Daily NCSC-FI news followup 2020-10-30

Attacks exploiting Netlogon vulnerability (CVE-2020-1472)

msrc-blog.microsoft.com/2020/10/29/attacks-exploiting-netlogon-vulnerability-cve-2020-1472/ Microsoft has received a small number of reports from customers and others about continued activity exploiting a vulnerability affecting the Netlogon protocol (CVE-2020-1472) which was previously addressed in security updates starting on August 11, 2020. If the original guidance is not applied, the vulnerability could allow an attacker to spoof a domain controller account that could be used to steal domain credentials and take over the domain. Read also:

us-cert.cisa.gov/ncas/current-activity/2020/10/29/microsoft-warns-continued-exploitation-cve-2020-1472 and

www.zdnet.com/article/microsoft-us-election-warning-attackers-hit-windows-10-netlogon-flaw/. As well as:

www.bleepingcomputer.com/news/security/microsoft-warns-of-ongoing-attacks-using-windows-zerologon-flaw/

Jätitkö tämän kriittisen aukon [CVE-2020-14882] paikkaamatta? “Oleta, että [Oraclen WebLogic] palvelin on murrettu”

www.tivi.fi/uutiset/tv/9337c0fe-0f99-4916-8ab9-29aced5f1856 Lokakuun loppupuolella Oracle julkaisi mammuttimaisen määrän päivityksiä. Erilaisia korjauksia on luvassa hulppeat 402 kappaletta. Teknologiainstituutti SANS:in tutkimusosaston dekaani Johannes Ullrich kertoo, että instituutin tutkimuslaitoksella on WebLogicia pyörittäviä palvelimia, jotka ovat tarkoituksella kiinni verkossa havaitsemassa palvelinhakumäärien heilahteluita. Hunajapöntöt havaitsivat äskettäin massiivisen liikennepiikin, kun hakkerit yrittivät etsiä palvelimia, joita ei ole vielä päivitetty juuri julkaistulla CVE-2020-14882 – -paikkauksella. Ullrich sanoo hakupiikin laantuneen jo, mikä hänen mukaansa tarkoittaa hakusaturaatiota: kaikki IPv4-osoitteet on jo käyty läpi. Toisin sanoen, jos käytössä on päivittämätön palvelin, hakkerit ovat löytäneet sen jo. Lue myös:

www.theregister.com/2020/10/29/weblogic_exploit_attack/ ja

arstechnica.com/information-technology/2020/10/hackers-are-on-the-hunt-for-oracle-servers-vulnerable-to-potent-exploit/. Sekä:

www.kyberturvallisuuskeskus.fi/fi/havaittu-aktiivista-oracle-weblogic-palvelimen-hyvaksikayttoa ja www.csa.gov.sg/singcert/alerts/al-2020-041

A Bazar start: How one hospital thwarted a Ryuk ransomware outbreak

redcanary.com/blog/how-one-hospital-thwarted-a-ryuk-ransomware-outbreak/ We’ve been following all the recent reporting and tweets about hospitals being attacked by Ryuk ransomware. But Ryuk isn’t new to us we’ve been tracking it for years. More important than just looking at Ryuk ransomware itself, though, is looking at the operators behind it and their tactics, techniques, and procedures (TTPs)especially those used before they encrypt any data. The operators of Ryuk ransomware are known by different names in the community, including “WIZARD SPIDER, ” “UNC1878, ” and “Team9.” The malware they use has included TrickBot, Anchor, Bazar, Ryuk, and others. Many in the community have shared reporting about these operators and malware families, so we wanted to focus narrowly on what we’ve observed: BazarLoader/BazarBackdoor used for initial access, followed by deployment of Cobalt Strike, and hours or days later, the potential deployment of Ryuk ransomware. We have certainly seen TrickBot lead to Ryuk ransomware in the past. This month, however, we’ve observed Bazar as a common initial access method, leading to our assessment that Bazar is a greater threat at this time for the eventual deployment of Ryuk.

Spy agency ducks questions about ‘back doors’ in tech products

www.reuters.com/article/us-usa-security-congress-insight/spy-agency-ducks-questions-about-back-doors-in-tech-products-idUSKBN27D1CS The U.S. National Security Agency is rebuffing efforts by a leading Congressional critic to determine whether it is continuing to place so-called back doors into commercial technology products, in a controversial practice that critics say damages both U.S. industry and national security.

Paras lääke vuodoilta suojautumiseen olisi tehdä henkilötunnuksesta julkinen tieto

www.hs.fi/mielipide/art-2000006703978.html Henkilötunnuksen käsittelyyn liittyy rakenteellinen ongelma. Henkilötunnusta on kohdeltu suomalaisessa yhteiskunnassa ikään kuin salasanana, joka kuitenkin tulee luovuttaa mitä moninaisemmissa yhteyksissä erilaisten toimijoiden haltuun vailla mitään todellisia takeita sen turvallisesta käsittelystä. Salasanaksi henkilötunnus on täysin kelvoton: lyhyt, muuttumaton, ennustettavissa, henkilön ominaisuuksiin sidottu ja lähes mahdoton vaihtaa. Henkilötunnuksen ainoa tehtävä tulisi olla, että se luotettavasti yksilöi luonnollisen henkilön. Sitä tulisi siis kohdella vain yksilöivänä tunnisteena, jonka hallussapidolla ei ole mitään todistusarvoa henkilöllisyydestä. Henkilötunnus kertoo kenestä puhutaan, ei sitä, kuka puhuu. Lue myös:

www.vesiluoma.com/hetu-wizzard/index.php

Suomalaiset yritykset saivat uuden työkalun kyberturvansa parantamiseen [Maksumuurin takana]

www.mikrobitti.fi/uutiset/suomalaiset-yritykset-saivat-uuden-tyokalun-kyberturvansa-parantamiseen/2b367b1c-ad16-47fc-a333-e1013c5a6174 Kyberturvallisuuskeskus esitteli tiistaina Kybermittarin, joka toimii yrityksille työkaluna kehittää kykyään vastata kyberuhkiin ja turvaamaan toimintansa jatkuvuuden. Kyberturvallisuuskeskuksen johtaja Kalle Lukkainen sanoi Kybermittari -työkalun lanseerauksen lehdistötilaisuudessa, että tietoturva on noussut muutaman vuoden aikana yritysten johdon agendalle. Lue myös:

www.kyberturvallisuuskeskus.fi/fi/kybermittari

Tietomurron tutkinta jatkuu poliisi toivoo harkintaa asiaan liittyvien yksityiskohtien julkaisemisessa

www.poliisi.fi/tietoa_poliisista/tiedotteet/1/1/tietomurron_tutkinta_jatkuu_poliisi_toivoo_harkintaa_asiaan_liittyvien_yksityiskohtien_julkaisemisessa_94344 Poliisi jatkaa Psykoterapiakeskus Vastaamoon liittyvän epäillyn törkeän tietomurron, törkeän kiristyksen ja törkeän yksityiselämää loukkaavan tiedon levittämisen tutkintaa. Tutkinta edistyy, mutta sen sisällöstä pystytään tässä vaiheessa kertomaan vain niukasti. – Olemme niin avoimia kuin voimme, mutta kaikki tieto esimerkiksi poliisin tutkintalinjoista, käyttämistämme tutkintakeinoista ja muista toimenpiteistä saattaisi hyödyttää rikoksen tekijää tai tekijöitä. Tätä emme halua, sillä tutkinnan ehdottomina prioriteetteina on nyt saada epäillyt kiinni ja estää mahdolliset uhreille koituvat haitat muun muassa aineiston leviämisen osalta, sanoo tutkinnanjohtaja, rikoskomisario Marko Leponen Keskusrikospoliisista. Poliisille on tehty toistaiseksi noin 15 000 rikosilmoitusta tapaukseen liittyen. Ilmoitukset koskevat sekä mahdollista henkilötietojen levittämistä verkossa että tietojen julkaisulla kiristämistä. Poliisi kehottaa rikoksen uhreja tekemään asiassa rikosilmoituksen, ja se on hyvä tehdä huolellisesti poliisin aiemmin julkaistuja ohjeita noudattaen. Lue myös:

www.poliisi.fi/keskusrikospoliisi/tiedotteet/1/0/toimintaohjeet_rikoksen_ilmoittamiseksi_poliisille_kun_henkilotietojasi_on_jaettu_verkossa_vastaamon_tietomurrosta_johtuen_tai_olet_vastaanottanut_k…

Valvontako petti

tietosuoja.fi/-/valvontako-petti Psykoterapiakeskus Vastaamo Oy:n tietoturva-asian yhteydessä on esille nostettu kysymys viranomaisvalvonnan tehokkuudesta. Näyttää, että se perustuu kauniin yksinkertaiseen logiikkaan, jonka mukaan viranomaisten tulisi etukäteen ja kaiken aikaa tehdä tarkastuksia tietojärjestelmiin. Valvonnan avulla sitten torjuttaisiin hakkerointia. On myös taivasteltu Valviran käytössä olevaa henkilötyövuoden suuruista tietojärjestelmien valvontaresurssia. Aloitetaan asian tarkastelu resursseista. Aikanaan, jo ennen sosiaalisen median ilmaantumista tehtiin arvio, että maassamme on yli miljoona tietojärjestelmää ja rekisteriä. Meitä on tietosuojavaltuutetun toimistossa lainvalvontatehtävissä alle viisikymmentä henkilöä. Palvelumme on ollut aiemmin ruuhkautunut. Jos siis onnistuisimme tekemään kaikkien muiden tehtävien lisäksi sata tarkastusta vuodessa, riittäisi meillä tarkastettavaa yli kymmeneksi tuhanneksi vuodeksi. Ei vaikuta tehokkaalta. Jokainen voi laskea, millaiset määrälliset resurssit tarvittaisiin esimerkiksi terveydenhuollon tietojärjestelmien vuotuista tarkastamista varten. Eräs eurooppalainen kansalaisjärjestö teki muuten hiljattain selvityksen tietosuojaviranomaisten käytössä olevista IT-osaajista. Selvityksen mukaan näyttää, että tämä resurssiongelma on yleiseurooppalainen ongelma. Lue myös

www.kauppalehti.fi/uutiset/tietosuojavaltuutettu-vastaa-vastaamon-tapauksesta-virinneeseen-keskusteluun-valvontaresursseista-tarkastettavaa-yli-10-000-vuodeksi/1320504d-8753-4fbd-b7ff-bc0b12f72a80

Pimeän verkon partiolaiset [Maksumuurin takana]

www.hs.fi/sunnuntai/art-2000006705284.html Näin Benjamin Särkkä ja muut suomalaiset valkohattuhakkerit alkoivat joukolla selvittää, millaisia jälkiä Vastaamo-tietomurron kiristäjä jätti itsestään verkkoon. Tiistaina 20. lokakuuta eri keskustelufoorumeilla oli huhuja siitä, että psyko­terapiakeskus Vastaamon tietojärjestelmiin olisi murtauduttu ja sieltä olisi anastettu mahdollisesti jopa 40 000 asiakkaan arkaluontoisia tietoja heidän terapiakäynneistään. Hakuninmaan pientaloalueen kenties ainoa tai ainakin taitavin hakkeri Benjamin Särkkä sai ensi tiedon tietomurrosta Whatsapp-ryhmästä, jossa ovat lähes kaikki Suomen tietoturva-alan keskeiset henkilöt. Ryhmässä on sekä viranomaisia, kuten poliisin kyberrikollisuustutkijoita, että yksityisen puolen tietoturvallisuusasiantuntijoita. Käytännössä siis yhdessä Whatsapp-ryhmässä liikkuu perustietoja Suomen koko tietoturvakentän ytimelle. Salattavia, arkaluontoisia tai tutkinnan kannalta tärkeitä keskusteluja siellä ei kuitenkaan käydä. Kovalla ammattilaistasolla toimivia valkohattuja on Suomessa joitakin kymmeniä. Maailman suurimman valkohattuhakkerien alustan, HackerOnen, toimitusjohtajana työskentelevä suomalainen Mårten Mickos laskeskelee, että HackerOnen noin 800 000 rekisteröityneestä käyttäjästä ehkä parisataa on suomalaisia. Monelle valkohatuista anonymiteetti on osa hakkeri-identiteettiä. Osa taas välttelee julkisuutta, koska heidän työnantajansa ei toivo hakkeriharrastukselle julkisuutta.

16 000 suomalaisen henkilötiedot varastettiin 2011 rikosta tutkineiden mukaan Vastaamon tietomurrossa on sekä samoja että ihan uusia piirteitä

yle.fi/uutiset/3-11621691 KPMG:n Timo Piiroiselle ja F-securen Erka Koivuselle 2011 rikos oli työtehtävä, joka on jäänyt pysyvästi mieleen. Eri-ikäisten, eri aloilla työskentelevien ja ympäri Suomen asuvien ihmisten henkilötunnukset, osoitteet, puhelinnumerot ja sähköpostiosoiteet olivat kenen tahansa nettiä käyttävän löydettävissä ja luettavissa.

Kirjoitteliko kiristäjä suomalaiselle nettifoorumille? Kiihkeä spekulaatio käynnissä

www.is.fi/digitoday/tietoturva/art-2000006705097.html Kiristyksen alettua viime viikon keskiviikkona Redditiin luotiin käyttäjätunnus juuri ennen Vastaamo-murron tuloa julkiseksi. Suomeksi viestitellyt käyttäjä hyökkäsi useita kertoja sanallisesti Vastaamoa ja sen toimintaa vastaan. Tämän lisäksi hän kritisoi neuvoja olla maksamatta lunnaita ja spekuloi sillä, että darknetin käyttäjät tuskin ehtivät lataamaan kokonaan kiristäjän Tor-sivuilleen tarjolle laittamaa 10 gigatavun tiedostoa.

Näin Vastaamo-vyyhti on edennyt: Viime viikon keskiviikkona potilaiden tietoja vuodettiin verkkoon, viikkoa myöhemmin rikos­ilmoituksia oli tehty yli 15 000

www.hs.fi/kotimaa/art-2000006706396.html Tietomurto tapahtui marraskuussa 2018, mutta siitä tiedotettiin vasta lähes kaksi vuotta myöhemmin. Ainakin pieni osa uhreista on maksanut heiltä vaaditun rahasumman.

Vastaamon tietomurrossa ja kiristyksissä voi olla useita tekijöitä liittyykö tekoihin kosto?

www.hs.fi/kotimaa/art-2000006704637.html Kansainvälinen tietoturva-asiantuntija muistuttaa, että usein tietoturvapoikkeamiin liittyy sisäpiirin toimija. Mikä on kiristäjän motiivi? Onko tekijöitä enemmän kuin yksi?

Hakkerilegenda Harri Hursti tylyttää: Vastaamon tietomurron tekijä oli amatööri, joka tuskin jää kiinni

www.tivi.fi/uutiset/hakkerilegenda-harri-hursti-tylyttaa-vastaamon-tietomurron-tekija-oli-amatoori-joka-tuskin-jaa-kiinni/655ca39c-16d0-42cc-ada4-b95246babd29 Yhdysvaltain hallinnossa työskentelevä tietoturva- ja vaaliasiantuntijana työskentelevä Harri Hursti sanoo, että Vastaamon tilanteessa syytettyjä on kaksi: tietomurron tekijä ja yritys, joka on jättänyt tietoturvan hunningolle. Muun muassa Yhdysvaltain äänestyskoneet 2000-luvun alussa hakkeroinut Harri Hursti arvelee, että Vastaamon tietomurron takana on niin sanottu script kiddie – -hakkeri, joka on onnistunut ainoastaan muiden tekemien ohjelmien avulla. Tällä hetkellä monet hakkerit metsästävät Vastaamon tietomurron tekijää, mutta Hursti sanoo epäilevänsä, että tekijää saataisiin koskaan kiinni. Hän muistuttaa, että esimerkiksi EU-alueella kaikista tietomurtojen tekijöistä saadaan kiinni 0, 15 prosenttia.

Nyt on tärkeää sanoa ääneen, että härskiä tietomurtoa ei hyväksytä psykoterapeutti kertoo, miksi kaikkien suomalaisten tuki on nyt uhreille tärkeää

www.hs.fi/hyvinvointi/art-2000006701126.html Pahimmillaan tietomurron uhrien luottamus ja myönteinen käsitys itsestä, toisista ihmisistä ja maailmasta romuttuu pitkäksi aikaa, sanoo traumaterapiakeskuksen toimitusjohtaja.

Vastaamo psychotherapy data breach sees the most vulnerable victims extorted

blog.malwarebytes.com/cybercrime/2020/10/vastaamo-psychotherapy-data-breach-sees-the-most-vulnerable-victims-extorted/ For once it wasn’t a ransomware attack on a health care organization. Vastaamo was first breached in 2018, with a follow-up in March 2019, and on both occasions the attackers managed to steal tens of thousands of patient records. Due to the nature of the practice, the records contained extremely sensitive and confidential information about some of the most vulnerable people. Sadly, it appears as though security levels were raised at Vastaamo only after the 2019 hack, and by then the data had already gone. Vastaamo was informed of the extortion in late September, 2020, when the three Vastaamo employees received an extortion message.

Kyberprofessori Jarno Limnéll: Unohtakaa mustat joutsenet, seuraava harmaa sarvikuono on jo tulossa

www.kauppalehti.fi/uutiset/kyberprofessori-jarno-limnell-unohtakaa-mustat-joutsenet-seuraava-harmaa-sarvikuono-on-jo-tulossa/53a98874-7395-41cd-98ee-52fc512ca8e9 Aalto-yliopiston kyberturvallisuuden työelämäprofessori Jarno Limnéll tyrmää koronapandemian tai psykoterapiakeskus Vastaamon kaltaisen tietoturvaiskun vertaamisen mustaan joutseneen eli täysin odottamattomaan tapahtumaan. Limnéll sanoo “Aamiainen Jari Korkin kanssa” -videohaastattelussa, että molemmissa tapauksissa pitäisi puhua pikemminkin harmaasta sarvikuonosta, koska niihin olisi pitänyt pystyä varautumaan.

Suomalaisten terveystietojen tietoturvaa auditoidaan kevyemmin kuin luottokorttitietojen

www.hyperlinkki.mediaparkki.com/2020/10/29/suomalaisten-terveystietojen-tietoturvaa-auditoidaan-kevyemmin-kuin-luottokorttitietojen/ Vastaamon tapaus herätti vilkkaan keskustelun terveystietojen tietoturvasta. Yhteiskunnassamme tulisi nyt pohtia, miten terveystietojen tietoturvaa auditoidaan, ja verrata sitä muiden toimialojen tietoturvavaatimuksiin ja auditointikäytäntöihin. Terveystietojen tietoturvavaatimusten vertailupohjaksi voisi ottaa maksukorttiturvaan liittyvät standardit sekä viranomaisen turvaluokitellun tiedon suojaukseen liittyvät kriteeristöt. Kaikkia näitä tietoturvakriteeristöjä yhdistää se, että niiden tehtävä on suojata luottamuksellista tietoa.

Tällainen on Vastaamo-kiristäjän käyttämä pimeä Tor-verkko kymmenet tuhannet suomalaiset käyttävät

www.is.fi/digitoday/tietoturva/art-2000006705412.html Psykoterapiakeskus Vastaamon tietomurron yhteydessä julkisuuteen nousseella Tor-verkolla on noin 20 000 päivittäistä käyttäjää Suomessa, kertoo Cyber Intelligence House -yhtiön tutkimusjohtaja Juha Nurmi. Nurmen mukaan Tor-verkon Vastaamo-tapauksen yhteydessä saama huomio ei ole näkynyt käyttäjämäärissä, sillä ne ovat pysyneet viime päivinä aiemmalla tasollaan.

F-Securen Koivunen haluaisi kryptovaluutat tiukemman sääntelyn piiriin “Valvomattomuus mahdollistaa kiristämisen”

www.is.fi/digitoday/tietoturva/art-2000006706283.html Tietoturvayhtiö F-Securen tietoturvajohtaja Erka Koivunen olisi valmis sääntelemään kryptovaluuttoja nykyistä tiukemmin, jotta Psykoterapiakeskus Vastaamon tietomurron tyyppistä rikollisuutta saataisiin kitkettyä. Kryptovaluutoille on huomattavan vähän järkevää, yhteiskuntaa rakentavaa käyttöä, jos ne säilyvät tällaisina huonosti identiteetteihin liitettävinä, joista ei veroja makseta tai rikollisseuraamuksia synny, Koivunen sanoo. Kryptovaluuttajärjestelmien valvomattomuus mahdollistaa Koivusen mukaan kiristämisen, jota Vastaamon tapauksessakin tietomurron tekijä on harjoittanut.

Traficom: Suomalaiset organisaatiot maksaneet lukittujen tietojensa vapauttamisesta, rahaa epäillään päätyneen kyberrikollisille

yle.fi/uutiset/3-11623772 Kyberturvallisuuskeskuksen tiedossa olevissa tapauksissa rahat ovat oletettavasti päätyneet rikollisille välikäden kautta. Suomalaisten organisaatioiden epäillään maksaneen lunnaita tietoverkkorikollisille, vahvistaa Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus. Keskuksen tiedossa on kaksi tapausta, joissa suomalaisen organisaation rahojen epäillään päätyneen välikäden kautta kiristäjille. Kyberturvallisuuskeskuksen tietoon tulleissa tapauksissa kiristyshaittaohjelman uhreiksi joutuneet eivät maksaneet suoraan hyökkääjille vaan käyttivät ulkomaisen yrityksen apua. Yritys hoiti lukittujen tietojen vapauttamisen rahaa vastaan. Kiristyshaittaohjelmat luokitellaan poliisin tilastoissa tietomurtojen alle. Tilastoihin kirjautui viime vuonna 822 tietomurtoa. Tilastoista ei pysty erottelemaan, kuinka monessa tapauksessa oli osana kiristyshaittaohjelma. Viranomaiset eivät suosittele lunnaiden maksamista rikollisille, jotka kiristävät haittaohjelmilla tai varastetuilla tiedoilla. Rikollisten vaatimuksiin suostuminen ei takaa sitä, että lukitut tiedot saisi takaisin tai että varastettuja tietoja ei julkaistaisi.

University Email Hijacking Attacks Push Phishing, Malware

threatpost.com/university-email-hijacking-phishing-malwarephishing-malware/160735/ Attackers are compromising email accounts from popular universities, including Purdue and Oxford, to launch attacks that get around DMARC and SPF. Cybercriminals are hijacking legitimate email accounts from more than a dozen universities including Purdue University, University of Oxford in the U.K. and Stanford University and using the accounts to bypass detection and trick victims into handing over their email credentials or installing malware.

Valtioneuvoston kanslia pyytää poliisia selvittämään puhelinvaihteeseen tunkeutumisen 11 ministeriön puhelinvastaajassa eilen väärä viesti

yle.fi/uutiset/3-11624093 Valtioneuvoston kanslia on pyytänyt poliisia selvittämään tapauksen, jossa valtioneuvoston puhelinvaihteeseen on tunkeuduttu. Valtioneuvoston tietohallintojohtaja Max Hamberg pitää tapahtunutta mahdollisena tietoturvarikoksena. Hambergin mukaan kyse ei ollut vain sosiaali- ja terveysministeriön puhelinvaihteesta, vaan kaikilla ministeriöillä sisäministeriötä lukuunottamatta on yhteinen puhelinvaihde. Kaikkiaan teko kohdistui Hambergin mukaan siis yhteentoista ministeriöön. Lue myös: yle.fi/uutiset/3-11621710

Browser Bugs Exploited to Install 2 New Backdoors on Targeted Computers

thehackernews.com/2020/10/browser-exploit-backdoor.html Cybersecurity researchers have disclosed details about a new watering hole attack targeting the Korean diaspora that exploits vulnerabilities in web browsers such as Google Chrome and Internet Explorer to deploy malware for espionage purposes.

IoT security: Are we finally turning the corner?

www.welivesecurity.com/2020/10/29/iot-security-are-we-finally-turning-corner/ Better IoT security and data protection are long overdue. Will they go from an afterthought to everyone’s priority any time soon?. As October draws to a close, so does Cybersecurity Awareness Month, and we can all sit back and congratulate each other on a job well done and forget about the need to think about cybersecurity for another year. If only it was that simple! The need to proactively consider security every day has never been greater, especially given that the number of connected devices is predicted to grow at unprecedented levels from approximately 20 billion today to anywhere between 50 billion through to 75 billion by 2025, depending on whose estimate you believe. The broad range is probably a good indication that experts have no true prediction on how quickly people, industry and infrastructure will adopt new technology.

FBI “ransomware warning” for healthcare is a warning for everyone!

nakedsecurity.sophos.com/2020/10/29/fbi-ransomware-warning-for-healthcare-is-a-warning-for-everyone/ Ransomware attacks in their modern form where your files get scrambled and the crooks blackmail you to pay a “fee” for the decryption key, of which they have the one and only copy have evolved dramatically in recent years.

US shares info on Russian malware used to target parliaments, embassies

www.bleepingcomputer.com/news/security/us-shares-info-on-russian-malware-used-to-target-parliaments-embassies/ US Cyber Command today shared information on malware implants used by Russian hacking groups in attacks targeting multiple ministries of foreign affairs, national parliaments, and embassies. The malware samples were identified by US Cyber Command’s Cyber National Mission Force (CNMF) unit and the Cybersecurity and Infrastructure Security Agency (CISA) and uploaded today to the Virus Total online virus scan platform. CISA also published two advisories in collaboration with the FBI and CNMF detailing additional info regarding the ComRAT and Zebrocy malware used by the Russian state-sponsored Turla and APT 28 hacking groups in these attacks.

Browsing from the coffee shop? You might want to try Google’s new VPN service

www.zdnet.com/article/browsing-from-the-coffee-shop-you-might-want-to-try-googles-new-vpn-service/ Targeting anyone who is inclined to connect to unsecured Wi-Fi networks in cafes and other public venues, naively entering credit-card details and other personal data, Google is now releasing a new Virtual Private Network (VPN) directly embedded in Google One services.

Lazada confirms 1.1M accounts compromised in RedMart security breach

www.zdnet.com/article/lazada-confirms-1-1m-accounts-compromised-in-redmart-security-breach/ Lazada’s online grocery platform RedMart has suffered a data breach that affected 1.1 million accounts, after an outdated database containing personal information including email addresses, encrypted passwords, and partial credit card numbers was illegally accessed.

REvil Gang Promises a Big Video-Game Hit; Claims Massive Revenue

threatpost.com/revil-video-game-hit-revenue/160743/ In a wide-ranging interview, a REvil leader said the gang is earning $100 million per year, and provided insights into the life of a cybercriminal.

BCG: Kyberrikolliset käyttävät nyt koronaa hyväkseen tietovuodon syy on usein ihmisissä, ei teknologiassa

www.epressi.com/tiedotteet/talous/bcg-kyberrikolliset-kayttavat-nyt-koronaa-hyvakseen-tietovuodon-syy-on-usein-ihmisissa-ei-teknologiassa.html Kun koko maailmassa on siirrytty ennennäkemättömällä tavalla etätöihin, esiin on noussut uusia tietoturvaongelmia, kertoo konsulttiyhtiö Boston Consulting Group. Kyberrikolliset käyttävät ihmisten koronavirukseen liittyvää tiedonjanoa häikäilemättömästi hyväkseen. BCG:n tutkimien tapausten valossa tietovuoto johtuu useimmiten inhimillisistä tekijöistä, ei teknologiasta.

DI Mika Aallon liikeidea tyrmättiin, mutta siitä syntyi tietoturvaa pelillistävä startup, joka tekee nyt miljoonaliikevaihtoa [Maksumuurin takana]

www.tekniikkatalous.fi/uutiset/di-mika-aallon-liikeidea-tyrmattiin-mutta-siita-syntyi-tietoturvaa-pelillistava-startup-joka-tekee-nyt-miljoonaliikevaihtoa/988519f9-fc4a-4e79-b759-d7be2d4154f4 Hoxhuntin toimitusjohtajan Mika Aallon mukaan tietoturva on alettu nähdä mahdollisuutena ja kilpailuetuna.

Reijo Aarnio rakentamaan reilua datataloutta

www.sitra.fi/uutiset/reijo-aarnio-rakentamaan-reilua-datataloutta/ Tietosuojavaltuutettuna Reijo Aarnio on nähnyt, miten digitalisaatio on muuttanut Suomea. Hän uskoo, että ihmislähtöisyys nousee Suomen ja Euroopan vahvuudeksi nopeasti digitalisoituvassa maailmassa. Tietosuojavaltuutettuna vuodesta 1997 lokakuun 2020 loppuun työskennellyt Reijo Aarnio aloittaa marraskuun alussa osa-aikaisena Sitran vanhempana neuvonantajana. Aarnio työskentelee tulevalla Sitran Reilu datatalous -teema-alueella.

Valtorin palveluiden tietoturvaa taataan teknisin ratkaisuin, valvonnalla ja prosessien mukaisella toiminnalla

valtori.fi/-/valtorin-palveluiden-tietoturvaa-taataan-teknisin-ratkaisuin-valvonnalla-ja-prosessien-mukaisella-toiminnalla Tietoturvan arviointi ja kehittäminen on jatkuvaa työtä. “Sitä tekevät Valtorin omat ja asiantuntijakumppaneiden koulutetut tietosuoja- ja tietoturvaosaajat. Tietoturvaa kehitetään yhteistyössä viranomaisten, asiakkaiden ja palvelutoimittajien kanssa”, Valtorin toimitusjohtaja Pasi Lehmus kertoo. Valtorin palveluiden tietosuojan tilasta kerätään tietoa henkilötietojen käsittelyn vaikutustenarvioinneilla. “Niiden kautta pystytään löytämään kehityskohteita ja vahvistamaan tietosuojan toteutumista entisestään”, turvallisuusjohtaja Hannu Naumanen toteaa. Yhteisen palveluympäristön tietoturvaa toteutetaan myös kaikkien käyttäjien kanssa esimerkiksi organisaatioiden omilla tietoturvakoulutuksilla. Valtorissa nämä ovat pakollisia kaikille työntekijöille. Turvallisuusviranomaiset toimivat omassa erillisessä suojatussa verkkoympäristössään.

Valtioneuvoston ulko- ja turvallisuuspoliittinen selonteko 2020 turvallisuus ja globaali vastuunkanto kuuluvat yhteen

um.fi/ajankohtaista/-/asset_publisher/gc654PySnjTX/content/valtioneuvoston-ulko-ja-turvallisuuspoliittinen-selonteko-2020-turvallisuus-ja-globaali-vastuunkanto-kuuluvat-yhteen Lue myös: urn.fi/URN:ISBN:978-952-287-876-2

F-Securen tietohallintojohtaja A-Studiossa: Huijari iski veronpalautuksiin vuonna 2009: “Teki hyvän tilin kunnes jäi kiinni”

www.is.fi/digitoday/tietoturva/art-2000006704782.html Koivunen kertoi, että isoon joukkoon kansalaisia mahdollisesti kohdistuva tietojen väärinkäyttö ei olisi ensimmäinen kerta. Yksi esimerkki löytyy reilun vuosikymmenen takaa vuodelta 2009. Tässä kymmenen vuotta sitten kun oli vastaavantapainen henkilötunnusvuoto niin ainakin yksi ihminen onnistui ihmisten veronpalautuksia imemään verottajalta ilmoittamalla vain uudet veronpalautustiedot.

Onko kännykässäsi vielä vanha Koronavilkku? Muista päivittää

www.tivi.fi/uutiset/tv/cd178d83-967e-4121-8888-388a51ae5f57 Kannattaa varmistaa, että omasta puhelimesta löytyy Koronavilkun tuorein versio. Lue myös:

www.tivi.fi/uutiset/tv/d548ae17-74ad-4bd4-a889-1a9353e05363

Phishing Javascript Obfuscation Techniques Soars

blogs.akamai.com/sitr/2020/10/phishing-javascript-obfuscation-techniques-soars.html Today, using Akamai’s visibility into phishing attacks – including an analysis of more than 10, 000 URLs using JavaScript obfuscation techniques over 10 months – we’ll follow the observed trends of websites using JavaScript obfuscation techniques in the wild in order to evade detection and fly under the radar. According to our research, we see a continued increase in the usage of obfuscation techniques in phishing websites over the 10-month period between November 2019 until August 2020, representing an increase of more than 70% over that time frame.

UHS restores hospital systems after Ryuk ransomware attack

www.bleepingcomputer.com/news/security/uhs-restores-hospital-systems-after-ryuk-ransomware-attack/ Universal Health Services (UHS), a Fortune 500 hospital and healthcare services provider, says that it has managed to restore systems after a September Ryuk ransomware attack. UHS has over 90, 000 employees who provide healthcare services to roughly 3.5 million patients every year through a network of more than 400 healthcare facilities in the US and the UK. The ransomware attack the healthcare provide refers to as a “security incident” took place during the early hours of Sunday, September 27, and it forced UHS employees to shut down all systems to block the malware from spreading to unaffected network systems.

Ransomware Group Targets Hospitals At Height Of Pandemic

www.forbes.com/sites/waynerash/2020/10/29/ransomware-group-targets-hospitals-at-height-of-pandemic/ A Russian-speaking ransomware group has begun targeting hospitals in the United States, according to a joint statement by three federal agencies. The statement says that Trickbot malware with a Ryuk ransomware payload locks up machines until the hospitals pay a ransom exceeding $1 million.

The Russians are at it again: Zebrocy backdoor malware is evolving, Uncle Sam warns close to eve of presidential election

www.theregister.com/2020/10/30/zebrocy_warning_us_cisa/ The US government, in full pre-presidential election high alert, has issued a warning about an evolved strain of backdoor malware from a Russian offensive cyber unit. The Zebrocy backdoor, warned the CISA infosec agency, has evolved and while the agency didn’t explicitly link it to Russia, previous research from the private sector made it abundantly clear who the malware’s operators are.

Days before the US election, phishers net $2.3m from Wisconsin Republicans

www.theregister.com/2020/10/29/wisconsin_political_phishing/ The Republican Party of Wisconsin, a key battleground state which President Trump won in 2016 by less than 1 per cent, has admitted that it lost $2.3m earlier this month to business email deception – where phishing emails harvest credentials and use these to submit fake or altered invoices for services (not) rendered. The issue was first spotted on the evening of October 23, the state GOP said, and the FBI were called in the next morning. It appears that the criminals were able to doctor invoices that came from regular vendors and divert millions to other accounts. Efforts to recover the money are already underway.

Digiturvallinen elämä -peli

dvv.fi/digiturvallinen-elama Digiturvallinen elämä -peli on nyt julkaistu! Pelin avulla opit digiturvataitoja helpolla ja hauskalla tavalla. Pelin ensimmäisessä osassa keskitytään työelämässä tarvittaviin digiturvataitoihin. Toimit arkipäiväisissä tilanteissa kuvitteellisen Tyrskylän kunnan työntekijän roolissa. Selviätkö sinä työviikosta, joka on täynnä digiturvahaasteita?

How Estonia tackled security flaws in its ID cards

govinsider.asia/resilience/how-estonia-tackled-security-flaws-in-its-id-cards-liisa-past/ Liisa Past, Estonia’s former Chief National Cyber Risk Officer, shares with GovInsider the biggest lessons learnt from her tenure. The RIA found out that the cards issued since 2014 had a security flaw in its hardware, says Past. It “wasn’t of our making, ” she adds, but an algorithmic flaw in the keys provided by German manufacturer Infineon. That could allow hackers to access sensitive information of the users by stealing their digital identity.

In a first, researchers extract secret key used to encrypt Intel CPU code

arstechnica.com/gadgets/2020/10/in-a-first-researchers-extract-secret-key-used-to-encrypt-intel-cpu-code/ Researchers have extracted the secret key that encrypts updates to an assortment of Intel CPUs, a feat that could have wide-ranging consequences for the way the chips are used and, possibly, the way they’re secured. The key makes it possible to decrypt the microcode updates Intel provides to fix security vulnerabilities and other types of bugs. Having a decrypted copy of an update may allow hackers to reverse-engineer it and learn precisely how to exploit the hole it’s patching. The key may also allow parties other than Intelsay a malicious hacker or a hobbyistto update chips with their own microcode, although that customized version wouldn’t survive a reboot.

WordPress Patches 3-Year-Old High-Severity RCE Bug

threatpost.com/wordpress-patches-rce-bug/160812/ WordPress released a 5.5.2 update to its ubiquitous web publishing software platform. The update patches a high-severity bug, which could allow a remote unauthenticated attacker to take over a targeted website via a narrowly tailored denial-of-service attack.

NVIDIA Patches Critical Bug in High-Performance Servers

threatpost.com/nvidia-critical-bug-hpc/160762/ NVIDIA released a patch for a critical bug in its high-performance line of DGX servers that could open the door for a remote attacker to take control of and access sensitive data on systems typically operated by governments and Fortune-100 companies.

Google discloses Windows zero-day exploited in the wild

www.zdnet.com/article/google-discloses-windows-zero-day-exploited-in-the-wild/ Security researchers from Google have disclosed today a zero-day vulnerability in the Windows operating system that is currently under active exploitation.

You might be interested in …

Daily NCSC-FI news followup 2020-11-25

Laser-Based Hacking from Afar Goes Beyond Amazon Alexa threatpost.com/light-based-attacks-digital-home/161583/ They broadened their research to show how light can be used to manipulate a wider range of digital assistantsincluding Amazon Echo 3 but also sensing systems found in medical devices, autonomous vehicles, industrial systems and even space systems. Live Patching Windows API Calls Using PowerShell isc.sans.edu/diary/rss/26826 […]

Read More

Daily NCSC-FI news followup 2019-12-06

If there’s somethin’ stored in a secure enclave, who ya gonna call? Membuster! www.theregister.co.uk/2019/12/05/membuster_secure_enclave/ Computer scientists from UC Berkeley, Texas A&M, and semiconductor biz SK Hynix have found a way to defeat secure enclave protections by observing memory requests from a CPU to off-chip DRAM through the memory bus. Read also: arxiv.org/pdf/1912.01701.pdf VCs find exciting […]

Read More

Daily NCSC-FI news followup 2020-07-11

Trump confirms US conducted cyberattack against Russia in 2018 edition.cnn.com/2020/07/10/politics/donald-trump-us-russia-cyberattack/index.html President Donald Trump, for the first time, confirmed the US conducted a covert cyberattack in 2018 against Russia’s Internet Research Agency. Russian hacker found guilty for Dropbox, LinkedIn, and Formspring breaches www.zdnet.com/article/russian-hacker-found-guilty-for-dropbox-linkedin-and-formspring-breaches/ A California jury found Russian hacker Yevgeniy Nikulin guilty for breaching the internal […]

Read More

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.