Daily NCSC-FI news followup 2020-07-21

Demokraatit pyysivät FBI:ltä apua: Yhdysvaltain kongressi on informaatiovaikuttamisen ja vaalihäirinnän kohteena

yle.fi/uutiset/3-11457623 Demokraattien mukaan häirinnällä vaikutetaan lainsäätäjien toimiin ja Yhdysvaltojen syksyn presidentinvaaleihin. Yhdysvaltain kongressi on ulkomailta suuntautuvan informaatiovaikuttamisen kohteena, demokraattisen puolueen johto kertoi maanantaina julkaisemassaan kirjeessä.

Raportti: Venäjä sekaantui Skotlannin itsenäisyysäänestykseen, Britannian hallitus ei selvittänyt kunnolla mahdollista brexit-häirintää

yle.fi/uutiset/3-11458323 Raportin mukaan brexit-äänestyksen häirinnästä löytyi viitteitä mutta ei selkeää näyttöä. Venäjä sekaantui Skotlannin itsenäisyysäänestykseen vuonna 2014, toteaa Britannian parlamentin teettämä raportti vaalihäirinnästä. Raportin mukaan äänestyksen häirinnästä löytyy uskottavia tietoja avoimista lähteistä. Sen sijaan vuoden 2016 brexit-kansanäänestyksen häirinnästä on viitteitä, mutta asian todistaminen on raportin mukaan vaikeaa tai jopa mahdotonta. Raportin kirjoittajien mielestä Britannian tiedustelupalveluiden tulisi selvittää mahdollinen häirintä perin pohjin. Lue myös:

www.zdnet.com/article/russian-cyberattacks-an-urgent-threat-to-national-security/ ja

docs.google.com/a/independent.gov.uk/viewer?a=v&pid=sites&srcid=aW5kZXBlbmRlbnQuZ292LnVrfGlzY3xneDo1Y2RhMGEyN2Y3NjM0OWFl

Yhdysvallat syyttää kiinalaisten hakkereiden yrittäneen varastaa tietoja koronarokotetta kehittäviltä yrityksiltä

yle.fi/uutiset/3-11459064 Kyseessä ovat ilmeisesti ensimmäiset syytteet koronaan liittyvästä ulkovaltojen hakkeroinnista. Yhdysvaltain oikeusministeriön mukaan kiinalaiset hakkerit ovat yrittäneet murtautua koronarokotetta ja koronalääkkeitä kehittävien yritysten tietokantoihin. Yhdysvalloissa julki tulleesta syytekirjelmästä ei tuoreeltaan selvinnyt ovatko hakkerit onnistuneet saamaan tietoja koronarokotteista tai – -lääkkeistä. Epäiltyjä syytetään yrityssalaisuuksien varastamisesta. Syyttäjien mukaan hakkerit ovat pyrkineet pääsemään käsiksi tietoihin, jotka kiinnostavat Kiinan hallintoa. Lue myös:

www.cnbc.com/2020/07/21/us-charges-chinese-nationals-for-coronavirus-vaccine-hacking-scheme-other-crimes.html,

www.zdnet.com/article/doj-indicts-two-chinese-hackers-for-ip-theft-of-covid-19-research/ ja

www.bleepingcomputer.com/news/security/us-indicts-hackers-working-with-chinas-ministry-of-state-security/

SIGRed: What You Should Know About the Windows DNS Server Bug

www.darkreading.com/endpoint/sigred-what-you-should-know-about-the-windows-dns-server-bug/d/d-id/1338394 DNS experts share their thoughts on the wormable vulnerability and explain why it should be a high priority for businesses.

Internet Scan Shows Decline in Insecure Network Services

www.darkreading.com/risk/internet-scan-shows-decline-in-insecure-network-services-/d/d-id/1338395 While telnet, rsync, and SMB, exposure surprisingly have dropped, proper patching and encryption adoption remain weak worldwide. A comprehensive study of Internet-connected devices conducted over nearly four weeks in late March and early April shows that organizations surprisingly have become better about not exposing the most insecure services to the Internet.

Coinbase blocked Twitter hackers from stealing an extra $280K

www.bleepingcomputer.com/news/security/coinbase-blocked-twitter-hackers-from-stealing-an-extra-280k/ Coinbase says that it was able to block its customers from sending approximately $280, 000 to the Twitter hackers who, last week, took over high-profile accounts to push a massive bitcoin scam. Read also:

www.zdnet.com/article/twitter-hack-coinbase-blocks-280000-in-bitcoin-theft/#ftag=RSSbaffb68

Emotet-TrickBot malware duo is back infecting Windows machines

www.bleepingcomputer.com/news/security/emotet-trickbot-malware-duo-is-back-infecting-windows-machines/ After awakening last week and starting to send spam worldwide, Emotet is now once again installing the TrickBot trojan on infected Windows computers. On July 17th, 2020, after over five months of inactivity, the Emotet Trojan woke up and started massive spam campaigns pretending to be payment reports, invoices, shipping information, and employment opportunities.

Lorien Health Services discloses ransomware attack affecting nearly 50, 000

www.bleepingcomputer.com/news/security/lorien-health-services-discloses-ransomware-attack-affecting-nearly-50-000/ Lorien Health Services in Maryland announced that it was the victim of a ransomware incident in early June. Data was stolen and then encrypted during the incident. Responsible for the attack are Netwalker ransomware operators, who leaked the information after Lorien refused to pay the ransom demand. A family-owned nursing home for the elders, Lorien Health Services runs nine locations in Baltimore, Carroll, Harford, and Howard counties, as well as a rehabilitation and fitness facility. The company says that the incident was detected on June 6 and contracted services of cybersecurity experts to start an investigation and determine the impact. After four days, the verdict was that personal information had been accessed by the hackers and it “may have included residents’ names, Social Security numbers, dates of birth, addresses, and health diagnosis and treatment information.” Employee data was also accessed. According to the breach notification sent to the Secretary of Health and Human Services, the number of impacted individuals is 47, 754.

Phishing campaign uses Google Cloud Services to steal Office 365 logins

www.bleepingcomputer.com/news/security/phishing-campaign-uses-google-cloud-services-to-steal-office-365-logins/ Fraudsters looking to collect login details are increasingly turning to public cloud services to host lure documents and phishing pages, making it more difficult for targets to detect the attack. The trend has gained traction among cybercriminals, who rely on multiple cloud services to host phishing landing pages and the lure documents redirecting to them. In a campaign this year, fraudsters set up a clever scenario that involves multiple legitimate elements to hide the theft of Office 365 credentials. Researchers at Check Point describe in a report today that the attackers relied on Google Drive to host a malicious PDF document and Google’s “storage.googleapis[.]com” to host the phishing page.

Massiivinen tietovuoto Jopa 270 miljoonan käyttäjätiedot myynnissä

www.tivi.fi/uutiset/tv/0e96607f-b27f-469e-8400-d8fad9a665af Wattpadin käyttäjätietoja on varastettu ja laitettu myyntiin netissä. Torontolainen startup Wattpad on varmistanut tutkivansa suurta käyttäjädatan vuotoa. Yhtiö kertoi yrittävänsä korjata asiaa ulkoisten turvallisuusasiantuntijoiden avulla, kertoo Betakit. Kyberturvallisuusyhtiö Cyble kertoi saaneensa tietoa myynnissä olevista noin 270 miljoonan käyttäjän tiedoista. Hintalappu datapaketissa oli 100 000 euroa. Myöhemmin tietoja tarjottiin ilmaiseksi. Yhtiö selvitti foorumijulkaisuiden avulla, että käyttäjätietoihin kuului ainakin kirjautumistiedot, koko nimet, ja syntymäpäivät. Wattpad vaihtoi käyttäjien salasanat, ja suositteli heitä vaihtamaan salasanat muillakin sivustoilla, joilla on käytetty samaa salasanaa. Yhtiön tutkinnan mukaan maksutietoihin eikä yksityisviesteihin päästy käsiksi. Vaikka Cyble väittää, että 270 miljoonaan käyttäjän tiedot olisi varastettu, Wattpad kertoi elokuussa palvelussaan olevan vain 80 miljoonaa käyttäjää kuukaudessa. Yhtiö ei kuitenkaan kommentoinut varastettujen käyttäjätietojen määrää, vaan kertoi yhtiön jatkavan lausuntonsa päivittämistä. Lue myös:

betakit.com/wattpad-investigating-reported-massive-data-breach-of-user-records/

Pankkiautomaatteja rosvotaan nyt uudella tavalla

www.tivi.fi/uutiset/tv/cfd89bd2-5ea7-44db-abd5-d36507af098c Pankkiautomaatteja on rosvottu niin kauan kuin niitä on ylipäänsä ollut olemassa. Roistojen metodit vain parantuvat vuosi vuodelta. Nyt käytössä on uusi, valmistajan koodia hyödyntävä metodi. Perusperiaatteeltaan hyökkäys ei poikkea aiemmista “jackpotting”-nimellä tunnetuista metodeista, ArsTechnica kertoo. Jättipottitekniikoiden tarkoituksena on saada automaatti sylkemään setelivarantonsa ulos mahdollisimman nopeasti tavalla tai toisella. Nyt pankkiautomaatteihin erikoistuneet hakkerit ovat löytäneet uuden tavan hoitaa kassan tyhjennys vielä aiempaa tehokkaammin. Lue myös:

arstechnica.com/information-technology/2020/07/crooks-are-using-a-new-way-to-jackpot-atms-made-by-diebold/

Siri, Alexa ja Google Assistant joutuvat EU:n tiukkaan syyniin [maksumuurin takana]

www.tivi.fi/uutiset/tv/da9f5ddd-451d-4e8b-b5b3-e867adc3c29e EU-komissio haluaa varmistaa sen, että isot palvelutarjoajat eivät rakentele monopoleja esineiden internetin ympärille. Tulilinjalla on puheentunnistus ja siihen perustuvat digitaaliset avustajat. Euroopan unionin digitaalisesta valmiudesta vastaava komissaari Margrethe Vestager on ilmoittanut kilpailuviranomaisen avaavan tutkimukset siitä, että älykkäitä yhdistettyjä laitteita, kuten puhetta tunnistavia digiavustajia rakentavat yritykset eivät samalla kehittele itselleen kuluttajien oikeuksia polkevia epäreiluja monopoleja. Vestager nimesi suoraan Applen Sirin, Googlen Assistantin ja Amazonin Alexan tutkimusten kohteiksi. Asiantuntijoiden mielestä kilpailusyynin keskiössä on muitakin toimijoita, kuten Deutsche Telekom ja sen kehittämä digiavustaja Magenta. Vestagerin mukaan uudet teknologiat tarjoavat huikeiden mahdollisuuksien lisäksi uhkia, joiden välttämiseksi teknologioita on otettava harkitusti käyttöön. ZDnetin mukaan Euroopan markkinoilla oli viime vuoden lopussa noin 108 miljoonaa älykotiin liittyvää yhdistettyä tuotetta ja näiden iot-laitteiden määrän arvellaan kasvavan 184 miljoonaan laitteeseen 2023 mennessä. Neljässä vuodessa älykotien laitemarkkinan arvon odotetaan lähes tuplaantuvan 27 miljardiin euroon. Komissio haluaa varmistua siitä, että kuluttajat eivät joudu lukituiksi ekosysteemeihin, joissa eri valmistajien iot-laitteet eivät keskustelekaan keskenään. Samassa yhteydessä hän otti kantaa myös EU-tuomioistuimen viime viikolla tekemään päätökseen, jossa yhdysvaltalainen Apple vältti kaikkiaan 13 miljardin dollarin veromätkyt Irlannin verosuunnittelustaan. Oikeuden päätöstä on pidettynä vakavana iskuna juuri komissiolle, joka määräsi 2016 jättisakot amerikkalaisyhtiölle sen väitetyn verovälttelyn takia.

Google: Here come 11 new security features across Gmail, Meet and Chat

www.zdnet.com/article/google-here-come-11-new-security-features-across-gmail-meet-and-chat/ Google is offering customers the chance to show their corporate logo in Gmail if they adopt DMARC email authentication, plus other security updates. Google has announced the pilot for corporate avatars in Gmail that’s tied to DMARC adoption, a raft of new G Suite security features to protect Gmail, Meet and Chat, and new tools for admins to manage mobile devices and data leakage from Google Drive. Google has announced the pilot of a standard it’s backing called Brand Indicators for Message Identification or BIMI for organizations that want their email to display a corporate logo in Gmail’s avatar slot. The BIMI pilot isn’t just for marketing though as it will require participating organizations to authenticate their emails using Domain-based Message Authentication, Reporting, and Conformance or DMARC. The DMARC protocol can help stamp out email spoofing, a key ingredient in phishing attacks and business email compromise (BEC) scams.

Ransomware attacks jump as crooks target remote working

www.zdnet.com/article/ransomware-attacks-jump-as-crooks-target-remote-working/ Ransomware attacks are getting bigger and bolder – at a time where many organisations don’t have the resources to fight them off.

Microsoft releases preview of its Dynamics 365 Connected Store and Fraud Protection services

www.zdnet.com/article/microsoft-releases-preview-of-its-dynamics-365-connected-store-and-fraud-protection-services/ Microsoft is rolling out new Dynamics 365 retail capabilities and is introducing a new Power Platform-based template designed to help businesses return to work safely during the COVID-19 coronavirus pandemic. Microsoft is making a public preview of its Dynamics 365 Connected Store service available as of today, July 21. It’s also rolling out previously announced Dynamics 365 Fraud Protection with loss prevention and account protection functionality.

How Data Science is Changing Cybersecurity

www.secureworks.com/resources/wc-how-data-science-is-changing-cybersecurity Data science has become a buzzword in the industry, but what does it really mean for cybersecurity teams? Register for this live webcast on July 30 at 2 p.m. EDT to hear a Secureworks® expert cut through the hype of data science and explain how it can help you address today’s cybersecurity challenges.

Chinese Hackers Escalate Attacks Against India and Hong Kong Amid Tensions

thehackernews.com/2020/07/chinese-hackers-hong-kong-india.html An emerging threat actor out of China has been traced to a new hacking campaign aimed at government agencies in India and residents of Hong Kong intending to steal sensitive information, cybersecurity firm Malwarebytes revealed in the latest report shared with The Hacker News. Read also:

blog.malwarebytes.com/threat-analysis/2020/07/chinese-apt-group-targets-india-and-hong-kong-using-new-variant-of-mgbot-malware/

User-Friendly Loaders and Crypters Simplify Intrusions and Malware Delivery

www.recordedfuture.com/user-friendly-loaders-crypters/ In our February 2020 report “Automation and Customization in the Underground Economy, ” we identified automated services and products produced by threat actors and developers that facilitate criminal activities. This report dives further into loaders and crypters, identifying popular loader variants within select dark web forums and analyzing widely used crypters via clearnet domains, as well as providing mitigation strategies to identify loaders and crypters attempting to intrude into your network.

Multiple Twitter Profiles of Celebrities Hacked

www.pandasecurity.com/mediacenter/mobile-news/twitter-celebrities-hacked/ Last week hundreds of millions of people saw fraudulent tweets coming from some of the most influential Twitter users. The messages sent in the social network were inviting hundreds of millions of followers to send cryptocurrency funds to a Bitcoin address. The promise was that the celebrities would send back double the funds. So, users were expecting to transfer $1, 000 worth of Bitcoin and then receive $2, 000. Of course, this was a well-executed scam. The cyber-criminals attacked the profiles of approximately 130 celebrities and managed to get control over 45 accounts. The bad actors managed to send fraudulent tweets from high-profile accounts of many that include Joe Biden, Elon Musk, and Barack Obama. Jeff Bezos and Kanye West were also among the affected. Twitter took immediate action to temporarily disable all verified users in the social network from tweeting while the incident is investigated. They also tweeted from the official Twitter support profile that they are aware of a security incident impacting some of the verified accounts on Twitter, and they are investigating and taking steps to fix it.

COVID-19: The Cybercrime Gold Rush of 2020

blog.paloaltonetworks.com/2020/07/unit-42-cybercrime-gold-rush/ If you told me at the start of 2020 that for the first time in the history of cybersecurity, we’d see every industry and every type of device across the globe targeted by attacks based around a single theme, I wouldn’t have believed you. If you told me this theme would hinge on exploiting a global pandemic and attackers would target even medical researchers on the front lines trying to stop this disease, I wouldn’t have believed that either. Yet, here we are, and our reality indeed includes a cybercrime gold rush aimed at taking advantage of COVID-19. Just last week, the United Kingdom’s National Cyber Security Centre, Canada’s Communications Security Establishment and the United States National Security Agency issued a joint advisory detailing how Cozy Bear (APT29) were employed by the Russian government to target organizations involved in COVID-19 vaccine development within those three countries.

How scammers are hiding their phishing trips in public clouds

blog.checkpoint.com/2020/07/21/how-scammers-are-hiding-their-phishing-trips-in-public-clouds/ Recently, we published our research on how threat actors are taking advantage of well-known cloud services to download malicious payloads. This technique has also been observed in phishing attacks, where cloud storage services are used to host phishing pages. Some of the warning signs that users generally look out for in a phishing attack include suspicious-looking domains, or websites without a HTTPS certificate. However, by using well-known public cloud services such as Google Cloud or Microsoft Azure to host their phishing pages, the attackers can overcome this obstacle and disguise their malicious intent, improving their chances of ensnaring even security-savvy victims. This was the case with a phishing attack we came across in January. The attack started with a PDF document that was uploaded to Google Drive, and included a link to a phishing page:

Data breach reports down by onethird in first half of 2020

www.welivesecurity.com/2020/07/20/data-breach-reports-down-onethird-first-half-2020/ While cybercriminals have been busy targeting people with various flavors of COVID-19-related scams, the number of publicly reported data breaches in the United States in the first half of 2020 dropped by 33% year-on-year.

Bulletin (SB20-202) – Vulnerability Summary for the Week of July 13, 2020

us-cert.cisa.gov/ncas/bulletins/sb20-202 The CISA Vulnerability Bulletin provides a summary of new vulnerabilities that have been recorded by the National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD) in the past week. NVD is sponsored by CISA. In some cases, the vulnerabilities in the bulletin may not yet have assigned CVSS scores. Please visit NVD for updated vulnerability entries, which include CVSS scores once they are available.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.