Just nu, i semestertider och i sommarvärmen, har det skickats ut ett stort antal falska mail ut som utger sig för att komma från Easy Park, en populär app för att parkera.
I mailet uppmanas du att uppdatera dina uppgifter – alltså logga in för att göra det. Avsändaren är falsk liksom inloggningsidan och mailet kommer inte från Easy Park.
Ett omfattande internationellt tillslag har slagit ut centrala delar av det pro-ryska cyberkriminella nätverket NoName057(16). Operationen, som koordinerades av Europol och Eurojust under kodnamnet Eastwood, ägde rum mellan den 14 och 17 juli och involverade polis- och åklagarmyndigheter från tolv länder, däribland Sverige.NoName057(16) har pekats ut som ansvarigt för en lång rad överbelastningsattacker mot myndigheter, banker och institutioner i länder som stöttar Ukraina. Gruppen har tidigare attackerat svenska mål och deltog bland annat i attacker mot svenska myndighetssidor och banker under 2023 och 2024.
Under insatsen genomfördes 24 husrannsakningar i bland annat Tyskland, Italien, Spanien, Polen, Frankrike och Tjeckien. Två personer greps – en i Frankrike och en i Spanien – och sju internationella arresteringsorder utfärdades. Tyskland står bakom sex av dessa, varav två gäller personer som tros ha varit huvudansvariga för nätverkets verksamhet. Sammanlagt identifierades och slogs över hundra servrar ut över hela världen, samtidigt som en betydande del av nätverkets infrastruktur togs offline.
De som är aktiva inom NoName057(16) utgörs främst av rysktalande sympatisörer som genomför så kallade DDoS-attacker – där webbplatser och digitala tjänster överbelastas för att slås ut. Gruppen saknar formell ledning och använder enkla verktyg för att koordinera attacker. Flera hundra individer som misstänks ha deltagit i angreppen informerades av nationella myndigheter om att deras agerande kan medföra rättsliga konsekvenser. Bland dessa finns ett femtontal identifierade administratörer.
Enligt Europol har NoName057(16) särskilt riktat in sig på mål i länder som gett aktivt stöd till Ukraina, däribland flera NATO-medlemmar. I Tyskland har gruppen genomfört fjorton angreppsvågor sedan november 2023, riktade mot över 250 organisationer. I Schweiz sammanföll flera attacker med politiska evenemang kopplade till Ukraina, och i Nederländerna bekräftades en attack i samband med NATO-toppmötet tidigare i år.
Europol ledde samordningen mellan länderna och agerade nav för informationsutbyte och operativt stöd. Myndigheten organiserade ett trettiotal möten och etablerade ett gemensamt kommandocentrum med representanter från bland annat Frankrike, Spanien, Tyskland och Nederländerna. Eurojust koordinerade de rättsliga åtgärderna under insatsen och ansvarade för internationell rättshjälp och europeiska utredningsorder.
Utredningen visar att NoName057(16) använt chattkanaler, forum och meddelandetjänster för att rekrytera deltagare, sprida instruktioner och förstärka budskap. Deltagare har fått betalt i kryptovaluta och motiverats genom topplistor och digitala belöningssystem – något som enligt Eurojust lockat yngre användare genom ett slags spelifiering. Målet har varit att försvara Ryssland och slå tillbaka mot väst.
Utöver Sverige deltog även bland annat Tyskland, Frankrike, Finland, Schweiz, Nederländerna, Spanien, Polen, Italien, USA, Litauen och Tjeckien i operationen. Belgien, Danmark, Estland, Kanada, Lettland, Rumänien och Ukraina gav tekniskt och operativt stöd.
Källor:
Malware på endpoints, alltså på användares datorer och enheter, ökade med över 700 procent. Den vanligaste attackmetoden var så kallade LSASS-dumpar, där angripare stjäl användaruppgifter genom att utnyttja en kritisk Windows-process. Samtidigt minskade antalet ransomware-attacker med 85 procent, men hotet finns kvar. Bland annat är ransomware-varianten Termite fortfarande aktiv. Trenden tyder på att fler angripare övergår från att kryptera filer till att i stället fokusera på att stjäla data.
Skadlig kod som utnyttjar krypterad TLS-trafik blev vanligare, och vissa trojaner kombinerar numera helt legitima filer med krypterad kommunikation. Det gör dem svårare att upptäcka och kräver både beteendeanalys och aktivt skydd på varje enhet. En av de mest spridda hoten var en trojan kallad Agent.FZPI, som spreds via just TLS-krypterade förbindelser.
En annan trend är att angripare allt oftare använder så kallade LoTL-tekniker – attacker som bygger på legitima verktyg i operativsystemet. Samtidigt minskar användningen av traditionella scriptbaserade attacker, vilket tyder på att hotaktörerna väljer diskretare metoder för att undvika upptäckt.
Geografiskt fanns stora variationer. Den falska applikationen Cashback.B spreds exempelvis i särskilt hög grad i Chile och Irland, där den utgjorde en majoritet av alla upptäckta hot. Totalt sett minskade antalet olika typer av nätverksattacker med 16 procent, men de som faktiskt användes var mer målinriktade och ofta inriktade på äldre system med kända sårbarheter.
E-post fortsätter att vara den främsta spridningsvägen för malware. Med hjälp av AI blir bedrägerimejlen dessutom allt mer trovärdiga, vilket bidrar till att både nätverk och endpoints blir infekterade i högre takt.
Källa:
De gripna är tre män i åldrarna 17 till 19 år samt en 20-årig kvinna. En av männen är medborgare i Lettland, övriga är brittiska medborgare. Gripandena skedde i London och West Midlands. I samband med insatserna beslagtogs även elektronisk utrustning.
Personerna misstänks för brott mot Storbritanniens dataintrångslagstiftning, utpressning, penningtvätt och medverkan i organiserad brottslighet.
Enligt utredarna är de kopplade till Scattered Spider – en välkänd cyberkriminell gruppering som använder social ingenjörskonst, SIM-kapning och nätfiske för att ta sig in i företags IT-system. Gruppen har också kopplingar till ransomware-operatören DragonForce.
Bland annat drabbades Marks & Spencers onlinesystem tidigare i år, vilket ledde till att företagets digitala verksamhet låg nere i nästan sju veckor. Co-op och Harrods utsattes kort därefter för liknande angrepp.
Paul Foster, chef för NCAs cyberenhet, kallar gripandena för ett viktigt framsteg men betonar att utredningen fortfarande pågår i samarbete med både nationella och internationella aktörer.
Marks & Spencers ordförande Archie Norman har uppgett att företaget tagit hjälp av FBI under utredningen och efterlyser lagstiftning som tvingar företag att rapportera allvarliga IT-incidenter. Företagen som drabbats har samarbetat med myndigheterna. Co-op har i ett uttalande betonat att “hacking inte är ett brott utan offer”.
Källor:
En ”Kill Switch” är en funktion som stoppar all trafik – om du inte kan ansluta mot din VPN-server och VPN-tjänst. Det är ett effektivt sätt att se till att aldrig surfa runt, oskyddad, ute på nätet utan säkerställa att du är ansluten till din VPN-tjänst.
Ett bra VPN-program bör ha både en ”Kill Switch” och en funktion där VPN aktiveras automatiskt så snart du befinner dig utanför dina vanliga, pålitliga nätverk. Ett pålitligt nätverk kan exempelvis vara ditt lokala nät hemma eller ditt lokala nät på kontoret. Nätverk som du har koll på och där du vet vilka andra som ansluter mot samma nät.
Ett nät på en restaurang, ett hotell eller ett café är inte ett pålitligt nät, även om det är Wifi, skyddat med WPA eller liknande. Tvärtom är ett sådant nät att betrakta som oskyddat då du inte vet vilka andra som kopplar upp sig. Då ska du (bör) använda din VPN-anslutning och den bör startas automatiskt.
I NordVPN så kan du snabbt och enkelt aktivera ”Kill Switch” i inställningarna. Här kan du även ange vilka nät du litar på vilket betyder att då startas inte NordVPN.
Klart!
Mannen misstänks vara medlem i den statligt sponsrade hackergruppen Silk Typhoon, tidigare känd som Hafnium. Gruppen har tidigare pekats ut som ansvarig för en rad intrång mot amerikanska företag, myndigheter och forskningsinstitutioner.
Enligt utredningen var mannen inblandad i attacker mot organisationer som arbetade med covid-19 under pandemin. Hackarna tros ha försökt stjäla information om vacciner, behandlingar och testmetoder. Angreppen ska ha riktats mot forskare, sjukhus och universitet med koppling till USA.
Mannen sitter nu häktad i Italien i väntan på beslut om utlämning till USA där han väntas åtalas för cyberspionage.
Källor: