CERT-SE:s veckobrev v.38

Ett matigt veckosvep med rapporter, fördjupningar och flertalet nyheter om cybersäkerhetshändelser runt om i världen. 

Vi passar även på att nämna att vi nästa vecka tjuvstartar cybersäkerhetsmånaden med att släppa CERT-SE:s årliga CTF!

Trevlig helg önskar CERT-SE!

Nyheter i veckan

Thousands of Juniper Junos firewalls still open to hijacks, exploit code available to all (18 sep)
https://www.theregister.com/2023/09/18/juniper_firewalls_rce/

Latest evolution of ‘pig butchering’ scam lures victim into fake mining scheme (18 sep)
https://news.sophos.com/en-us/2023/09/18/latest-evolution-of-pig-butchering-scam-lures-victim-into-fake-mining-scheme/

Retool Falls Victim to SMS-Based Phishing Attack Affecting 27 Cloud Clients (18 sep)
https://thehackernews.com/2023/09/retool-falls-victim-to-sms-based.html

Financially Motivated UNC3944 Threat Actor Shifts Focus to Ransomware Attacks (18 sep)
https://thehackernews.com/2023/09/financially-motivated-unc3944-threat.html

Bumblebee malware returns in new attacks abusing WebDAV folders (18 sep)
https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-in-new-attacks-abusing-webdav-folders/#google_vignette

Kuwait’s finance ministry says cyber attack hits one of its systems (18 sep)
https://www.reuters.com/world/middle-east/kuwaits-finance-ministry-says-cyber-attack-hits-one-its-systems-2023-09-18/

Sri Lanka Government Hit by Ransomware, Loses Critical Data (18 sep)
https://techreport.com/news/sri-lanka-government-hit-by-ransomware-loses-critical-data/

Third-party ransomware attack disrupts major Colombian government agencies (18 sep)
https://www.scmagazine.com/brief/third-party-ransomware-attack-disrupts-major-colombian-government-agencies

DHS: Ransomware attackers headed for second most profitable year (18 sep)
https://therecord.media/dhs-ransomware-headed-for-second-profits

One Million Plus Dymocks Customers Impacted by Cyber Attack (18 sep)
https://australiancybersecuritymagazine.com.au/one-million-plus-dymocks-customers-impacted-by-cyber-attack/

Government to create six ”cyber shields” to layer Australian protection (18 sep)
https://www.itnews.com.au/news/government-to-create-six-cyber-shields-to-layer-australian-protection-600355

Microsoft AI Researchers Accidentally Expose 38 Terabytes of Confidential Data (19 sep)
https://thehackernews.com/2023/09/microsoft-ai-researchers-accidentally.html

More than 20,000 details ’at risk’ after police data cyber attack (19 sep)
https://www.bbc.com/news/uk-england-manchester-66843618

Chinese Spies Infected Dozens of Networks With Thumb Drive Malware (19 sep)
https://www.wired.com/story/china-usb-sogu-malware/

Unveiling the Shadows: The Dark Alliance between GuLoader and Remcos (19 sep)
https://research.checkpoint.com/2023/unveiling-the-shadows-the-dark-alliance-between-guloader-and-remcos/

Cyberattack on Kansas town affects email, phone, payment systems (19 sep)
https://therecord.media/pittsburg-kansas-government-cyberattack

Manitoba government confirms it was hacked in recent cyber attack (19 sep)
https://winnipeg.citynews.ca/2023/09/19/manitoba-government-confirms-it-was-hacked-in-recent-cyber-attack/

Hackers backdoor telecom providers with new HTTPSnoop malware (19 sep)
https://www.bleepingcomputer.com/news/security/hackers-backdoor-telecom-providers-with-new-httpsnoop-malware/

Fake CVE-2023-40477 Proof of Concept Leads to VenomRAT (19 sep)
https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/

https://www.helpnetsecurity.com/2023/09/21/fake-winrar-poc/

Earth Lusca’s New SprySOCKS Linux Backdoor Targets Government Entities (19 sep)
https://thehackernews.com/2023/09/earth-luscas-new-sprysocks-linux.html

Finland, Europol take down PIILOPUOTI dark web marketplace (19 sep)
https://therecord.media/europol-finland-take-down-pillopuoti-dark-web-market

FBI and CISA Release Advisory on Snatch Ransomware (20 sep)
https://www.cisa.gov/news-events/alerts/2023/09/20/fbi-and-cisa-release-advisory-snatch-ransomware

International Criminal Court Suffers Cyberattack (20 sep)
https://www.darkreading.com/attacks-breaches/international-criminal-court-faces-cyber-intrusion-launches-investigation

Pizza Hut Australia hack: data breach exposes customer information and order details (20 sep)
https://www.theguardian.com/australia-news/2023/sep/20/pizza-hut-hack-australia-data-breach-passwords-information-leak

Attacks on 5G Infrastructure From Users’ Devices (20 sep)
https://www.trendmicro.com/en_us/research/23/i/attacks-on-5g-infrastructure-from-users-devices.html

Signal Messenger Introduces PQXDH Quantum-Resistant Encryption (20 sep)
https://thehackernews.com/2023/09/signal-messenger-introduces-pqxdh.html

P2PInfect botnet activity surges 600x with stealthier malware variants (20 sep)
https://www.bleepingcomputer.com/news/security/p2pinfect-botnet-activity-surges-600x-with-stealthier-malware-variants/

https://www.cadosecurity.com/cado-security-labs-researchers-witness-a-600x-increase-in-p2pinfect-traffic/

MGM Resorts computers back up after 10 days as analysts eye effects of casino cyberattacks (21 sep)
https://apnews.com/article/vegas-mgm-resorts-caesars-cyberattack-shutdown-a01b9a2606e58e702b8e872e979040cc

Cyber attack brought Elron ticketing system down Wednesday (21 sep)
https://news.err.ee/1609107212/cyber-attack-brought-elron-ticketing-system-down-wednesday

Air Canada says hackers accessed limited employee records during cyberattack (21 sep)
https://therecord.media/air-canada-limited-employee-info-accessed

Informationssäkerhet och blandat

Fostering Digital Resilience: Strategies for Building Robust Cybersecurity in an Evolving Threat Landscape (18 sep)
https://www.indrastra.com/2023/09/fostering-digital-resilience-strategies.html

FBI Tech Tuesday: Building a Digital Defense Against QR Code Scams (19 sep)
https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi-tech-tuesday-building-a-digital-defense-against-qr-code-scams

The mystery of the CVEs that are not vulnerabilities (19 sep)
https://www.malwarebytes.com/blog/news/2023/09/the-mystery-of-the-cves-that-are-not-vulnerabilities

Shadow IT: Security policies may be a problem (20 sep)
https://www.helpnetsecurity.com/2023/09/20/shadow-it-security-policies/

Have I been hacked? Cybersecurity experts share tips for protecting personal data (20 sep)
https://www.theglobeandmail.com/canada/article-cybersecurity-hacked-security-tips/

Ger nytt liv till inbyggda datorsystem (20 sep)
https://kaw.wallenberg.org/forskning/ger-nytt-liv-till-inbyggda-datorsystem

DDoS Attack Statistics and Facts You Must Know (2018-2023 Data) (21 sep)
https://techreport.com/statistics/ddos-statistics-facts/

Felaktigt mailutskick via CERT.se

Alldeles nyss såg vi ett felaktigt mailutskick från CERT.se. Företaget Autora köper upp och säljer vidare taxibilar och på något sätt har deras utskick hamnat hos en rad myndigheter och företag som prenumererar på nyhetsbrev från CERT.se.

R.A.P.S. har varit i kontakt med CERT.se som bekräftar att man arbetar med att ta reda på hur ett blixmeddelande från deras prenumerationstjänst kunnat få en helt annan avsändare.

CERT.se har anmält händelsen till IMY (Integritetsskyddsmyndigheten).

Information från CERT.se om felaktigt utskick

Större jordras vid E6 i höjd med Stenungsund – omfattande påverkan

Uppdaterad: CET: 00.10 – 2023-09-26

Ett större ras inträffade natten mot lördagen vid E6 i höjd med Stenungsundsmotet. Larmet inkom klockan 01.48 till räddningstjänsten som skickade en stor mängd resurser. Minst fyra personer har förts till sjukhus efter att tre bilar och en buss kört ner i det slukhål som bildades i vid raset.

I området ligger bland annat en hamburgerrestaurang och en bensinmack som nu ingår i det skreddrabbade området. Det finns också flera mindre vägar och mindre antal villafastigheter i området. Enligt räddningstjänsten är av dessa utrymda. Den drabbade området uppskattas till minst mellan 300-500 meter i diameter.

Både Trafikverket och polisen beskriver konsekvenserna av raset kommer att leda till mycket omfattande trafikstörningar eftersom trafiken behöver ledas om till mindre vägar. Särskilt påtagligt kommer det att bli för den tunga trafiken som begränsas av regler gäller för det mindre vägnätet. Avstängningen av E6 och mindre vägar i området kommer att bestå under en längre tid. Förmodligen handlar det om flera månader eftersom allt behöver byggas upp från grunden. Representanter från Räddningstjänsten, polisen, Stenungsunds kommun, Trafikverket och Statens Geotekniska Institut (SGI) har under lördagen inspekterat rasområdet. Undersökningarna kommer att fortsätta ytterligare en tid.

Polisen inledde en förundersökning gällande misstanke om grov allmänfarlig ödeläggelse. På måndagen övertog en miljöåklagare utredningen samt ändrade brottsrubriceringen till att gälla misstanke om miljöbrott. I området för lerskredet har det pågått sprängningar för en ny företagspark. På platsen har också mycket stora schaktmassor deponerats. Det finns en obekräftad teori om att dessa schaktmassor bidragit till lerskredet.

Räddningstjänsten i Storgöteborgs pressmeddelande

Delar av vägbanan på E6 i höjd med Stenungsundsmotet har rasat (Stenungsunds kommun)

Pressmeddelande Statens Geotekniska Institut (SGI)

Uppdaterad information från Stenungsunds kommun

Trafiken.nu Göteborg – information om alternativa färdvägar

Karta: Trafikverket

Domstolsanställd vid Attunda tingsrätt begärd häktad – spred sekretessbelagd information

Åklagaren har begärt en domstolsanställd vid Attunda tingsrätt häktad för grovt sekretessbrott och grovt dataintrång. Den anställde anhölls av åklagare vid Särskilda Åklagarkammaren den 20 september. Den fortsatta utredningen har lett fram till att den misstänkte nu begärs häktad.

Enligt åklagaren har brottsligheten varit systemhotande och skett på flera platser i Stockholms län.

Microsoft dumpade 38 terabyte känslig data hos Github

Under tre år har 38 terabyte (!) känslig data om Microsoft-anställdas lösenord, nycklar och interna meddelanden varit tillgängliga för allmänheten hos Github, det uppger Computer Sweden som citerar Wiz och TechCrunch.

Mängden data är så ofattbart stor att det är svårt att förstå hur det ens varit möjligt att det fått pågå under så lång tid. Mircosoft har den senaste tiden drabbats av flera allvarliga informationsläckor.

Domstolsanställd anhållen misstänkt för grovt sekretessbrott

En domstolsanställd vid Attunda tingsrätt norr om Stockholm anhölls på onsdagen av åklagare som misstänkt för grovt sekretessbrott. En teknisk undersökning har gjorts på den anhållnes arbetsplats. Poliser på Särskilda åklagarkammaren, som utreder brott där bl a domstolsanställda och poliser misstänks för brott handlägger fortsatt utredningen, direktiv från åklagaren i ärendet.

Domstolspersonal hanterar en stor mängd sekretessbelagd information som t ex beslut om hemlig avlyssning och andra hemliga tvångsåtgärder. Därför är misstankarna, om de leder till åtal och fällande dom, ytterst allvarliga för tilliten till domstolsväsendet. Ärendet är ovanligt då misstankarna rör sig om ett grovt sekretessbrott.

Åklagarmyndighetens pressmeddelande om anhållandet

4,1 miljarder i sanktionsavgift för Tiktok

Den irländska motsvarigheten till Integritetsmyndigheten (IMY) beslutar om en sanktionsavgift för Tiktok på 345 miljoner euro, ca 4,1 miljarder svenska kronoro, för att man inte följt dataskyddslagstiftningen (GDPR) för barn mellan 14-17 år. Det har varit möjligt för barn under 18 år att registrera ett konto utan föräldrarnas medgivande. Dessutom har det varit möjligt att lämnar kommentarer på barnens konton.

Tiktok uppger att man är ”respektfullt oeniga” med den irländska dataskyddsmyndigheter men det är i dagsläget oklart om det kinesiska bolaget kommer att överklaga sanktionsbeslutet. Tiktok menar också att man redan före granskningen ändrade funktionen för barn mellan 13-16 år och att man under hela den tid granskningen pågått gjort anpassningar till den europeiska dataskyddslagstiftningen.

Länk till Data Protection Commission

CERT-SE:s veckobrev v.37

Denna fredag den 15 september innebär 99 dagar kvar till julafton! Strax innan jul väntas SANS släppa sin 2023 SANS Holiday Hack Challenge & KringleCon. Fram till dess går det bra att ta en titt på 2021 och 2022 års upplagor.

https://www.sans.org/mlp/holiday-hack-challenge-2023/

Nyheter i veckan

Associated Press warns that AP Stylebook data breach led to phishing attack (10 sep)
https://www.bleepingcomputer.com/news/security/associated-press-warns-that-ap-stylebook-data-breach-led-to-phishing-attack/

Square: Last week’s outage was caused by DNS issue, not a cyberattack (11 sep)
https://www.bleepingcomputer.com/news/technology/square-last-weeks-outage-was-caused-by-dns-issue-not-a-cyberattack/

Council of Europe report calls use of Pegasus spyware by several countries potentially illegal (11 sep)
https://therecord.media/council-of-europe-report-pegasus-spyware

Cyberkriminella stjäl processorkraft från svenska företag (11 sep)
https://www.aktuellsakerhet.se/cyberkriminella-stjal-processorkraft-fran-svenska-foretag/

Ransomwaregäng påstår sig ha hackat Rädda Barnen – som bekräftar intrång (12 sep)
https://computersweden.idg.se/2.2683/1.779963/cyberbrottslingar-pastar-sig-ha-kommit-at-radda-barnen

Apple backports BLASTPASS zero-day fix to older iPhones (12 sep)
https://www.bleepingcomputer.com/news/security/apple-backports-blastpass-zero-day-fix-to-older-iphones/

MGM Resorts: Slot machines go down in cyber-attack on firm (12 sep)
https://www.bbc.com/news/technology-66784894

Israeli Hospital Hit By Ransomware Attack, 1TB Data Stolen (12 sep)
https://www.darkreading.com/dr-global/israeli-hospital-hit-by-attackers-1tb-data-stolen

Microsoft Warns of New Phishing Campaign Targeting Corporations via Teams Messages (13 sep)
https://thehackernews.com/2023/09/microsoft-warns-of-new-phishing.html

Caesars Confirms Ransomware Hack, Stolen Loyalty Program Database (14 sep)
https://www.securityweek.com/caesars-confirms-ransomware-hack-stolen-loyalty-program-database/

Manchester Police officers’ data exposed in ransomware attack (14 sep)
https://www.bleepingcomputer.com/news/security/manchester-police-officers-data-exposed-in-ransomware-attack/

Cyber-attacks: the apex of crime-as-a-service (IOCTA 2023) (15 sep)
https://www.europol.europa.eu/publication-events/main-reports/cyber-attacks-apex-of-crime-service-iocta-2023

Nederländernas fotbollsförbund betalar lösensumma efter rysk cyberattack (15 sep)
https://www.dn.se/sport/nederlandernas-fotbollsforbund-betalar-losensumma-efter-rysk-cyberattack/

Informationssäkerhet och blandat

The International Criminal Court will now prosecute cyberwar crimes (8 sep)
https://arstechnica.com/information-technology/2023/09/the-international-criminal-court-will-now-prosecute-cyberwar-crimes/

Record number of cyberattacks targeting critical IT infrastructure reported to UK gov’t this year (11 sep)
https://therecord.media/uk-critical-it-infrastructure-attacks-reports-to-nis

The European Cyber Shield (12 sep)
https://cert.at/en/blog/2023/9/european-cyber-shield

Guide till säkrare containers (12 sep)
https://kryptera.se/guide-till-sakrare-containers/

5 Password Cracking Techniques Used in Cyber Attacks (13 sep)
https://www.proofpoint.com/us/blog/information-protection/password-cracking-techniques-used-in-cyber-attacks

Contextualizing Deepfake Threats to Organizations
https://media.defense.gov/2023/Sep/12/2003298925/-1/-1/0/CSI-DEEPFAKE-THREATS.PDF

CERT-SE i veckan

Sårbarhet i Cisco-produkter utnyttjas aktivt

Microsofts säkerhetsuppdateringar för september 2023

Adobes månatliga säkerhetsuppdateringar för september 2023

CERT-SE har fått förnyad certifiering från Trusted Introducer

Förslag om elektronisk tillgång till barns uppgifter inom hälso- och sjukvården lämnas på remiss

Big data. Information concept. 3D render

Maria Jacobsson, rättschef på E-hälsomyndigheten, fick i juni 2022 i uppdrag att biträda Socialdepartementet med att utreda elektronisk åtkomst till barns uppgifter inom hälso- och sjukvården inklusive tandvården. Förslagen som utredningen har inkommit med till Socialdepartement har regeringen beslutat om ska gå på remiss.

– Den digitala tillgången till journalen för barn och unga har varit komplicerad över längre tid och det har därför funnits behov att se över frågan. Vi ser nu fram emot att hämta in åsikter från remissinstanser för att hitta efterlängtade patientsäkra lösningar på journalåtkomsten för barn och unga och för deras vårdnadshavare innan regeringen tar ställning, säger sjukvårdsminister Acko Ankarberg Johansson.

Utredningen ger förslag om ändringar i patientdatalagen, lagen om nationell läkemedelslista och offentlighets- och sekretesslagen som innebär att vårdnadshavare får medges elektronisk tillgång till sina barns hälso- och sjukvårdsuppgifter och att barn som har fyllt tretton år får medges elektronisk tillgång till sina hälso- och sjukvårdsuppgifter. Uppgifterna får inte göras tillgängliga för vårdnadshavaren om ett barn som fyllt tretton år motsätter sig det.

Utredningen föreslår också vissa skyldigheter för vårdgivare, E-hälsomyndigheten och för hälso- och sjukvårdspersonal i samband med detta. Skyldigheterna rör bland annat att spärra uppgifter som omfattas av sekretess för vårdnadshavare eller barnet självt samt att informera barnet om dess rätt att motsätta sig att vårdnadshavare tar del av uppgifterna.

800 kvardratkilometer stort område avspärrat efter fynd av Afrikansk svinpest hos vildsvin

Jordbruksverket har spärrat av ett 800 kvadratkilometer stort område i Fagersta i Västmanland där man i förrgår hittade ett dött vildsvin som efter provtagning visat sig bära på Afrikansk svinpest.

Inom det avspärrade område gäller hårda restriktioner för hur man får beträda området. Brott mot restriktionerna kan leda till straffrättsliga åtgärder.

Allvarligaste sjukdomen bland vildsvin och tamgrisar

Afrikansk svinpest är den allvarligaste sjukdomen ett vilt eller tamt svin kan drabbas av. Sjukdomen är mycket smittsam och sprids lätt till andra svinbesättningar. Främst kan den inhemska livsmedelsproduktionen både direkt och indirekt påverkas. Hela besättningar av tamsvin kan behöva avlivas och brännas vilket dels leder till stora förluster för uppfödarna dels påverkar tillgången till fläskkött. Effekten på export av fläskkött påverkas inte i någon nämnvärd utsträckning då vi främst säljer produktionen på den inhemska marknaden.

Det här gäller inom den smittade zonen

För att minska risken för smittspridning gäller det här inom den smittade zonen.

Jakt av vilt är förbjuden

All typ av jakt av alla arter av vilt är förbjuden.

Alla aktiviteter där människor vistas i skog och mark är förbjudna

Alla aktiviteter där människor vistas i skog och mark utanför markerad tomtgräns och utanför etablerad tävlings­bana är förbjudna. Det gäller även sportevenemang, sammankomster och offentliga tillställningar.

Exempel på aktiviteter som inte är tillåtna

Exempel på aktiviteter som inte är tillåtna:

  • svamp- och bärplockning
  • skogspromenader utanför anlagd väg
  • bad på icke allmän badplats
  • orienterings-, rid-/kör-, hund- eller motortävling i skog och mark
  • gårdsauktion där redskap etc. ställs ut på vallar
  • guidad natur- och kulturvandring i skog och mark.

Exempel på aktiviteter som är tillåtna

Exempel på aktiviteter som är tillåtna:

  • fest i en privatpersons trädgård
  • rid-/kör- eller motortävling på permanent bana
  • bad på allmän badplats.
  • Övriga förbud

Det här är också förbjudet:

  • alla typer av skogsbruksåtgärder
  • att släppa hundar lösa
  • att som obehörig vistas i vildsvinshägn eller inhägnader för tamgrisar.

Det här gäller för fordon och maskiner som använts i lantbruk och skogsbruk

Fordon och maskiner som använts i lantbruk respektive skogsbruk i den smittade zonen måste rengöras och desinficeras för att få flyttas ut ur smittad zon. Vi kommer att uppdatera informationen här om vad som gäller för rengöring och desinfektion.

Om du har hägnade vildsvin i vilthägn i den smittade zonen

Du som håller hägnade vildsvin i smittad zon ska

  • uppskatta antalet vildsvin i hägnet och dokumentera antalet i en hägnjournal
  • dagligen inspektera hägnet och söka efter sjuka eller självdöda vildsvin
  • snarast möjligt rapportera alla fynd av sjuka eller självdöda vild­svin till Jordbruksverket, samt dokumentera fynden i hägnjournalen genom att ange fynddatum samt djurets kön och ålder. Detta gäller inte om det är uppenbart att den ökade sjukligheten eller dödligheten hos djuren beror på olycksfall eller annan fysisk skada. Vi kommer att uppdatera informationen om hur du ska rapportera.
  • föra besöksjournal där besöksdatum, namn och telefonnummer för alla personer som besöker hägnet
  • se till att både hägnjournal och besöksjournal hålls uppdaterade och på begäran visa upp dem för veterinär eller annan kontrollpersonal
  • förhindra att de hägnade vildsvinen kommer i direkt eller indirekt kontakt med frilevande vildsvin. Vilthägnet ska omgående förses med dubbla staket. Läs mer under rubriken Du ska sätta stängsel inom smittad zon.

Du ska också se till att

  • det vid alla ingångar till hägnet sätts upp skyltar som anger att det är förbjudet för obehöriga att gå in i hägnet
  • inte bjuda in obehöriga besökare att komma in i hägnet
  • det finns särskilda skyddskläder och skodon för användning i hägnet
  • personal och behöriga besökare använder särskilda skyddskläder och skodon vid vistelse i hägnet
  • lämpligt desinfektionsmedel används på skodon vid grindarna in i hägnet
  • inga delar av frilevande vildsvin som skjutits eller hittats döda förs in på anläggningen eller i hägnet
  • inget material och ingen utrustning som varit i kontakt med frilevande vildsvin eller av annan anledning kan bära på afrikansk svinpest-virus förs in på anläggningen eller i hägnet
  • personal som kommit i kontakt med frilevande vildsvin eller tamgris byter till andra kläder och skodon samt tvättar och desinficerar sina händer när de går in i hägnet
  • vildsvinen inte utfodras med färskt grönfoder
  • strömedel som härrör från den smittade zonen inte ges till vildsvin förrän det har lagrats i minst tre månader
  • spannmål som härrör från den smittade zonen inte ges till vildsvin förrän det har lagrats i minst en månad.