Daily NCSC-FI news followup 2020-07-22

Verkkohyökkäys lukitsi autotarvikeliikkeen kassat, salasi tiedot ja sulki ovet Tiedätkö miten varautua, sillä voit olla rikollisen seuraava kohde?

yle.fi/uutiset/3-11456333 Kyberturvallisuuskeskus kehottaa varautumaan verkkoiskuun, jotta toimintaa pystyisi jatkamaan mahdollisimman pian. Yrittäjä Raimo Tunkkaria odotti heinäkuisena aamuna ikävä yllätys. Keminmaassa toimivan autotarvike- ja korjaamoyrityksen tietokoneruudulla oli viesti, jossa hakkerit kertoivat lukinneensa yrityksen tiedot. Varaosa Paakkarin asiakas- ja varastotiedot oli salattu, korttimaksaminen oli mahdotonta. Myymälä oli pakko sulkea. Ei ole mitään takeita siitä, että rikolliset luovuttavat lunnaita vastaan avaimen, jolla saa tiedot auki. Ja vaikka luovuttaisivatkin, ei ole takeita siitä, etteivätkö rikolliset lukitsisi tietoja uudestaan tai vuotaisi tietoja, sanoo tietoturva-asiantuntija Jan Wikholm Kyberturvallisuuskeskuksesta. Sama viesti tulee KRP:ssä verkkorikoksia tutkivalta rikoskomisario Marko Leposelta. Sekä Wikholm että Leponen tietävät, että joissain tapauksissa lunnaita on päädytty maksamaan, koska toiminnan jatkaminen on koettu muuten mahdottomaksi rikoksen kohteeksi joutuneella ei siis ole ollut riittäviä varmuuskopiota ja muita keinoja palauttaa toiminta edes auttavalle tasolle.

Tietojenkalastelu lisääntynyt vinkit huijausyritykseltä suojautumiseen

www.epressi.com/tiedotteet/telekommunikaatio/tietojenkalastelu-lisaantynyt-vinkit-huijausyritykselta-suojautumiseen.html Jatkuvasti lisääntyvää tietojenkalastelua tapahtuu soittojen lisäksi sähköpostilla, sosiaalisessa mediassa ja erilaisilla huijaussivustoilla. Telian logoa ja nettisivujen kuvamateriaalia on käytetty sosiaalisen median ja sähköpostin kautta tapahtuneissa huijausyrityksissä kesän aikana. Kannustamme ihmisiä varovaisuuteen ja omien tietojen huolelliseen suojaamiseen. “On erittäin valitettavaa, että tietojenkalastelua tapahtuu. Aidot Telialta tulleet sähköpostit tunnistaa siitä, että niissä ohjataan lähes poikkeuksetta telia.fi – -sivustolle ja alatunnisteessa viitataan aina Telian tai Telia Esports Seriesin asiakasrekisteriin”, kertoo Telia Finlandin tietosuojatiimistä vastaava Susanna Koskinen. Telian nimellä ja logolla perustetaan myös toisinaan huijaukseen tarkoitettuja nettisivuja tai sosiaalisen median kanavia. Esimerkiksi Facebookissa on tälläkin hetkellä yksi huijaussivu, jossa käytetään luvattomasti Telian logoa ja kuvamateriaalia. “Roskapostien tai huijaussivujen sisältämiä linkkejä ei kannata avata eikä omia käyttäjätunnuksia, henkilötietoja tai luottokortin numeroita syöttää epäilyttäviin lomakkeisiin”, Susanna Koskinen jatkaa. Lue myös:

www.tivi.fi/uutiset/tv/aec3c50a-842c-49d8-82d7-2c213893aea3

Shadow Attacks: Hiding and Replacing Content in Signed PDFs

web-in-security.blogspot.com/2020/07/shadow-attacks-hiding-and-replacing.html Last year we presented How to Spoof PDF Signatures. We showed three different attack classes. In cooperation with the CERT-Bund (BSI), we contacted the vendors of affected PDF applications to inform them about the vulnerabilities and to support them in developing countermeasures. Most vendors reacted promptly and closed the reported vulnerabilities promptly. One of those three attack classes was Incremental Saving Attacks (ISA). The proposed countermeasures aimed to distinguish PDF objects appended to the file via updates into dangerous and non-dangerous. In other words, black and whitelisting approaches were used. Naturally, this countermeasure succeeds as long as the PDF update contains evil objects. So we came up with the idea to attack PDFs with only non-dangerous updates. We achieve this by adding invisible, malicious content when creating the PDF document (before it is signed) and to reveal them after signing. Today, we present Shadow Attacks! Our evaluation of 28 PDF applications reveals that 15 of them, including Adobe Acrobat and Foxit Reader, are vulnerable. We responsibly disclosed all affected vendors. Together with the CERT-Bund (BSI), we supported the vendors in developing suitable countermeasures. The attacks are documented in CVE-2020-9592 and CVE-2020-9596. Full results are available in our vulnerability report and on our website.

Cyber Attack Trends: 2020 Mid-Year Report

blog.checkpoint.com/2020/07/22/cyber-attack-trends-2020-mid-year-report/ At the start of 2020, very few people would have predicted the events that unfolded. The COVID-19 global pandemic caused unprecedented changes to all of our lives, and has reshaped our entire working culture. From the accelerated pace of digital transformation and move to the cloud, to the increased use of collaboration tools, cybercriminals looked to take advantage of these rapid and widespread changes for their own purposes.

Tietosuojan lisääntyminen pakottaa mainosalan etsimään uusia tapoja verkkomainontaan “ihmisten seuraaminen ei ole päättymässä”, sanoo asiantuntija

yle.fi/uutiset/3-11450451 Jatkossa mainostajan itse keräämän tiedon merkitys kasvaa. Facebookin kaltaiset isot alustat saattavat vain hyötyä muutoksista, koska niillä on paljon dataa käyttäjistään.

Prometei botnet and its quest for Monero

blog.talosintelligence.com/2020/07/prometei-botnet-and-its-quest-for-monero.html We are used to ransomware attacks and big-game hunting making the headlines, but there are still methods adversaries use to monetize their efforts in less intrusive ways. Cisco Talos recently discovered a cryptocurrency-mining botnet attack we’re calling “Prometei” using several techniques that defenders are likely to spot, but are not immediately obvious to end-users. Read also:

www.zdnet.com/article/prometei-botnet-is-infecting-machines-to-mine-for-cryptocurrency/

DDoS Botnets Are Entrenched in Asia & Amplification Attacks Set Records

www.darkreading.com/threat-intelligence/ddos-botnets-are-entrenched-in-asia-and-amplification-attacks-set-records/d/d-id/1338415 More than 4.7 million sources in five countries the US, China, South Korea, Russia, and India were used to level distributed denial-of-service (DDoS) attacks against victims in the second quarter of 2020, security and services firm A10 Networks says in its threat report for the second quarter.

It’s July 2020, and your PC or Mac can be pwned by a dodgy Photoshop file Adobe emits critical patch batch

www.theregister.com/2020/07/21/adobe_photoshop_patches/ Major fixes for Bridge and Prelude, too, plus Reader Android updated. A week after July’s Patch Tuesday, Adobe has released out-of-band security updates for vulnerabilities in four of its products and most of them are considered to be critical in severity. Read also:

www.zdnet.com/article/adobe-issues-emergency-fixes-for-vulnerabilities-in-photoshop-prelude/ and

threatpost.com/critical-adobe-photoshop-flaws-patched-in-emergency-update/157581/

Twilio: Someone broke into our unsecured AWS S3 silo, added ‘non-malicious’ code to our JavaScript SDK

www.theregister.com/2020/07/21/twilio_sdk_code_injection/ API dev kit remained modified for hours, says source. Twilio today confirmed one or more miscreants sneaked into its unsecured cloud storage systems and modified a copy of the JavaScript SDK used by its customers. The cloud communications giant detailed the intrusion to The Register after we were tipped off to the security blunder by a source who wished to remain anonymous. In short, someone was able to get into Twilio’s Amazon Web Services S3 bucket, which was left unprotected and world-writable, and alter the TaskRouter v1.20 SDK to include “non-malicious” code that appeared designed primarily to track whether or not the modification worked.

Twitter Qracks down on QAnon and its Qooky Qonspiracies

www.theregister.com/2020/07/22/twitter_qanon_crackdown/ Twitter has decided to crack down on QAnon, the bizarre conspiracy theory that suggests US president Donald Trump is working to expose a cabal of deep-state Satanist paedophiles that secretly runs the world. Read also: www.is.fi/digitoday/art-2000006578562.html,

www.tivi.fi/uutiset/tv/cd9ab8f8-4f2a-49b7-89e4-2709cbbb0c07 and

arstechnica.com/tech-policy/2020/07/qanon-conspiracy-kicked-off-twitter-as-platform-bans-thousands-of-accounts/

Varo K-kaupan kilpailua matkivaa huijausta: Erehtyminen voi käydä kalliiksi

www.is.fi/digitoday/tietoturva/art-2000006578578.html K-kaupan nimissä on lähetetty huijausviestejä, joissa vastaanottajia houkutellaan niin sanottuun tilausansaan. Lue myös:

www.kesko.fi/media/uutiset-ja-tiedotteet/uutiset/2020/varoitus-huijausviesteista/ ja www.tivi.fi/uutiset/tv/d61e251e-e93f-44a3-b8b1-9e1c7a75e875

University of York discloses data breach, staff and student records stolen

www.zdnet.com/article/university-of-york-discloses-data-breach-staff-and-student-records-stolen/ Third-party cloud service provider Blackbaud has been blamed. The University of York has disclosed a data breach caused by a cyberattack experienced by a third-party service provider. Personal information belonging to “alumni, staff and students, and extended networks and supporters” is thought to have been stolen during the incident, although the number of individuals potentially impacted has not been disclosed — nor how many years back the stolen records relate to.

Leak Exposes Private Data of Genealogy Service Users

threatpost.com/leak-exposes-private-data-of-genealogy-service-users/157612/ An exposed ElasticSearch server belonging to Software MacKiev put 60, 000 users of Ancestry.com’s Family Tree Maker software at risk. A server containing information of users of a genealogy service has exposed the data of 60, 000 users, putting them at risk for fraud, phishing and other cybercriminal activity. Research led by Avishai Efrat at WizCase has discovered the leak, which affected an open and unencrypted ElasticSearch server that belonged to Software MacKiev, according to a report posted online by Chase Williams, a web security expert at WizCase.

A few IoCs related to CVE-2020-5092

isc.sans.edu/diary/rss/26378 I know I am a bit late to the game, but a couple of weeks ago I responded to an incident resulting from an F5 compromise related to CVE-2020-5092. As I responded I captured a number if indicators of compromise. While I have not had a lot of time to dig into them, hopefully they will be of use to somebody. The F5 vulnerability, CVE-2020-5092 was announced, and patches and workarounds made available, by F5 on June 30, 2020. This was a CVSS score 10 which essentially meant that if the management interface of the F5 was exposed to the Internet it was trivial to exploit.

Survey to Explore the Preparedness of EU SMEs for Cybersecurity Challenges

www.enisa.europa.eu/news/enisa-news/survey-to-explore-the-preparedness-of-eu-smes-for-cybersecurity-challenges Survey on cybersecurity challenges for SMEs: A review on how businesses in the EU are preparing for and coping with cyber threats.

Argentine telecom company hit by major ransomware attack

www.welivesecurity.com/2020/07/21/telecom-argentina-hit-major-ransomware-attack/ Telecom Argentina says it has contained the attack and regained access to its systems without paying up

4 Steps to Help You Plan a Cyber Resilience Roadmap

securityintelligence.com/articles/creating-roadmap-toward-cyber-resilience/ According to IBM Security’s 2020 Cyber Resilient Organization Report, a cyber resilient organization is one that “more effectively prevents, detects, contains and responds to a myriad of serious threats against data, applications and IT infrastructure.”

Securing Travel and Transportation Operations

securityintelligence.com/posts/securing-travel-transportation-operations/ Transportation networks are foundational to our modern way of life. The current restrictions on global movement and the corresponding reduction in demand for travel and transportation services, while profound, are temporary. Forecasting future demand and capacity requirements is nearly impossible. But, the travel and transportation industries are part of the country’s critical infrastructure. They will return as significant contributors to global gross domestic product (GDP) and employment.

MATA: Multi-platform targeted malware framework

securelist.com/mata-multi-platform-targeted-malware-framework/97746/ As the IT and OT environment becomes more complex, adversaries are quick to adapt their attack strategy. For example, as users’ work environments diversify, adversaries are busy acquiring the TTPs to infiltrate systems. Recently, we reported to our Threat Intelligence Portal customers a similar malware framework that internally we called MATA. The MATA malware framework possesses several components, such as loader, orchestrator and plugins. This comprehensive framework is able to target Windows, Linux and macOS operating systems. The first artefacts we found relating to MATA were used around April 2018. After that, the actor behind this advanced malware framework used it aggressively to infiltrate corporate entities around the world. We identified several victims from our telemetry and figured out the purpose of this malware framework. Read also:

threatpost.com/lazarus-group-advanced-malware-framework/157636/

Fawkes: Digital Image Cloaking

www.schneier.com/blog/archives/2020/07/fawkes_digital_.html Fawkes is a system for manipulating digital images so that they aren’t recognized by facial recognition systems.

What You Need to Know About Vulnerability Scanners

www.recordedfuture.com/vulnerability-scanner-definition/ It’s never been easier for threat actors to plan, prepare, and execute their attacks using automated tools. Successfully defending your organization against automated threats requires automated intelligence. A vulnerability scanner is defined as an automation tool that enables you to combat several risks that stem from vulnerabilities. However, vulnerability scanners may present more false positives than answers when they lack real-time, contextual security intelligence.

Brittiyhtiöt myyvät vakoilutekniikkaa lähes mihin tahansa ihmisoikeusjärjestöt järkyttyneitä

www.tivi.fi/uutiset/tv/73b43f8b-4e59-476d-ad14-0f83b19dfe09 Monet brittiläiset yhtiöt suunnittelevat ja valmistavat teknologisia ratkaisuja, joilla voidaan seurata ja vakoilla kansalaisten elämää. Kiistanalaisen teknologian myyntiin ulkomaisille tahoille tarvitaan erillinen lupa, mutta niitä tuntuu irtoavan hövelisti kohdemaasta riippumatta. Business Insider on penkonut läpi vuoden 2020 tietoja, jotka paljastavat brittifirmojen hankkineen myyntilupia vakoilutekniikan viemiseksi Pakistaniin, Omaniin ja Arabiemiirikuntiin. Ihmisoikeusjärjestöt pelkäävät maiden tiedustelupalveluiden käyttävän tekniikkaa aktivistien kiinni nappaamisessa. Yleisin myyty vakoilulaite on ollut imsi-datansieppauslaite, joka naamioituu puhelinverkon tukiasemaksi, mutta todellisuudessa vakoilee lähialueella olevia puhelimia.

Tahdotko edelleen jatkaa Windows 7:n käyttöä? Näillä ohjeilla uskalias temppu onnistuu

www.tivi.fi/uutiset/tv/4f60185f-5b79-4d99-b643-49fa5ee993b7 Windows 7:n tukiaika on päättynyt, eikä käyttöjärjestelmän käyttämistä tulisi jatkaa, ellei se ole ehdottoman välttämätöntä. Mikäli käyttöä aikoo jatkaa, kannattaa huomioon ottaa muutama turvallisuusseikka. Asenna päivitykset – Aivan ensimmäiseksi kannattaa tarkistaa Windows Updatesta, ettei Windows 7:lle ole enää tarjolla päivityksiä, jotka ovat syystä tai toisesta jääneet aiemmin asentamatta. Käytä tavallista käyttäjätiliä – Normaalikäyttäjän tunnus on huomattavan rajoitettu, joskin Windowsin perusasetusten muuttaminen onnistuu kyllä silläkin. Päivitysten asennus ja muu järjestelmän ylläpito vaatii kuitenkin admin-tunnuksen salasanan syöttämistä. Admin-tason käyttäjätunnusta tulisi siksi käyttää vain rajoitetusti. Unohda Internet Explorer – Surffaatko yhä sillä Microsoftin vanhalla selaimella, joka toimitettiin Windows 7:n mukana? Se kannattaa lopettaa välittömästi. Internet Explorer on Mount Everestin kokoinen tietoturvariski. Valitse ohjelmistosi huolella – Käyttöjärjestelmä ei aina ole tietoturvan heikoin lenkki. Haavoittuvuuksia voi olla myös sen päällä pyöritettävissä ohjelmistoissa. Siksi kannattaa tarkistaa, että oman suosikkiohjelmiston Windows 7 -tuki jatkuu yhä. Käytä tietoturvaohjelmistoa – Tietoturvaohjelmiston käyttö Windowsin kanssa on ollut suositeltavaa jopa tukiajan puitteissa. Tukiajan päätyttyä sellaisen käyttö on muuttunut kriittisen tärkeäksi. Päivitä Windows 10:een – Kaikkein turvallisinta Windows 7:n käyttö on, jos konetta ei päästä verkkoon lainkaan. Omaa Windows 7 -konettani käytän lähinnä pelialustana, jolloin sen nettiin päästäminen ei ole välttämätöntä. Monille internetyhteys on kuitenkin välttämättömyys. Heille toistan alussa esittämäni tietoiskun: älä jatka Windows 7:n käyttämistä.

Microsoft viedään oikeuteen Jakoi luvattomasti käyttäjädataa

www.tivi.fi/uutiset/tv/5b5516e6-56a2-41c4-b306-0409fe596eeb Office 365 -asiakkaat eivät ole tyytyväisiä Microsoftiin, jonka väitetään jakaneen heidän dataansa monille eri osapuolille.

Hackers use recycled backdoor to keep a hold on hacked e-commerce server

arstechnica.com/information-technology/2020/07/hackers-use-recycled-backdoor-to-keep-a-hold-on-hacked-ecommerce-server/ Easy-to-miss script can give attackers a new access should they ever be booted out.

D-Link blunder: Firmware encryption key exposed in unencrypted image

www.bleepingcomputer.com/news/security/d-link-blunder-firmware-encryption-key-exposed-in-unencrypted-image/ Security researchers have demonstrated a method to decrypt proprietary firmware images embedded in D-Link routers.

Critical SharePoint flaw dissected, RCE details now available

www.bleepingcomputer.com/news/security/critical-sharepoint-flaw-dissected-rce-details-now-available/ Details are now available for exploiting a critical security vulnerability that affects Microsoft SharePoint, increasing the risk of attacks on unpatched systems.

US offers $2 million for info on Ukrainians charged for SEC hack

www.bleepingcomputer.com/news/security/us-offers-2-million-for-info-on-ukrainians-charged-for-sec-hack/ The U.S. Department of State today announced rewards of up to $1 million for information that would lead to the arrest or conviction of Ukrainian nationals Artem Viacheslavovich Radchenko and Oleksandr Vitalyevich Ieremenko.

New Meow’ attack has wiped dozens of unsecured databases

www.bleepingcomputer.com/news/security/new-meow-attack-has-wiped-dozens-of-unsecured-databases/ Dozens of unsecured databases exposed on the public web are the target of an automated ‘meow’ attack that destroys data without any explanation. The activity started recently and hits Elasticsearch and MongoDB instances indiscriminately without leaving any explanation, or even a ransom note. A quick search by BleepingComputer on the IoT search engine Shodan has found dozens of databases that have been affected by this attack. These attacks have pushed researchers into a race to find the exposed databases and report them responsibly before they become ‘meowed.’

Emotet botnet is now heavily spreading QakBot malware

www.bleepingcomputer.com/news/security/emotet-botnet-is-now-heavily-spreading-qakbot-malware/ Researchers tracking Emotet botnet noticed that the malware started to push QakBot banking trojan at an unusually high rate, replacing the longtime TrickBot payload.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.