av Mikael Winterkvist | jan 29, 2022 | Säkerhet
Microsofts moln, Azure, har utsatts för en massiv och omfattande överbelastningsattack, en 3.47Tbps DDoS-attack.
Attacken genomfördes i november förra året och inkluderade över 10 000 enheter i minst tio olika länder. Det handlar om en riktad attack mot en av Microsofts kunder i Asien och attacken varade i närmare 2 minuter. Månaden efter kom attack nummer två – den här gången på 3.25Tbps som varade i runt 15 minuter. Samma månad, i december förra året, kom ytterligare en attack. Nu på 2.54Tbps och den attacken varade i 10 minuter.
Rekord
Detta betyder att inkom loppet av två månader så har tre närmast enorma överbalstningsattacker sats in mot Microsofts kunder – varav den ena, attacken på 3.47Tbps är ett rektor i sitt slag.
The 3.47Tbps attack is one of the largest that we are aware of, and the details reported align with many of the trends we have seen over the past several months. The rise in large-scale, multi-vector attacks—which we have also seen—indicates that threat actors are becoming more sophisticated, and their use of multiple reflective services such as CLDAP helps them effectively wreak havoc on the overall Internet ecosystem. Through our network visibility, we’re actively identifying and tracking upwards of 11k unique CLDAP reflectors alone potentially being leveraged for DDoS attacks.
Microsoft
av Mikael Winterkvist | jan 26, 2022 | Säkerhet
Datastölderna och intrången har ökat dramatiskt under året, 2021, och har passerat 40 miljarder exponerade konton vilket kan jämföras med drygt 22 miljarder exponerade konton under 2020.
Sammanställningen är gjord av Tenable, säkerhets- och analysföretag och presenteras av HelpNetSecurity.
- Ransomware hade en monumental inverkan på organisationer år 2021, och stod för cirka 38% av alla incidenter.
6% av intrång/incidenter var resultatet av osäkrade molndatabaser.
- UNPATCHED SSL VPNs fortsätter att ge en idealisk ingångspunkt för angripare för att utföra cyberspionage, stjäla känslig och proprietär information och kryptera information och göra den obrukbar.
- Hotgrupper, särskilt Ransomware, har allt oftare utnyttjat sårbarheter och felkonfigurationer i Active Directory.
- Programvarubibliotek och nätverksstackar som vanligen används bland OT-enheter introducerar ofta ytterligare risk när säkerhetskontroller och kodrevisioner inte är på plats.
- Ransomware-grupper attackerade fysiska försörjningskedjor som en taktik för att pressa offren på pengar medan Cyberspionage-kampanjer utnyttjade mjukvaran för att få tillgång till känslig data.
- Hälso- och sjukvård och utbildning upplevde störst störningar från dataintrång
Utpressare
Den stora ökningen handlar om ransomware, utpressning där filer stjäls eller krypteras och så pressar offren på pengar för att informationen inte ska publiceras och göra läsbar igen. Noterbart är också att buggar fortfarande står för den stor del av incidenterna – buggar som inte åtgärdats men där det ofta faktiskt finns uppdateringar att installera. Den bransch som råkat mest illa ut, mest omfattande störningar, är hälso- och sjukvård.
av Mikael Winterkvist | jan 20, 2022 | Säkerhet
Webbplatsen Open Subtitles, som innehåller översättningar för filmer och tv-program, har hackats och närmare sju miljoner kontouppgifter har stulits.
OpenSubtitles är en av de mest populära webbplatserna ute på nätet för översättningar. Open Subtitles startades 2006 av en slovakisk utvecklare som ville ha en samlingsplats för alla de textfiler som skapas med översättningar för filmer och tv-program,. I ett inlägg på webbplatsen forum så berättar en av administratörerna, oss, hur intrånget begicks.
“I augusti 2021 fick vi ett meddelande på Telegram från en hacker, som visade oss att han kunde få tillgång till användartabellen i den databas som ingår i opensubtitles.org. Han bad om en lösensumma Bitcoin för att inte avslöja någon information och för att radera den information han kommit över. Vi kom inte överens, för det var ingen låg summa pengar som han krävde. Han förklarade oss hur han kunde få tillgång till och hjälpte oss att fixa felet. Han hackade ett dåligt skyddat lösenor för en SuperAdmin, och fick tillgång till ett osäkert skript, vilket endast var tillgängligt för SuperAdmins. Detta skript gjorde det möjligt för honom att utföra SQL-injektioner och extrahera data.”
OpenSubtitles
Lösensumma
Uppenbarligen så har en lösen summa också förhandlats fram, dock en lägre summa än den som ursprungligen begärdes. I sitt inlägg skriver oss att informationen skulle raderas, efter det att lösensumman överförts. Ett löfte som hackaren, eller hackarna, inte har hållit. Av den information som OpenSubtitles har lämnat om intrånget så exponerades ingen information i augusti förra året utan först nu, sedan OpenSubtitles på nytt har blivit kontaktade av hackarna med nya krav om pengar. Enligt OpenSubtitles så har informationen lämnats ut av en person som ingått i den grupp av hackare som genomförde attacken.
Torrentfreak
av Mikael Winterkvist | jan 20, 2022 | Säkerhet
En underleverantör till Röda Korset har attackerats och mycket känslig information rörande 515 000 enskilda som förlorat kontakten med sin familj ha exponerats.
Informationen ingår i Röda Korsets projekt Restoring Family Links och bygger på information som samlats in i över 60 olika länder där organsationen är verksam. Projektet samlar in information om enskilda som förlorat kontakten med sina familj, sina närmaste efter naturkatastrofer, krig och migration.
Vädjar
Röda Korset vädjar nu till den eller de som ligger bakom attacken och intrånget att inte publicera eller offentliggöra informationen.
– Vi inte vet vem som är ansvarig för denna attack, eller varför de har gjort det, och vi har en vädjan till dem. Dina handlingar kan potentiellt orsaka ännu mer skada och smärta mot dem som redan har uthärdat ohyggligt lidande. De verkliga människorna, de riktiga familjerna bakom informationen du nu har är bland världens svagaste. Vänligen gör det rätta. Dela inte, sälj, läck eller på annat sätt använd informationen, säger Robert Mardini, Internationella Röda Korset.
Attacken gjordes mot en schweizisk leverantör och Röda Korset har nu tvingats att stänga ned flera av sina system medan intrånget utreds och medan det säkerställs att systemen är säkra att använda.
Bleeping Computer
av Mikael Winterkvist | jan 19, 2022 | Säkerhet
Meddelandetjänsten Telegram används i allt högre grad av kriminella för att sälja stulna kreditkort och andra typer av stulna finansiella konton, visar en undersökning som är gjord av säkerhetsföretaget Cybersixgill.
En av förklaringarna som Cybersixgill Ger är att det är enklare och går snabbare att sätta upp ett antal konton på Telegram än exempelvis starta upp en handelsplats på the Dark Web. Cybersixgills undersökning visar att omfattningen och antalet konton minskade något under 2021 men Telegram är fortfarande en knutpunk och en ofta använda tjänst av kriminella.
Nedgången under 2021 när handlar om försäljningen av stulna kreditkort förklaras av att det utfärdades färre kort under året på grund av pandemin.
This stark nosedive in discourse surrounding compromised accounts from 2020 to 2021 might seem remarkable, but it is not an isolated event; a parallel decrease was also identified in the total number of compromised credit cards sold on underground markets throughout the same period. In our Underground Financial Fraud report for H1 2021, we attributed this decline to the closure of several credit card markets (either imposed by law enforcement or as a result of threat actor “retirement”), ongoing trends towards contactless payments accelerated during the pandemic, and the overall reduction of newly-issued credit cards. Furthermore, with ransomware attacks netting staggering profits in the tens of millions of dollars, cybercriminals have presumably shifted their attention away from credit card compromise to focus on this promising alternative attack vector.
Cybersixgill.com
Betaltjänster
Av de betaltjänster och finansiella instruktioner som nämnas i diskussioner på telegram så dominerar
Via Telegram så bjuds stulna konton och kredit ut i regelrätta annonser:
av Mikael Winterkvist | jan 19, 2022 | Säkerhet
Den officiella appen för Vinter-OS läcker data, hävdar Citizen Lab efter att gått igenom och granskat hur appen hanterar information. Det finns även indikationer på att appen censurerar vissa ord.
Den officiella appen kan användas av de som vill ha nyheter om spelen, publik, tittare, medier och aktiva. Citizen Lab har nu gått igenom appen för att se hur information skyddas, hur information hanteras och vilka funktioner som finns i appen. Av rapporten framgår att appen har stora brister och att appen också hanterar känslig personlig hälso-information:
- MY2022, en app som är obligatorisk för användning av alla deltagare i de 2022 olympiska spelen i Peking, har ett enkelt men allvarlig fel där krypteringsskyddet av den användarens röstljud och filöverföringar enkelt kan förbigås. Hälsodata, pass-detaljer, demografisk information, medicinsk och resehistoria är också sårbara. Server-svaren kan också förfalskas, så att en angripare visar falska instruktioner till användare.
- MY2022 är ganska okomplicerad om de typer av data som den samlar från användare i sina offentliga handlingar. Men eftersom appen samlar en rad mycket känslig medicinsk information, är det oklart med vem eller vilken organisation som den delar denna information.
- MY2022 innehåller funktioner som tillåter användare att rapportera ”politiskt känsligt” innehåll. Appen innehåller även en censur-sökordslista, som, när det för närvarande är inaktivt, riktar sig till en rad olika politiska ämnen, inklusive inhemska frågor som Xinjiang och Tibet samt referenser till kinesiska myndigheter.
Medan leverantören inte svarade på vår säkerhetsupplysning finner vi att appens säkerhetsunderskott inte bara kan bryta mot Googles oönskade programvarupolitik och Apples App Store-riktlinjer utan även Kinas egna lagar och nationella standarder avseende integritetsskydd.
Citizen Lab
Center
Citizen Labs är ett fristående, oberoende datateknisk center och labb som bland annat har analyserat spionprogrammet Pegasus och flera andra spionprogram. Citizen lab råder nu deltagare och publik som ska till Kina och vinter-OS att använda en så kallad ”burner-phone” – en tillfällig telefon som bara används under vistelsen i Kina och som sedan kasseras. Vinter-OS startar den 4 februari och pågår fram till den 20 februari.
BBC
