj 14, 2021 | Säkerhet
Företaget som driver the Colonial Pipeline, den viktiga ledning som förser den amerikanska östkusten med diesel och naturgas vill intre kommentera uppgifter att de betalat en lösensumma för att kunna starta upp verksamheten igen men både Bloomberg och New York Times säger sig ha säkra uppgifter på att hackarna fick motsvarande nästan 42 miljoner kronor i lösensumma för att låsa upp de lästa filerna.
The Colonial Pipeline står för 46 procent av distributionen av diesel och naturgas och pipelinen sträcker sig från Texas till New Jersey. Distributionen stoppades den 8 maj i år efter en ransomware-aylttack där datorsystem och information låstes med kryptering.
Bränsleledning utslagen av ransomware
Lösensumma
Nu har distributionen kommit igång igen och enligt uppgifter i amerikanska medier sedan the Colonial Pipeline betalat en stor lösensumma för att kunna låsa upp sina filer.
Nyhetsbyrån Bloomberg säger sig ha fått bekräftat att pengar har betalats ut:
Colonial Pipeline Co. paid nearly $5 million to Eastern European hackers on Friday, contradicting reports earlier this week that the company had no intention of paying an extortion fee to help restore the country’s largest fuel pipeline, according to two people familiar with the transaction.
Även New York Times säger sig ha fått uppgifter, inifrån företaget som bekräftar att runt 5 miljoner dollar betalats yt till hackarna:
A company representative would neither confirm nor deny on Thursday that executives had paid a ransom. The payment was confirmed by people briefed on the matter, who declined to be identified because the information was confidential. It was earlier reported by Bloomberg on Thursday.
Inte kommentera
The Colonial Pipeline vill inte kommentera uppgifterna och vill varken förneka eller bekräfta att pengar har betalats ut. Enligt uppgifterna så ska ett dekrypteringsprogram ha lämnats över av hackarna, som sedan har använts för att låsa upp de krypterade filerna. Programmet visade sig dock vara så långsamt så att parallellt med att låsa upp filerna så lades säkerhetskopior tillbaka för att kunna starta upp verksamheten igen.
Tillägg
* Den 18 oktober 2018 publicerade Bloomberg en längre text, The Big Hack , där det påstås att Apple, Amazon, Super Micro Computer och ett trettiotal amerikanska företag avlyssnades av den kinesiska underrättelsetjänsten. Inget annat media har lyckats hitta några bevis eller indicier som stöder Bloombergs uppgifter, trots att flera omfattande försök har gjorts bland annat av Washington Post. En av de namngivna källorna i Bloombergs artikel förnekar dessutom uppgifterna.
Fram till dags dato så har Bloomberg inte tagit tillbaka sina uppgifter.
Super Micro flyttar tillverkningen – Bloomberg har fortfarande inte dementerat sina uppgifter
Bloomberg håller fortfarande fast vid sin historia om kinesiska hackare
Bloomberg har målat in sig i ett hörn
Bloomberg hade fel och borde medge det
Bloombergs oärliga rapport
av Mikael Winterkvist | maj 12, 2021 | Säkerhet
2015 hittades en allvarlig säkerhetsbyggande i Apples iOS och iPhone. Enligt dokument som framkommit under rättegången mellan Epic Games och Apple så kan så många som 128 miljoner användare ha drabbats – ett faktum som Apples ledning mörkade och inte kommenterade.
I september 2015 ställdes Apples ledning inför ett dilemma – meddela 128 miljoner användare att de kan ha drabbats av ett intrång i sina iPhone eller åtgärda felet och tiga. Av dokumenten att döma så valde Apples ledning det senare – inga vändbare meddelades och buggen åtgärdades, skriver amerikanska Wired.
Upptäcktes
Intrånget upptäcktes när säkerhetsforskare hittade över 40 appar i Apples App Store som innehöll skadlig kod. Efter ytterligare kontroller så hittades 2500 appar med skadlig kod som hade laddats ned 203 miljoner av 128 miljoner användare. 80 miljoner av dem finns i USA.
“Joz, Tom and Christine—due to the large number of customers potentially affected, do we want to send an email to all of them?” App Store VP Matthew Fischer wrote, referring to Apple senior vice president of worldwide marketing Greg Joswiak and Apple PR people Tom Neumayr and Christine Monaghan. The email continued:
If yes, Dale Bagwell from our Customer Experience team will be on point to manage this on our side. Note that this will pose some challenges in terms of language localizations of the email, since the downloads of these apps took place in a wide variety of App Store storefronts around the world (e.g. we wouldn’t want to send an English-language email to a customer who downloaded one or more of these apps from the Brazil App Store, where Brazilian Portuguese would be the more appropriate language).
Wired
Varning
Efter flera timmars interna diskussioner så beslöt Apple att inte skicka ut någon varning. Buggen åtgärdades, apparna och utvecklarna bakom dem kastades ut.
Wired
