av Mikael Winterkvist | mar 24, 2022 | Säkerhet
Ransomware kan slå ut ett helt komplext datorsystem på bara några minuter. Mätningar visar att i snitt så kan ransomware kryptera över 100 000 filer på 45 minuter eller mindre.
Ransomware är krypteringsprogram som används för att slå ut datorer genom att kryptera och göra filer oläsliga. Offret krävs sedan på pengar för att få en digital nyckel som påstås kunna låsa upp filerna.
Snabbt
Splunks säkerhetsteam har nu testat flera av de här programmen för att se hur snabbt de kan kryptera filer och slå ut en dator. Slutsatsen skrämmande – ett system kan slås ut helt under 45 minuter.
Undersökningen visade att medianvarianten av ransomware kan kryptera nästan 100 000 filer på totalt 53,93 GB på fyrtiotvå minuter och femtiotvå sekunder. En framgångsrik ransomware-infektion kan lämna organisationer utan tillgång till kritisk IP, personalinformation och kunddata.
Splunk
Programmet LockBit visade sig vara snabbast i Splunks tester.
- Krypteringshastigheterna varierar mellan ransomware-varianter: Individuella ransomware-prover varierade mycket i krypteringshastighet, från fyra minuter till tre och en halv timme.
- LockBit rä snabbast: LockBit, en ransomware-as-a-service (RaaS), var den snabbaste varianten på att kryptera system med hastigheter 86% snabbare än medianen. Det snabbaste LockBit-exemplet krypterade knappt 25 000 filer per minut.
- Identiska ransomware-stammar kan variera mellan olika system. Förbättrade hårdvarufunktioner gav de flesta ransomware-tester snabbare krypteringshastigheter men vissa prover och varianter verkade inte kunna dra fördel av snabbare processorer.
- Ytterligare minne verkade inte ha någon signifikant effekt.
- Högre diskhastigheter kan spela en roll för snabbare exekvering men troligen i kombination med en variant som kan dra fördel av ytterligare CPU-kärnor.
Beredskap
Splunks slutsatser är att testerna visar att om ransomware slår till så slås system ut, snabbt. Säkerhetsarbetet bör därför inriktas på att övervaka, uppdatera och se till att ransomware inte kommer in i datorsystem.
av Mikael Winterkvist | mar 24, 2022 | Säkerhet
Anonymous har nu startat en ny kampanj riktad mot Ryssland – hackarkollektivet tar nu över skrivare inne i Ryssland och skriver ut meddelanden som berättar sanningen om kriget mot Ukraina.
Anonymous har även kapat routrar inne i Ryssland vilka används för att skicka trafik vidare och leta efter fler sårbara skrivare.
PDF-filer
Anonymous har satt samman PDF-filer som snabbt kan skickas till kapade skrivare för utskrift.
HackRead
Sammantaget så handlar det om hundratals kapade skrivare som används för att sprida meddelanden mot kriget. Tidigare så har Anonymous hackat övervakningskameror och faxar för att skicka ut meddelanden för att protestera mot Ryssland krig mot Ukraina.
av Mikael Winterkvist | mar 24, 2022 | Säkerhet
Nyligen publicerade hackargruppoen Lapsus$ källkod som uppgavs ha stulits från Microsoft. Gruppen har också tagit på sig snattret för intrång hos Samsung och Nvidia. Spåren leder nu mot Storbritannien och en tonåring som tros vara gruppens ledare.
Säkerhetsexperter har följt de digitala spåren efter gruppens framfart ute på nätet och tidigare så har det antagits att gruppen agerat från olika platser i Sydamerika. Spåren leder nu istället till en 16-åring som bor hemma med sin mamma nära Oxford i Storbritannien.
Bloomberg
Publicerade
Experterna tittade på olika digitala bevis från hackarna, såväl som offentlig information för att fastställa att tonåringen verkligen var inblandad. Nu skulle det visa sig att efterforskningarna skulle bli lättare än vad som först troddes då rivaliserande hackargrupper publicerade uppgifter om 16-åringen. Informationen innehåller 16-åringens adress och information om hans föräldrar. I den information som publicerats angavs även de alias som tonåringen använder ute på nätet – ”White” och ”breakbase” är två alias som tonåringen använder.
Spår
Experter menar att gruppen inte bara är motiverad av pengar, utan också uppmärksamhet, då de inte sopar igen eller döljer sina spår. Microsoft fann i sin undersökning av Lapsus$-attackerna, att gruppen tillkännager sina hack på sociala medier och publicerar publika uppmaningar till anställda att sälja sina företagsinloggningar.
Det finns också exempel på att medlemmar av Lapsus$ loggar in under Zoom-möten för att håna drabbade, säkerhetsexperter och utredare.
av Mikael Winterkvist | mar 23, 2022 | Säkerhet
Phishing, ett försåtligt sätt att lura användare att logga in på falska webbplatser och lämna ifrån sig sina kontouppgifter har tidigare kunnat avslöjas relativt enkelt men nu kommer en nu, mycket mer sofistikerad metod.
Den nya metoden öppnar ett webläsarfönster som en popup – i ett redan öppet fönster. Fönstret kan göras mycket likt en riktig inloggning och du kan som användare inte lika enkelt se att fönstret går till en falsk webbplats. Signaturen mr.d0x har publicerat det som kallas ”Proof of Concept” på en blogg.
Med denna teknik kan vi nu förbättra vårt nätfiskespel. Målanvändaren skulle fortfarande behöva landa på din webbplats för att popup-fönstret ska visas. Men när användaren väl har landat på den angriparägda webbplatsen kommer användaren att vara lugn när de skriver in sina referenser på vad som verkar vara den legitima webbplatsen (eftersom den pålitliga webbadressen säger det).
Så här skyddar du dig
En lösenordshanterare, 1Password exempelvis, aktiveras och luras inte av den här typen av försök att lura av dig dina kontouppgifter.
https://www.macken.xyz/2022/03/nu-ar-det-dags-att-skaffa-en-losenordshanterare-1password/
Tvåfaktor
Du bör också se över dina lösenord och skaffa tvåfaktorinloggning – ett extra skydd med ett engångslösenord.
https://www.macken.xyz/2022/02/darfor-ska-du-sla-pa-tvafaktor-inloggning-2/
av Mikael Winterkvist | mar 22, 2022 | Säkerhet
Den förmodade sydamerikanska gruppen av hackare, Lapsus$, säger sig ha hackat Microsoft och stulit källkod tillhörande Bing, Bing Maps och Cortana. Samma grupp hävdar också att de har lyckats att kapa ett konto tillhörande molnleverantören Okta.
Lapsus$ har publicerat delar av den källkod, som de säger sig ha stulit, via sin kanal på Telegram, meddelandetjänsten. Gruppen, som alltså tros vara verksam i Sydamerika, publicerade påståendet på Telegram under måndagen. Tidigare, under söndagen hade Lapsus$ lagt upp en skärmdump som den hävdade var källkod från Microsoft, inklusive för kod för söktjänsten Bing och Cortana. Lapsus$ hävdade att den hade kommit åt koden genom att hacka en Azure DevOps-server. Skärmdumpen raderades senare utan förklaring. ”Kommer att skriva mer senare,” meddelade gruppen.
Stulit
Skärmbild från Lapsus$ kanal på Telegram
Telegram-inlägget på måndagen innehöll en 483 KB-fil, som Lapsus$ hävdar innehåller en del av källkoden för Microsofts Bing-sökmotor, Bing Maps-tjänst och Cortana Microsofts virtuella assistent. Gruppen hävdade att filen inkluderade 90 % av Bing Maps-data som den påstår sig ha stulit och 45 % av Bing- och Cortana-data som gruppen också påstår att de har stulit.
Intrång
Den senaste månaden har flera leverantörer däribland Nvidia och Samsung Electronics bekräftat stöld av data vid intrång som Lapsus$ anses ligga bakom. Den 1 mars bekräftade Nvidia att data stulits vid ett intrång som enligt uppgifter är design av grafikkort och källkod för DLSS, ett AI-renderingssystem. Även Samsung har bekräftat att deras datorsystem har hackats.
Det vi vet om Lapsus$ är att gruppen tros operera från länder i Sydamerika. Gruppen har tagit på sig ansvaret för intrång och ransomware-attacker tidigare. Efter intrånget och stölden av data från Nvidia så finns det uppgifter om att Lapsus$ ska ha krävt en lösensumma från Nvidia för att inte publicera den källkod som stulits. Nvidia ska ha vägrat att betala och källkod för Nvidias grafikkort och säkerhetscertifikat har sedan dess publicerats på nätet. Även Samsung ska ha pressats på pengar för att stulen data inte skulle publiceras på nätet.
Intrång i molntjänst
Molnleverantören Okta, som tillhandahåller säkerhetslösningar för identitet och åtkomst, kan ha ha hackats av samma grupp.
Molnleverantören Okta som tillhandahåller identitets- och åtkomsthantering har troligtvis blivit hackade av hackergruppen LAPSUS$. Intrånget genomfördes troligtvis ett hackat konto som anslöt via PaloAlto GlobalProtect som tillhandahåller VPN mot Okta. Tittar man också på skärmdumpar så framgår det att intrånget genomfördes i Januari 2022 och Lapsus själva hävdar att intrånget genomfördes för att man ville komma åt en kund till Okta.
Det framkommer även på skärmdumparna att Lapsus har eller har haft tillgång till flertalet tjänster hos Okta såsom: AWS, Okta Superuser, Zoom app, Okta Sales, Atlassian Cloud Jira & Confluence, Cornerstone (Okta learning portal), Gmail, Crayon och Splunk.
kryptera.se
Då Okta tillhandahåller lösningar avsedda för att förhindra intrång så är detta intrång speciellt allvarligt.
av Mikael Winterkvist | mar 21, 2022 | Säkerhet
Anonymous har hackat flera kinesiska webbplatser som en varning till de kinesiska myndigheterna att hackarkollektivets pågående digitala krig med Ryssland och Belarus snabbt kan komma att utökas till att även omfatta Kina. Detta om Kina ställer sig bakom Ryssland i kriget mot Ukraina.
Anonymous hackade den kinesiska webbplatsen (http://www.chineseculture.com.cn/) och laddade upp en falsk sida med dess logotyp och bilder på en rysk enhet som gruppen hade hackat. Webbplatsen togs ner inom ett dygn efter intrånget men en arkiverad version av sidan ändrad av hacktivisterna finns på Internet Archives WayBack Machine.
Rappare
Den första bilden som dyker upp är Anonymous logotyp, omedelbart följt av en bild av Guy Fawkes-masken. Därefter är en video som spelar musikvideon till ”Fragile”, en Mandopop-låt som sjungs av den malaysiske rapparen Namewee (黄明志) och den Taiwan-baserade australiensiska sångerskan Kimberley Chen (陳芳語).
På den hackade hemsidan fanns även en text och en uppmaning att Kina ska toppa pandemin följt av en text som är en varning till Kina att inte stöda Ryssland i kriget mot Ukraina.
