Daily NCSC-FI news followup 2020-10-27

Uusi työkalu johdolle kyberuhkien hallintaan

www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusi-tyokalu-johdolle-kyberuhkien-hallintaan Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen kehittämä Kybermittari auttaa yritysjohtoa saamaan kyberriskit kattavammin hallintaan ja turvaamaan liiketoiminnan jatkuvuuden.

DN: Suuri tietomurto ruotsalaiseen turvallisuusalan yritykseen, verkkoon on vuodettu muun muassa pankki­holvien piirustuksia

www.hs.fi/ulkomaat/art-2000006700788.html Ruotsalaiseen, kansainvälisesti toimivaan turvallisuusalan yhtiöön on tehty mittava tietomurto, jossa verkkoon on vuodettu esimerkiksi pankkiholvien piirustuksia ja hälytysjärjestelmien kuvauksia, kertoo sanomalehti Dagens Nyheter (DN). Yhtiön mukaan kyse oli “järjestäytyneestä it-hyökkäyksestä” sen palvelimiin. Gunnebon mukaan sen palvelimille yritettiin tunkeutua. Palvelimet suljettiin nopeasti, jotta hyökkäys saatiin eristettyä, ja siksi hyökkäyksen vaikutukset jäivät minimaalisiksi, yhtiö kertoo.

Massive Nitro data breach impacts Microsoft, Google, Apple, more

www.bleepingcomputer.com/news/security/massive-nitro-data-breach-impacts-microsoft-google-apple-more/ A massive data breach suffered by the Nitro PDF service impacts many well-known organizations, including Google, Apple, Microsoft, Chase, and Citibank. Claimed to be used by over 10 thousand business customers and 1.8 million licensed users, Nitro is an application used to create, edit, and sign PDFs and digital documents. Cybersecurity intelligence firm Cyble has told BleepingComputer that a threat actor is selling the user and document databases, as well as 1TB of documents, that they claim to have stolen from Nitro Software’s cloud service. This data is now being sold in a private auction with the starting price set at $80, 000. Cyble states that the ‘user_credential’ database table contains 70 million user records containing email addresses, full names, bcrypt hashed passwords, titles, company names, IP addresses, and other system-related data.

Vuotaneilla henkilötiedoilla voi tehdä tilauspetoksia ja ottaa luottoa uhrin nimiin Asiakastieto ja Vastaamo tarjoavat tietomurron uhreille maksuttomat turvapalvelut

yle.fi/uutiset/3-11614893 Psykoterapiakeskus Vastaamon tietovuodon takia saaduilla tiedoilla ei Finanssialan mukaan pysty nostamaan pankkilainaa, koska siihen tarvitaan aina vahva tunnistautuminen esimerkiksi pankkitunnuksilla. Sen sijaan henkilötunnuksella ja muilla henkilötiedoilla rikollinen voi onnistua tekemään tilauspetoksia, osamaksukauppoja tai ottamaan muuta luottoa uhrin nimiin.

Mistä tiedän onko tietoni vuodettu? Uskaltaako terapiassa enää puhua? Haimme vastaukset 31 kysymykseen Vastaamon tietomurrosta

yle.fi/uutiset/3-11615408 Ylen lukijat esittivät kysymyksiä Vastaamon tietomurrosta. Koostimme tähän juttuun vastauksia.

Tietovuodon ja kiristyksen kohteeksi joutunut kriisiviestinnän asiantuntija suomii Vastaamon viestintää: “Katastrofaalisen väärin”

yle.fi/uutiset/3-11613976 Hämeenlinnalainen tietokirjailija ja viestintävalmentaja Katleena Kortesuo kritisoi Vastaamon toimintaa ja tiedotusta tietovuodon jälkeen. Yritys profiloitua tietomurron uhrina on kummallinen tapa toimia kriisitilanteessa, jossa 40000 ihmisen arkaluontoiset tiedot ovat levinneet vääriin paikkoihin. Siinä kohtaan, kun kyseessä ovat tavalliset ihmiset ja heidän elämänkohtalonsa ja toisella puolella on yritys, joka tekee 15 miljoonan euron liikevaihtoa, on pikkuisen väärää retoriikkaa asemoitua uhriksi.

Vastaamo-kiristäjä teki pahan virheen perjantaina, sanoo F-Securen Hyppönen: “Hän päästi käsistään kaikkein tärkeimmän tietonsa”

yle.fi/uutiset/3-11615644 Tietojen mahdollinen leviäminen tarkoittaa sitä, että kiristäjän on vaikeampi hyötyä varastetuista tiedoista.

Nörttipsykologi koodasi ohjelman, jolla voi tarkistaa, onko omat Vastaamon tiedot julkaistu siinä voi olla ongelma, mutta tietoturva-asiantuntija puoltaa palvelua

yle.fi/uutiset/3-11613376 Tuhannet ihmiset ovat jo käyttäneet Vastaamo-tietovuodon uhrien avuksi tarkoitettua ohjelmaa, jonka laillisuus on kuitenkin edelleen epäselvä.

Datan määrä kasvaa ja se on arvokasta saalista “Yksittäinen yritys ei voi ajatella niin, että ei meillä ole mitään suojattavaa tai emme me voi olla kenenkään mielenkiinnon kohteena”

www.kauppalehti.fi/uutiset/datan-maara-kasvaa-ja-se-on-arvokasta-saalista-yksittainen-yritys-ei-voi-ajatella-niin-etta-ei-meilla-ole-mitaan-suojattavaa-tai-emme-me-voi-olla-kenenkaan-mielenkiinnon-… Elinkeinoelämän keskusliiton johtavan asiantuntijan Markku Rajamäen mukaan datan määrä kasvaa koko ajan, ja siksi valmistautuminen on yrityksille yhä tärkeämpää. “Yksittäinen yritys ei voi ajatella niin, että ei meillä ole mitään suojattavaa tai emme me voi olla kenenkään mielenkiinnon kohteena. Siellä voi olla sellaista joka jollekin voi olla arvokasta rikollisessa mielessä”, Rajamäki sanoo.

Enel Group hit by ransomware again, Netwalker demands $14 million

www.bleepingcomputer.com/news/security/enel-group-hit-by-ransomware-again-netwalker-demands-14-million/ Multinational energy company Enel Group has been hit by a ransomware attack for the second time this year. This time by Netwalker, who is asking a $14 million ransom for the decryption key and to not release several terabytes of stolen data. Enel is one of the largest players in the European energy sector, with more than 61 million customers in 40 countries. As of August 10, it ranks 87 in Fortune Global 500, with a revenue of almost $90 billion in 2019.

Steelcase furniture giant hit by Ryuk ransomware attack

www.bleepingcomputer.com/news/security/steelcase-furniture-giant-hit-by-ryuk-ransomware-attack/ Office furniture giant Steelcase has suffered a ransomware attack that forced them to shut down their network to contain the attack’s spread. Steelcase is the largest office furniture manufacturer globally, with 13, 000 employees and $3.7 billion in 2020. In an 8-K form filed with the Securities and Exchange Commission (SEC), Steelcase has disclosed that they were the victim of a cyberattack on October 22nd, 2020.

Insikt Group Discovers Global Credential Harvesting Campaign Using FiercePhish Open Source Framework

www.recordedfuture.com/fiercephish-credential-harvesting-campaign/ Recorded Future’s Insikt Group discovered a wide-reaching phishing campaign utilizing the FiercePhish open source offensive phishing framework. The campaign, which is hosted on Russian domain infrastructure but does not target users in Russia, is globally harvesting credentials from a variety of organizations in the public and private sectors. This campaign, coordinated using asherintartrading[.]com, has been active since at least December 2019 and has cycled through over 30 DigitalOcean IP addresses, sometimes in a matter of hours. The fast changes in infrastructure indicate that the threat actor is proficient in evading security defenses and blocking tactics. PDF:

go.recordedfuture.com/hubfs/reports/cta-2020-1027.pdf

North Korean Advanced Persistent Threat Focus: Kimsuky

us-cert.cisa.gov/ncas/alerts/aa20-301a This advisory describes the tactics, techniques, and procedures (TTPs) used by North Korean advanced persistent threat (APT) group Kimsukyagainst worldwide targetsto gain intelligence on various topics of interest to the North Korean government.

The Russian Hackers Playing ‘Chekhov’s Gun’ With US Infrastructure

www.wired.com/story/berserk-bear-russia-infrastructure-hacking/ Berserk Bear has had plenty of opportunity to cause serious trouble. So why hasn’t it yet?

2020 DDOS EXTORTION CAMPAIGN — A SEQUEL MORE THRILLING THAN THE ORIGINAL

blogs.akamai.com/2020/10/2020-ddos-extortion-campaign-a-sequel-more-thrilling-than-the-original.html As you might imagine, as the go-to enterprise DDoS mitigation experts, our phones have been “ringing off the hook” as the global extortion DDoS campaign sequel rages on. It’s bigger, badder, and features a broader cast of criminal characters than seen previously with last year’s extortion-related activity.

Moving To “Ransomware-as-a-Service”: Operator “REvil” Dishes in Periodical-Style Q&A

www.flashpoint-intel.com/blog/cybercrime/revil-moves-to-ransomware-as-a-service/ On October 24, 2020, a lengthy, Q&A-style interview with a spokesperson for the ransomware operator, REvil, was posted on the Russian-based YouTube and Telegram channel called “Russian OSINT.”. This interview was particularly illuminating because of just how corporate and “business-like” cybercriminal organizations like REvil have become.

Learn why Sensors Matter within Industrial Cybersecurity

www.dragos.com/blog/industry-news/learn-why-sensors-matter-within-industrial-cybersecurity/ After many months of work, Dragos and a number of key researchers will finalize and provide instrument testing results to LOGIIC that will eventually be summarized and shared with the public to help move the needle on the cybersecurity of safety sensors. LOGIIC directs research on how oil and gas companies can bolster the cybersecurity of critical systems at their facilities. They have conducted several projects on everything from application whitelisting to the cybersecurity of wireless and mobility.

Study of the ShadowPad APT backdoor and its relation to PlugX

news.drweb.com/show/?i=14048&lng=en&c=9 A thorough study of ShadowPad samples and their comparison with previously studied PlugX modifications indicates a high similarity in the operation principles and modular structures of the backdoors from both families. These malicious programs are united not only by the general concept, but also by the nuances of the code: certain development techniques, ideas, and technical solutions are nearly identical. The available data allow us to conclude that these families are related in terms of simple code borrowing or the development of both programs by one author or a group of authors. In the second case, it is very likely that ShadowPad is an evolution of PlugX as a newer and more advanced APT tool.

You might be interested in …

Daily NCSC-FI news followup 2019-09-29

German Cops Raid Cyberbunker 2.0, Arrest 7 in Child Porn, Dark Web Market Sting krebsonsecurity.com/2019/09/german-cops-raid-cyberbunker-2-0-arrest-7-in-child-porn-dark-web-market-sting/ German authorities said Friday theyd arrested seven people and were investigating six more in connection with the raid of a Dark Web hosting operation that allegedly supported multiple child porn, cybercrime and drug markets with hundreds of servers buried inside […]

Read More

Daily NCSC-FI news followup 2019-07-18

Bulgarias biggest leak: Suspect arrested after cyber attack www.euronews.com/2019/07/17/bulgaria-s-biggest-leak-suspect-arrested-after-cyber-attack Bulgarian police said on Wednesday they have arrested a suspect for a cyber attack on the country’s National Revenue Agency (NRA), which led to the leak of personal and financial data of millions of people.. Also www.grahamcluley.com/security-researcher-arrested-after-data-on-every-adult-in-bulgaria-hacked-from-government-site/. “Bulgarian anti-virus veteran Vesselin Bontchev tweeted a screenshot of […]

Read More

Daily NCSC-FI news followup 2020-03-21

Revamped HawkEye Keylogger Swoops in on Coronavirus Fears threatpost.com/revamped-hawkeye-keylogger-coronavirus-fears/154013/ Theres a new variant of the HawkEye keylogging malware making the rounds, featuring expanded info-stealing capabilities. Its operators are looking to capture the zeitgeist around the novel coronavirus. Its being distributed using spam that purports to be an alert from the Director-General of the World Health […]

Read More

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.