CERT-SE:s veckobrev v.11

VECKOBREV

I veckan har MSB:s årsrapport för föregående års it-incidentrapportering släppts. Till skillnad från tidigare år, där majoriteten av de rapporterade it-incidenterna har berott på systemfel och misstag, vår cyberangrepp den vanligaste orsaken 2023. Ökningen av cyberangrepp kopplas till att fler överbelastningsangrepp rapporterades under första halvan av året. I veckan har det även varit patchtisdag, så se till att era system är uppdaterade. Veckobrevet bjuder dessutom på en hel del spännande fördjupande artiklar, så som Brittish Librarys utvärdering av sin tidigare incident.

Nyheter i veckan

Attack wrangles thousands of web users into a password-cracking botnet (7 mar)https://arstechnica.com/security/2024/03/attack-wrangles-thousands-of-web-users-into-a-password-cracking-botnet/

Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard (8 mar)https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/

CISA forced to take two systems offline last month after Ivanti compromise (8 mar)https://therecord.media/cisa-takes-two-systems-offline-following-ivanti-compromise

Incognito Darknet Market Mass-Extorts Buyers, Sellers (11 mar)https://krebsonsecurity.com/2024/03/incognito-darknet-market-mass-extorts-buyers-sellers/

Belgian village whose brewery was hit by cyberattack faces another on its coffee roastery (11 mar)https://therecord.media/koffie-beyers-cyberattack-coffee-roaster-duvel-belgium

Franska myndigheter utsatta för it-attack (11 mar)https://www.aftonbladet.se/nyheter/a/Rr77qd/aftonbladet-direkt?pinnedEntry=1226344

New network code on cybersecurity for EU electricity sector (11 mar)https://energy.ec.europa.eu/news/new-network-code-cybersecurity-eu-electricity-sector-2024-03-11_en

Over 12 million auth secrets and keys leaked on GitHub in 2023 (12 mar)https://www.bleepingcomputer.com/news/security/over-12-million-auth-secrets-and-keys-leaked-on-github-in-2023/

Sophiahemmet betalar inte lösensumma till hackarna (12 mar)https://www.mitti.se/nyheter/sophiahemmet-betalar-inte-losensumma-till-hackarna-6.3.209636.d86253e919

Fastighetsbolaget Örebroporten utsatt för dataintrång (12 mar)https://www.svt.se/nyheter/lokalt/orebro/fastighetsbolaget-orebroporten-utsatt-for-dataintrang

Cyberattack on U.S. health care system could be biggest in sector’s history (12 mar)https://www.youtube.com/watch?v=g1daKX_eke8

Förbättringar i välfärdens informationssäkerhetsarbete (12 mar)https://skr.se/skr/tjanster/pressrum/nyheter/nyhetsarkiv/forbattringarivalfardensinformationssakerhetsarbete.79730.html

Så förbereder du dig mot cyberattacker (12 mar)https://www.svt.se/nyheter/inrikes/sa-forbereder-du-dig-for-cyberattacker

Expert varnar för AI inför EU-valet: Har inte rätt verktyg (13 mar)https://sverigesradio.se/artikel/expert-varnar-for-ai-infor-eu-valet-har-inte-ratt-verktyg

Stanford University Hacked – Attackers Breached The Internal Network (13 mar)https://cybersecuritynews.com/stanford-university-hacked/

Tidigare Must-chef ska utreda cyberattack (13 mar)https://tt.omni.se/tidigare-must-chef-ska-utreda-cyberattack/a/Q7nljR

Alert: Cybercriminals Deploying VCURMS and STRRAT Trojans via AWS and GitHub (13 mar)https://thehackernews.com/2024/03/alert-cybercriminals-deploying-vcurms.html

Antalet cyberangrepp ökade kraftigt 2023 (14 mar)https://www.svt.se/nyheter/inrikes/antalet-cyberangrepp-okade-kraftigt-2023.. Antalet cyberangrepp ökade kraftigt under 2023 (14 mar)https://www.msb.se/sv/aktuellt/nyheter/2024/mars/antalet-cyberangrepp-okade-kraftigt-under-2023/

Nissan Hack: 10K+ Users Data Stolen by Hackers (14 mar)https://cybersecuritynews.com/nissan-hack-10k-users-data-stolen-by-hackers/

Stort kabelhaveri stör internet i Afrika (15 mar)https://www.aftonbladet.se/nyheter/a/Rr77qd/aftonbladet-direkt?pinnedEntry=1227609

McDonald’s bekräftar it-haveri – stora problem (15 mar)https://www.svt.se/nyheter/inrikes/problem-pa-mcdonalds-restauranger-stangda

Millions of users may have had data leaked in new French government agency security breach (15 mar)https://www.techradar.com/pro/security/millions-of-users-may-have-had-data-leaked-in-new-french-government-agency-security-breach

Scottish health service says ‘focused and ongoing cyber attack’ may disrupt services (15 mar)https://therecord.media/scottish-nhs-cyberattack-healthcare-dumfries-galloway

Recent Ivanti Vulnerabilities: 4 Lessons Security Leaders Can Learn (15 mar)https://www.informationweek.com/cyber-resilience/recent-ivanti-vulnerabilities-4-lessons-security-leaders-can-learn

Informationssäkerhet och blandat

TA577’s Unusual Attack Chain Leads to NTLM Data Theft (4 mar)https://www.proofpoint.com/us/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft

LEARNING LESSONS FROM THE CYBER-ATTACK British Library cyber incident review (8 mar)https://www.bl.uk/home/british-library-cyber-incident-review-8-march-2024.pdf

February 2024’s Most Wanted Malware: WordPress Websites Targeted by Fresh FakeUpdates Campaign (11 mar)https://blog.checkpoint.com/research/february-2024s-most-wanted-malware-wordpress-websites-targeted-by-fresh-fakeupdates-campaign/

FakeBat delivered via several active malvertising campaigns (12 mar)https://www.malwarebytes.com/blog/threat-intelligence/2024/03/fakebat-delivered-via-several-active-malvertising-campaigns

The 2024 Sophos Threat Report: Cybercrime on Main Street (12 mar)https://news.sophos.com/en-us/2024/03/12/2024-sophos-threat-report/

Threat actors leverage document publishing sites for ongoing credential and session token theft (13 mar)https://blog.talosintelligence.com/threat-actors-leveraging-document-publishing-sites/

Security Flaws within ChatGPT Ecosystem Allowed Access to Accounts On Third-Party Websites and Sensitive Data (13 mar)https://salt.security/blog/security-flaws-within-chatgpt-extensions-allowed-access-to-accounts-on-third-party-websites-and-sensitive-data

SVG Files Abused in Emerging Campaigns (13 mar)https://cofense.com/blog/svg-files-abused-in-emerging-campaigns/

A patched Windows attack surface is still exploitable (14 mar)https://securelist.com/windows-vulnerabilities/112232/

New email standards: what you need to knowhttps://www.techradar.com/pro/new-email-standards-what-you-need-to-know

CERT-SE i veckan

Microsofts månatliga säkerhetsuppdateringar för mars 2024 (14 mar)https://www.cert.se/2024/03/microsofts-manatliga-sakerhetsuppdateringar-for-mars-2024.html

Adobes månatliga säkerhetsuppdateringar för mars 2024 (14 mar)https://www.cert.se/2024/03/adobes-manatliga-sakerhetsuppdateringar-for-mars-2024.html

SAP:s månatliga säkerhetsuppdateringar för mars 2024 (14 mar)https://www.cert.se/2024/03/saps-manatliga-sakerhetsuppdateringar-for-mars-2024.html

Kritiska sårbarheter i FortiOS, FortiProxy och FortiClientEMS (Uppdaterad 15 mar)https://www.cert.se/2024/03/kritiska-sarbarheter-i-fortios-och-fortiproxy.html

Kritisk sårbarhet i Arcserve UDP (15 mar)https://www.cert.se/2024/03/Kritisk-sarbarhet-i-Arcserve-UDP.html

Kritisk sårbarhet i Juniper Secure Analytics (15 mar)https://www.cert.se/2024/03/Kritisk-sarbarhet-i-juniper-secure-analytics.html

Kammarrätten fastställer sanktionsavgift mot Klarna till 7,5 miljoner

Mål: 2829-23 

Klarna ska betala en sanktionsavgift om 7,5 miljoner kronor eftersom dataskyddsinformationen inte uppfyllt kraven i EU:s dataskyddsförordning. 

Överträdelserna av dataskyddsförordningen består av att Klarna inte lämnat tillräcklig information till de registrerade till exempel om hur personuppgifter kommer att lagras, och att informationen varit svårtillgänglig eller otydlig.

– Kammarrätten bedömer att en sanktionsavgift om 7,5 miljoner kronor är motiverad för att vara effektiv, proportionell och avskräckande. Kammarrätten gör därmed samma bedömning som Integritetsskyddsmyndigheten, säger Peder Liljeqvist, lagman vid kammarrätten.

Kammarrätten ändrar därmed förvaltningsrättens dom att sanktionsavgiften skulle vara 6 miljoner kronor.

Kammarrättens pressmeddelande – mål 2829-23

IMY:s handläggningsprocess – bakgrund (IMY)

Delbetänkande av Utredningen om genomförande av NIS2- och CER-direktiven

SOU 2024:18

Den 5 mars överlämnade den särskilde utredaren Anette Norman sitt delbetänkande till ny Cybersäkerhetslag. Nu ska lagen ut på remiss innan tjänstemännen på regeringskansliet kan starta beredningsarbetet att Riksdagen kan ta beslut om att införa lagen den 1 januari 2025.

Ladda ner delbetänkande här SOU 2024:18

Omfattande informationsläcka hos Folkhälsomyndigheten (FoHM)

Uppdaterad 2024-03-11; kl 08.39

En extern IT-konsult åtals nu för brott mot tystnadsplikten sedan han misstänks ha delat FoHM:s vaccinationsregister med en vaccinationkritisk sajt. Enligt myndigheten finns cirka 7 miljoner svenskar i vaccinregistret. Omfattningen av informationsläckan avslöjades sedan mannen blivit påkommen med att ha läckt vaccinationsuppgifter om 800 barn. IT-konsulten polisanmäldes då och det är den förundersökning som pågått sedan dess som får polisen att misstänka att den misstänkte läckt hela vaccinationsregistret.

På grund av sitt uppdrag fick den misstänkte ovanligt vida behörigheter till olika IT-system bland annat vaccinationsregistret. FoHM säger sig nu ha vidtagit åtgärder för att något liknande inte ska vara möjligt i framtiden.

Uppgifterna som läckt ut är enligt Läkartidningen personuppgifter på ca 7 miljoner vuxna.

IT-konsult åtalas för att ha läckt vaccinationsregistret till vaccinationskritisk sajt (SR Ekot)

Ny anmälan till IMY – hela vaccinationsregistret misstänks ha röjts (Läkartidningen)

CERT-SE:s veckobrev v.10

VECKOBREV

Blandade nyheter från veckan. Bland annat om att branschnätverket Women4cyber har fått en svensk avdelning. Missa heller inte texten från Nationellt cybersäkerhetscenter (NCSC) om cybersäkerhet och olika typer av hot.

Nyheter i veckan

Sjukhuset bekräftar: Data till salu efter cyberattack (4 mar)https://sverigesradio.se/artikel/experten-patienters-uppgifter-till-salu-efter-it-attack

Multistage RA World Ransomware Uses Anti-AV Tactics, Exploits GPO (4 mar)https://www.trendmicro.com/en_us/research/24/c/multistage-ra-world-ransomware.html

New Banking Trojan “CHAVECLOAK” Targets Brazil (4 mar)https://www.fortinet.com/blog/threat-research/banking-trojan-chavecloak-targets-brazil

BlackCat ransomware turns off servers amid claim they stole $22 million ransom (4 mar)https://www.bleepingcomputer.com/news/security/blackcat-ransomware-turns-off-servers-amid-claim-they-stole-22-million-ransom/

LLM Prompt Injection Worm (4 mar)https://www.schneier.com/blog/archives/2024/03/llm-prompt-injection-worm.html

Data från cyberattack mot Sophiahemmet till salu (4 mar)https://www.svt.se/nyheter/lokalt/stockholm/data-fran-cyberattack-mot-sjukhus-till-salu

Region Stockholm lämnar stabsläget efter cyberattack mot Sophiahemmet (5 mar)https://lakartidningen.se/aktuellt/nyheter/2024/03/region-stockholm-lamnar-stabslaget-efter-cyberattack-mot-sophiahemmet/

BlackCat ransomware shuts down in exit scam, blames the “feds” (5 mar)https://www.bleepingcomputer.com/news/security/blackcat-ransomware-shuts-down-in-exit-scam-blames-the-feds/

Cyberattack forces Canada’s financial intelligence agency to take systems offline (5 mar)https://therecord.media/canada-fintrac-cyberattack-systems-offline

American Express Notifies Customers of Data Breach (5 mar)https://www.securityweek.com/american-express-discloses-data-breach/

Patienter hängs ut på Darknet – efter it-attack (6 mar)https://sverigesradio.se/artikel/skarmdumpar-visar-personnummer-lackta-vid-hackerattacken

Switzerland: Play ransomware leaked 65,000 government documents (7 mar)https://www.bleepingcomputer.com/news/security/switzerland-play-ransomware-leaked-65-000-government-documents/

Rapporter och analyser

Rise in Deceptive PDF: The Gateway to Malicious Payloads (1 mar)https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-in-deceptive-pdf-the-gateway-to-malicious-payloads/

GhostSec’s joint ransomware operation and evolution of their arsenal (5 mar)https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware/

Safeguarding EU elections amidst cybersecurity challenges (6 mar)https://www.enisa.europa.eu/news/safeguarding-eu-elections-amidst-cybersecurity-challenges

Geopolitics Accelerates Need For Stronger Cyber Crisis Managementhttps://www.enisa.europa.eu/news/geopolitics-accelerates-need-for-stronger-cyber-crisis-management

Informationssäkerhet och blandat

Ny rapport: Allvarliga brister i svenska myndigheters cybersäkerhet (1 mar)https://www.svt.se/nyheter/inrikes/ny-rapport-allvarliga-brister-i-svenska-myndigheters-cybersakerhethttps://computersweden.se/article/1311018/msb-allvarliga-brister-i-offentliga-sektorns-sakerhetsarbete.html

Delbetänkande av Utredningen om genomförande av NIS2- och CER-direktiven – Nya regler om cybersäkerhet (5 mar)https://www.regeringen.se/rattsliga-dokument/statens-offentliga-utredningar/2024/03/sou-202418/

Women4cyber har fått en svensk avdelning (8 mar)https://www.aktuellsakerhet.se/women4cyber-har-fatt-en-svensk-avdelning/

Cybersäkerhet är en nationell angelägenhethttps://www.ncsc.se/aktuellt/cybersakerhet-ar-en-nationell-angelagenhet/

CERT-SE i veckan

Kritiska sårbarheter i Juniper-produkter (4 mar)https://www.cert.se/2024/03/kritiska-sarbarheter-i-juniper-produkter.html

Flera sårbarheter påverkar Cisco-programvara (4 mar)https://www.cert.se/2024/03/flera-sarbarheter-paverkar-cisco-programvara.html

Fortsatta driftstörningar hos IMY och Skatteverket

Under dagen har IMY och Skatteverket fortsatta driftstörningar som beror på överbelastningsattacker (DDos). Störningarna påverkar användarna på så sätt att man inte kan besöka myndigheternas sajter. De tekniska störningarna kommer och går vilket innebär att man kan testa att gå in igen efter en stund och testa igen.

Överbelastningsangrepp (DDoS)

CERT.se har sammanställt bra information om hur man hanterar en DDos-attack. Vi lägger ut artikeln från myndigheten och hoppas att ni kan komma att få god nytta av informationen.

Råd gällande förebyggande och hantering av överbelastningsangrepp.

Behöver du råd och stöd i att hantera ett pågående överbelastningsangrepp är du välkommen att kontakta CERT-SE på cert@cert.se eller 010-240 40 40.

Här följer en sammanställning av råd gällande hur man stärker skyddet mot överbelastningsangrepp samt vad man kan göra under ett pågående angrepp.

Överbelastningsangrepp, eller DDoS-angrepp (Distributed Denial of Service), kan orsaka betydande störningar på en webbplats eller onlinetjänst genom att den utsätts för en överdriven mängd trafik. De orsakar dock sällan någon skada eller avbrott i kärnverksamheten. Olika typer av DDoS-angrepp slår mot olika nivåer i den drabbade verksamhetens nätverk. Det finns inte någon enskild lösning som kan skydda mot alla typer av överbelastningsangrepp. En kombination av flera tillvägagångssätt behöver implementeras, samtidigt som det är viktigt att regelbundet granska och uppdatera dessa åtgärder för att följa angreppsmetodernas utveckling. Se över konfigurationer av verksamhetens it-system som är kopplade mot internet.

Säkerställ att verksamheten har rutiner för hur ni ska agera om ni drabbas av överbelastningsangrepp och genomför övningar. Identifiera vilka system och tjänster som är mest kritiska för att underlätta prioritering under pågående angrepp.

En god dialog med verksamhetens internetleverantör (ISP) är viktig, både i det förebyggande arbetet och vid hantering av ett pågående angrepp.

Det finns flera tillvägagångssätt som kan användas för att mildra effekterna av ett överbelastningsangrepp:

  1. Använd skyddstjänster mot överbelastningsangrepp: Många ISP:er erbjuder skyddstjänster som kan absorbera och filtrera den inkommande trafiken och endast dirigera legitim trafik till din server. Alternativt kan ett Content Delivery Network (CDN) användas för att skydda sin webbserver.
  2. Aktivera hastighetsbegränsning: Detta innebär att sätta en gräns för antalet förfrågningar som en användare kan göra till din webbplats inom en given tidsperiod. Detta kan hjälpa till att förhindra att din server överväldigas av överdriven trafik.
  3. Använd trafikfiltrering: Implementera filter för att blockera trafik från kända skadliga ip-adresser eller trafik som inte uppfyller vissa kriterier (bedöm om exempelvis blockering av trafik från utlandet kan vara ett alternativ). En web application firewall (WAF) kan nyttjas för att hantera överbelastningsangrepp som riktar in sig på applikationslagret. Tillgången till loggar är viktigt för att kunna avgöra vilken typ av angrepp eller vilka system som drabbats.
  4. Ha koll på helheten: Ett överbelastningsangrepp kan ibland vara ett sätt att styra verksamhetens uppmärksamhet och resurser bort från andra typer av angrepp. Det är därför viktigt att säkerställa övervakning av händelser i hela nätverksmiljön för att upptäcka och hantera sådana försök.
  5. Uppdatera regelbundet: Håll all programvara och säkerhetsåtgärder uppdaterade för att säkerställa att de kan försvara sig mot de senaste metoderna för överbelastningsangrepp.
  6. Upprätta polisanmälan: Glöm inte att upprätta en polisanmälan om ni drabbats av överbelastningsangrepp.

Dela loggfiler med CERT-SE

CERT-SE tar gärna emot loggar från verksamheter som drabbats av överbelastningsangrepp eller observerat avvikelser i sin it-miljö kopplat till sådana. Informationen ökar våra möjligheter att följa händelseutvecklingen i samhället och agera proaktivt för att varna andra verksamheter som riskerar att drabbas. Vi kan ta emot råa loggfiler eller sammanställningar. Kontakta oss på cert@cert.se för fortsatt dialog om hur du kan dela loggar med oss.

Mer om systematiskt informationssäkerhetsarbete

Systematiskt informationssäkerhetsarbete:
https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/systematiskt-informationssakerhetsarbete/

Stöd för uppföljning och förbättring av informationssäkerhetsarbetet:
https://www.msb.se/infosakkollen

Information om polisanmälan hos Polismyndigheten:
https://polisen.se



Senast uppdaterad: 2023-06-29 10:58

Omfattande tekniska problem för Metas sociala plattformar

Under dagen har de stora techbolagen som driver de globala sociala medier-plattformar haft omfattande tekniska problem. De sociala medier-plattformar som drabbades hårdast var Instagram, Threads, Facebook, WhatsApp och Messenger. Under ett par timmar låg tjänsterna helt nere i stora delar av världen.

Sociala medier-plattformar är en viktig del av det moderna informationssamhället. Organisationer och myndigheter använder dagligen de olika plattformarna för att dela olika budskap med sina användare. De utgör en strategisk och taktisk kommunikationskanal när organisationens ordinarie sajter drabbas av tekniska problem eller som idag överbelastningsattacker.

Överbelastningsattack mot flera myndigheter

Under dagen har flera statliga myndigheter upplevt driftstörningar till följd av en överbelastningsattacker mot deras sajter. De drabbade myndigheterna är

  • Integritetsskyddsmyndigheten (IMY)
  • Finansinspektionen (FI)
  • Försäkringskassan (FK).
  • Riksdagen
  • Konkurrensverket (KKV)
  • Kronofogden (KFM)

En del av myndigheterna uppger att man inte känner till att någon överbelastningsattack riktats mot dem. De vet inte heller vad det är som gör att deras sajter inte har full tillgänglighet.

Enligt IT-säkerhetsexperten Karl Emil Nikka har följande organisationer tagit på sig attackerna som utförts under dagen.

NoName057 :
– IMY
– Konkurrensverket

”Peoples CyberArmy”
– Försäkringskassan
– Finansinspektionen
– Kronofogden

Överbelastningsattacker mot myndigheter (Ekot)

Känslig patientdata påstås läckt efter cyberattack mot Sophiahemmet

Hackergruppen Medusa uppger att man har kopierat cirka 60 000 filer med olika slag av information från Sophiahemmet efter förra tisdagens cyberattack. Det är i nuläget oklart om man även låst filerna för åtkomst vilket i så fall skulle innebära att det är en ransomewareattack.

Enligt Sveriges Radio Ekot kan de kopierade filerna innehålla känsliga patientdata men det går i nuläget inte att bedöma om så är fallet. Medusa säger att man kommer att offentliggöra innehållet genom att sälja informationen på det som kallas Darknet.

I en rättelse från Ekot framgår nu att Sophiahemmet inte vet vilken typ av information som hackernätverket Medusa kommit över.

Cred: David Jansson