av Mikael Winterkvist | apr 21, 2022 | Säkerhet
Anonymous har slagit till mot en rad ryska bolag på senare tid i en kampanj som riktas mot e-postservrar. Totalt så har hackarkollektivet nu offentliggjort över 5.8 TB med data som stulits vid attacker och intrång.
Anonymous deklarerade att de inlett en kampanj riktad mot Ryssland och ryska intressen i slutetat av februari i år – #opRussia. Förutom stulna dokument, databaser och enorma mängder e-post så har Anonymous också publicerat namnen på 600 FSB-agenter och anställda i Moskva-regionen. Utöver det så har information om närmare 120 000 ryska soldater publicerats. Den ryska centralbanken har hackats. något som Ryssland ihärdigt förnekade ända fram till dess att 28 GB data offentliggjordes.
Nedan hittar du de senaste intrången och den senaste publicerade informationen.
Sawatzky
Fastighetsförvaltningsbolag
575 000 mejl har offentliggjorts. Bland Sawatzkys kunder finns – Du Pont, Lenovo, Whirlpool, Aveva, Wella, Johnson + Johnson, Cisco, Google, Swatch, Avito, Samsung, Microsoft, Western Union, Saint-gobain, Turkish Airlines och British American Tobacco.
Worldwide Invest
Nästan 250 000 e-postmeddelanden från Worldwide Invest / ВОРЛДВАЙД ИНВЕСТ АС, ett värdepappersföretag med kopplingar till estländska och ryska järnvägsbolag.
GUOV I GS
15 600 e-postmeddelanden från Guov I GS – den allmänna avdelningen av trupper och civilbyggnad, ett byggföretag som arbetar med projekt inom det ryska försvarsdepartementet.
Synesis Surveillance System
1,2 GB videor och data från Synesis och Kipods övervakningssystem och programvara som distribueras i Vitryssland. Uppgifterna samlades in i augusti 2020. De lämnades till DDoSecrets nu som svar på att den vitryska regeringen tog kontroll över systemet.
Neocom Geoservice
87 500 e-postmeddelanden från ingenjörsfirman som specialiserat sig på att utforska olje- och gasfält och tillhandahålla borrstöd. Deras kunder inkluderar Gazprom, Orenburgneft, Samotlorneftegaz, Tyumenneftegaz och Rospan International.
DDOsSecrets
av Mikael Winterkvist | apr 20, 2022 | Säkerhet
Anonymous fortsätter sin intensiva kampanj riktad mot ryska bolag och ryska intressen. Hackarkollektivet har nu tagit sig in i det ryska bolaget Tendertech, ett bolag som hanterar dokument för den ryska bank- och finanssektorn.
Sammanlagt 160 GB med data, varav 426 000 mail har nu publicerats och offentliggjorts via DDOsSecrets.
Tendertech
Tendertech är ett bolag som fungerar som underleverantör till en rad stora ryska banker och finansbolag. Tendertech hanterar dokument, avtal och underlag till avtal. Bland Tendertechs kunder finns Transcapitalbank, Bank Uralsib, Bank Soyuz, RGS Bank, Bank ZENIT och Otkritie Bank.
E-Postservrar
De senaste veckorna så har Anonymous lyckats att hacka ett stort antal e-postservrar och kommit över mycket stora mängder information i vad som ser ser ut att vara en riktad kampanj mot just e-postservrar. Sannolikt så har Anonymous hittat säkerhetshål som antingen är okända eller som inte har åtgärdats av systemens administratörer. Just e-postservrar är viktiga mål när det handlar om att försöka att komma över data. Det är en viktig kommunikationskanal och inte sällan så finns stora mängder historisk information lagrad både i form av mail och bifogade filer. För en hackare så är e-post en guldgruva att gräva ur.
av Mikael Winterkvist | apr 19, 2022 | Säkerhet
Anonymnous har hackat och stulit information från det ryska teknikbolaget Technotec som bistår andra bolag inom gasbranschen med service och underhåll.
DDoSecrets har publicerat 495 000 e-postmeddelanden som stals i samband ,med intrånget. Ryska Technotec, tillhandahåller olje- och gasfälttjänster tillsammans med kemiska analyser som används i oljeproduktion och transport till företag. Bland kunderna finns ryska Rosneft och Gazprom Neft. Technotec har också samarbetat med ryska statliga forskningsinstitut, såsom Gubkin Russian State University of Oil and Gas, Federal State Unitary Enterprise och Institute of Oil and Gas Issues vid Russian Academy of Sciences.
Epostservrar
Informationen pekar mot att Anonymous har lyckats att hacka en eller flera av bolaget epost-servrar och där sedan laddat ned all kommunikation tillsammans med bifogade filer – sammanlagt 440 GB data.
DDosSecrets
av Mikael Winterkvist | apr 19, 2022 | Säkerhet
Hackarkollektivet Anonymous har lyckats att hacka en epostserver som tillhör ett av den stora ryska gasjätten Gazproms bolag. Nu har 768 000 mail publicerats på nätet och offentliggjorts tillsammans med bifogade filer.
Servern tillhör Gazprom Linde Engineering, som är specialiserat på att designa gas- och petrokemiska processanläggningar och oljeraffinaderier. Bolaget är ett samarbete mellan Gazprom och Linde och kunderna inkluderar Gazprom, Gazprom Invest, Gazprom Neft, Linde, Novatek, Tatneft, China National Chemical Engineering, Sojitz och RusChemAlliance. Linde är ett tyskt företag som har sitt huvudkontor i Irland och Storbritannien. Bolaget är världens största industrigasproducent mätt efter intäkter och marknadsandelar. Gazprom i sin tur är Rysslands största företag och världens största börsnoterade naturgasföretag.
Offentliggjorts
Alla maił med bifogade filer, sammanlagt 728 GB data, har nu lagts ut på nätet via DDosSecrets webbplats.
DDosSecrets
Stängts ned
Linde meddelade den 29 mars att all verksamhet i Ryssland avbrutits och stängts ned.
Som medlem i ett konsortium med Technip Energies och ryska Nipigazpererabotka, är Linde en nyckelpartner som stödjer ett mångmiljardbelopp inom teknik-, upphandlings- och konstruktionskontrakt för exportprojektet Arctic LNG 2 som leds av Novatek, Rysslands största oberoende gasproducent.
I ett uttalande på en företagswebbplats sa Linde att de ”samarbetar med relevanta regeringar och myndigheter för att säkerställa att företaget till fullo följer internationella sanktioner och på ett säkert sätt avvecklar drabbade projekt i Ryssland”.
Dessutom har Linde ”stoppat all affärsutveckling för nya projekt i Ryssland”.
Upstream Online
av Mikael Winterkvist | apr 18, 2022 | Säkerhet
Just nu ser det ut som att det pågår en omfattande kampanj med att försöka att kapa och ta över Facebook-konton. Det finns en omfattande mängd rapporter om att okända har försökt att få ut koder för att återställa och därmed kapa konton.
Har du fått mail om att du försökt återställa dig Facebook-konto på senare tid så är du inte ensam. Det pågår en kampanj, iscensatt av okända, där koder begärs ut för att återställa Facebook-konton. Det här ett örsök att kapa konton, ta över dem och sedan sannolikt använda dem för spam, obeställd och ovälkommen reklam.
Äkta
För egen del så fick jag 19 såna mail, bara under gårdagen, och det ska tilläggas att mailen är äkta, de kommer från Facebook och de är avsedda att användas för att återställa ett konto för att kunna logga in. Det förövarna hoppas är att de ska kunna komma åt koderna och sedan kapa kontona.
Tvåfaktor
I sammanhanget så kan värdet och skyddet med tvåfaktor-inloggning inte överskattas. Det är en pinkod som ska anges, förutom dina vanliga inloggningsuppgifter och det är en engångskod som tas fram slumpmässigt. Det är ett av de enklaste och samtidigt mest effektiva skydden du kan aktivera för dina konton. Även om en obehörig skulle komma över både ditt inloggningsnamn och ditt lösenord kan denne någon inte logga in och kapa ditt konto – för det krävs engångskoden.
Du kan antingen välja att få koden skickad till dig via SMS (rekommenderas inte) eller så skaffar du ett program, en app för att ta fram koderna – rekommenderas. Du måste förvisso ha telefonen tillhands men all säkerhet har ett pris och i det här fallet så är det ett litet pris att betala i en jämförelse med vad som kan ske om någon kapare dina konton.
https://www.macken.xyz/2022/02/darfor-ska-du-sla-pa-tvafaktor-inloggning-2/
av Mikael Winterkvist | apr 17, 2022 | Säkerhet
OldGremlin är en relativt okänd hackargrupp som är känd för avancerade och sofistikerade attacker.Gruppen har få attacker som tillskrivs dem, runt fem sedan 2021, och nu finns tecken som tyder på att de är aktiva igen med attacker riktade mot ryska intressen.
OldGremlin använder inte ransomware och slår inte ut system med överbelastningsattacker utan använder egenutvecklade bakdörrar som installeras i sårbara system. Bakdörrar som sedan används för att ta sig in och stjäla information. Därefter kommer krav på lösensummor för att informationen inte ska säljas eller publiceras. Vid tidigare attacker har gruppen krävt stora summor, upp mot tre miljoner dollar för att offren ska få tillbaka sin information.
Phishing
Den senaste OldGremlin-aktiviteten består av två nätfiskekampanjer som startade i slutet av mars 2022. Det är för tidigt att bedöma hur många företag som kampanjen riktades mot men säkerhetsforskare säger att minst ett ryskt företag inom gruvsektorn kan ha fått sina system penetrerade. Säkerhetsexperter vid det Singapore-baserade säkerhetsföretaget Group-IB säger att OldGremlin den här gången utgav sig för att vara revisor på en rysk finansiell organisation och varnade för att de nyligen införda sanktionerna mot Ryssland skulle avbryta verksamheten för betalningshanteringssystemen Visa och Mastercard.
Hello,
We, at [bortplockat namn], have received reliable information about new sanctions in the next couple of days. The Visa/Mastercard payment system will be shut down completely. All cards issued in our country will no longer work.
Everyone must therefore urgently issue [bortplockat] cards and link them to their bank payroll.
Use the following instructions [länk] for the following banks: [bortplockat namn]
Fill out the form (see attachment) and send it back, making sure to specify the bank branch at which it is convenient for you to pick up the bank card.
Remember that if you want to link a card to a payroll, you must inform the accounting department of the account details after receiving the card. Please sign and send the form to our email address within 5 (five) hours from the moment you receive this email. For the purposes of efficiency, please send it in this email thread chain.
[bortplockat namn]
Senior Accountant at [bortplockat namn]
En så kallad phishingkampanj, nätfiske, går ut på att skicka ut till synes äkta brev till ett sort antal mottagare med förhoppningen om att någon ska klicka på länkar eller följa instruktionerna – och därigenom ladda ned och installera exempelvis en mjukvara som installerar en bakdörr. I brevet ovan är alla namn och länkar bortplockade av säkerhetsskäl.
Bakdörren
I fallet ovan så var meddelandet länkat till ett dokument med skadlig kod som lagrats på DropBox. Koden innehäll en känd bakdörr som ger angripare möjlighet att kunna fjärrstyra och ta över en sårbar dator. Den mjukvara som användes vid denna attack är en nyare, uppdaterad version av mjukvara som OldGremlin använt tidigare. Mjukvaran och tillvägagångssättet tillsammans med en del andra digitala spår gör att attacken kopplas till OldGremlin.
Tilläggas bör att OldGremlin tidigare alltid attackerat just ryska företag och organisationer. Det finns alltså ingenting som talar för att gruppen återupptagit sin kriminella verksamhet som ett stöd för Ukrainas sak i det pågående kriget. OldGremlin har snarare sett en möjlighet att utnyttja det pågående läget för sina egna syften.
Group-IB
