Uppdaterad 2024-03-26; 01.10

Mål 6027-23

Efter Kammarrättens dom mot Prolegia har Integritetsskyddsmyndigheten (IMY) beslutat att särskilt granska alla söktjänster med frivilligt utgivningsbevis.

Bakgrunden är rekryteringsbolaget Prolegia hos Åklagarmyndigheten begärde ut vissa allmänna handlingar ur två brottmål. Åklagarmyndigheten beslutade att inte lämna ut de begärda handlingarna med hänvisning till att bolaget inte som huvudsaklig verksamhet sysslade med journalistisk utgivning. Bolaget överklagade beslutet med hänvisning till undantagen i dataskyddsförordningen och Yttrandefrihetsgrundlagen (YGL). Man registrerade också ett så kallat frivilligt utgivningsbevis men av bolagets verksamhetsbeskrivning kunde man inte utläsa att det ägnade sig åt journalistisk verksamhet. Istället framgick det att bolagets verksamhet utgjordes av bakgrundskontroller och konsultverksamhet inom rekrytering.

Frivilliga utgivningsbevis under lupp

Det som i normala fall är sekretessbelagda uppgifter enligt OSL (Offentlighets- och sekretesslagen) och dataskyddsförordningen (GDPR), får i under vissa omständigheter lämnas ut till ett bolag som har ett så kallat frivilligt utgivningsbevis. Utlämning av personuppgifter är också möjligt även om det avser mycket känsliga personuppgifter som t ex inkomst, domstolshandlingar, brottsbelastning och skulder hos Kronofogden. Söktjänsten hanterar rent tekniskt informationen i en databas och ansvarar också för att de uppgifter de publicerar är korrekta. Om någon uppgift är felaktig kan en privatperson framföra klagomål och begära rättelse. Trots att möjligheten till rättelse finns har många personer upplevt att söktjänsterna är ovilliga att ta ansvar för de uppgifter de publicerar. I ett parallellt ärende har en privatperson stämt Mr Koll för grovt förtal.

Inom säkerhetsbranschen och bland rekryterare används möjligheten att få ut mycket känslig information om privatpersoner regelmässigt. Det är till och med möjligt att få ut information om en person varit intagen för psykiatrisk vård. Ett av bolagen är alltså Prolegia som utvecklat en något som kan jämföras med en brottsdatabas. För brottsdatabaser finns det särskilda regler enligt Brottsdatalagen. Vem som helst får inte samla in uppgifter för systematisk bearbetning i ett datasystem. Ett privat företag kan få tillstånd att göra sådan insamling under vissa förutsättningar men de förutsättningarna ansåg vare sig Förvaltningsrätten eller Kammarrätten var uppfyllda i det här målet.

Kraftig begränsning av söktjänsternas tillgång till känslig information

Målet är intressant eftersom det är första gången de tillfälliga utgivningsbevisen prövas rättsligt. Och det är troligt att Prolegia kommer att försöka att gå hela vägen till EU-domstolen. Men under tiden kommer nu IMY att granska alla bolag med så kallade tillfälliga utgivningsbevis som erbjuder söktjänster som kan innehålla mycket känsliga personuppgifter.

Om Kammarrättens dom står sig hela vägen till EU-domstolen då kommer söktjänsternas information att begränsas kraftigt. Några kan till och med behöva upphöra med sin verksamhet.

BM24-001 Kritiska RCE-sårbarheter i Forti-produkter

Källa: CERT.se/MSB

BLIXTMEDDELANDEFORTINETFORTIOSFORTIPROXYFORTIPAMFORTISWITCHMANAGER

Fortinet har publicerat säkerhetsuppdateringar som hanterar två kritiska sårbarheter i FortiOS. Dessa har tilldelats CVSS-klassificering 9.6 och 9.8.

Den kritiska sårbarheten CVE-2024-21762 påverkar SSL VPN-komponenten i FortiOS och kan möjliggöra för en icke-autentiserad fjärrangripare att köra godtyckliga kommandon och kod mot den sårbara enheten (remote code execution). För att sårbarheten ska kunna utnyttjas krävs att SSL VPN-funktion är aktiverad. Mitigerande åtgärder finns. Troligen utnyttjas denna sårbarhet redan aktivt [1].

Den kritiska sårbarheten CVE-2024-23113 i FortiOS fgfmd [2] kan även den utnyttjas av en fjärrangripare men hanteras av säkerhetsuppdaterade versioner enligt.

Uppdatering 2024-02-12

Flera påverkade Forti-produkter har lagts till i listorna för CVE-2024-21762 (uppdaterat nedan) och CVE-2024-23113. Därför har även rubriken på CERT-SE:s artikel uppdaterats för att inte endast nämna FortiOS. De tillkomna Forti-produkterna är olika versioner av FortiPAM, FortiProxy samt FortiSwitchManager [1,2].

Uppdatering 2024-03-21

Proof of concept för hur sårbarhet CVE-2024-21762 kan utnyttjas finns publikt tillgänglig på internet. Sårbarheten utnyttjas aktivt. [3]

Påverkade produkter

FortiOS 7.4, versioner 7.4.0 till och med 7.4.2
(uppgradera till 7.4.3 eller senare)

FortiOS 7.2, versioner 7.2.0 till och med 7.2.6
(uppgradera till 7.2.7 eller senare)

FortiOS 7.0, versioner 7.0.0 till och med 7.0.13
(uppgradera till 7.0.14 eller senare)

FortiOS 6.4, versioner 6.4.0 till och med 6.4.14
(uppgradera till 6.4.15 eller senare)

FortiOS 6.2, versioner 6.2.0 till och med 6.2.15
(uppgradera till 6.2.16 eller senare)

FortiOS 6.0 (alla versioner 6.0)

FortiProxy 7.4, versioner 7.4.0 till och med 7.4.2
(uppgradera till 7.4.3 eller senare)

FortiProxy 7.2, versioner 7.2.0 till och med 7.2.8
(uppgradera till 7.2.9 eller senare)

FortiProxy 7.0, versioner 7.0.0 till och med 7.0.14
(uppgradera till 7.0.15 eller senare)

FortiProxy 2.0, versioner 2.0.0 till och med 2.0.13
(uppgradera till 2.0.14 eller senare)

FortiProxy 1.2 (alla versioner 1.2)

FortiProxy 1.1 (alla versioner 1.1)

FortiProxy 1.0 (alla versioner 1.0)

Rekommendationer

CERT-SE rekommenderar att snarast möjligt säkerhetsuppdatera sårbara produkter och följa tillverkarens rekommendationer gällande mitigerande åtgärder, för att undvika ett angrepp.

Källor

[1] https://fortiguard.fortinet.com/psirt/FG-IR-24-015

[2] https://fortiguard.fortinet.com/psirt/FG-IR-24-029

[3] https://isc.sans.edu/diary/Scans+for+Fortinet+FortiOS+and+the+CVE202421762+vulnerability/30762

VECKOBREV

Veckans svep bjuder på en blandning av händelser, fördjupningar och rekommendationer. Bland annat en vägledning från NCSC-UK för chefer och ledning i både privat och offentlig sektor, om vad man bör tänka på i händelse av en cybersäkerhetsincident.

Nyheter i veckan

International Monetary Fund email accounts hacked in cyberattack (15 mars)https://www.bleepingcomputer.com/news/security/international-monetary-fund-email-accounts-hacked-in-cyberattack/

Stora datorproblem hos Jordbruksverket (16 mars)https://www.svt.se/nyheter/lokalt/jonkoping/stora-datorproblem-hos-jordbruksverket

NIST NVD Halt Leaves Thousands of Vulnerabilities Untagged (18 mars)https://www.hackread.com/nist-nvd-halt-leaves-vulnerabilities-untagged/

CISA hit by hackers, key systems taken offline (18 mars)https://securityintelligence.com/news/cisa-hackers-key-systems-offline/

New Zealand media company: Hackers directly targeting individuals after alleged data breach (18 mars)https://therecord.media/mediaworks-new-zealand-data-breach-extortion

Finland, Germany, Ireland, Japan, Poland, South Korea added to US-led spyware agreement (18 mars)https://therecord.media/international-spyware-agreement-new-members

Commercial Bank of Ethiopia glitch lets customers withdraw millions (18 mars)https://www.bbc.com/news/world-68599027

Fujitsu found malware on IT systems, confirms data breach (18 mars)https://www.bleepingcomputer.com/news/security/fujitsu-found-malware-on-it-systems-confirms-data-breach/

New Phishing Attack Uses Clever Microsoft Office Trick to Deploy NetSupport RAT (19 mars)https://thehackernews.com/2024/03/new-phishing-attack-uses-clever.html

Försäkringskassan varnar för bluffmejl (19 mars)https://sakerhetskollen.se/aktuella-brott/forsakringskassan-varnar-for-bluffmejl

Strul hos Skatteverket när deklarationen öppnade (19 mars)https://tt.omni.se/strul-hos-skatteverket-nar-deklarationen-oppnade/a/4o6r5V

Hackare avslöjade nätverk – misstänks ha lurat äldre (20 mars)https://sverigesradio.se/artikel/hackare-avslojade-natverk-misstanks-ha-lurat-aldre

SVT Uppdrag Granskning: hackaren (20 mars)https://www.svtplay.se/video/e6dEVLw/uppdrag-granskning/hackaren

300,000 Systems Vulnerable to New Loop DoS Attack (20 mars)https://www.securityweek.com/300000-systems-vulnerable-to-new-loop-dos-attack/… 
Advisory on Application-layer Loop DoS Attacks (19 mars)https://cispa.saarland/group/rossow/Loop-DoS

Earth Krahang Exploits Intergovernmental Trust to Launch Cross-Government Attacks (18 mars)https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html…https://www.bleepingcomputer.com/news/security/chinese-earth-krahang-hackers-breach-70-orgs-in-23-countries/

“Disabling cyberattacks” are hitting critical US water systems, White House warns (20 mars)https://arstechnica.com/security/2024/03/critical-us-water-systems-face-disabling-cyberattacks-white-house-warns/…
https://www.bleepingcomputer.com/news/security/white-house-and-epa-warn-of-hackers-breaching-water-systems/

Danmark blev ramt af GPS-jamming i nyt angreb på kritisk infrastruktur (20 mars)https://jyllands-posten.dk/indland/ECE16955137/danmark-blev-ramt-af-gpsjamming-i-nyt-angreb-paa-kritisk-infrastruktur/

Exploit released for Fortinet RCE bug used in attacks, patch now (21 mars)https://www.bleepingcomputer.com/news/security/exploit-released-for-fortinet-rce-bug-used-in-attacks-patch-now/

New StrelaStealer Phishing Attacks Hit Over 100 Organizations in E.U. and U.S. (22 mars)https://thehackernews.com/2024/03/new-strelastealer-phishing-attacks-hit.html

Informationssäkerhet och blandat

Inside the Rabbit Hole: BunnyLoader 3.0 Unveiled (15 mars)https://unit42.paloaltonetworks.com/analysis-of-bunnyloader-malware/

Department of Homeland Security lays out AI plans in new roadmap (18 mars)https://fedscoop.com/dhs-ai-roadmap/

New Attack Shows Risks of Browsers Giving Websites Access to GPU (18 mars)https://www.securityweek.com/new-attack-shows-risks-of-browsers-giving-websites-access-to-gpu/

We’re one step closer to a global cybersecurity standard for smart home devices (19 mars)https://www.theverge.com/2024/3/18/24104906/csa-iot-device-security-specification-product-security-verification-mark

A prescription for privacy protection: Exercise caution when using a mobile health app (19 mars)https://www.welivesecurity.com/en/privacy/prescription-privacy-protection-exercise-caution-mobile-health-app/

PRC state-sponsored cyber activity: Actions for critical infrastructure leaders (19 mars)https://www.cisa.gov/resources-tools/resources/prc-state-sponsored-cyber-activity-actions-critical-infrastructure-leaders

Abusing the DHCP Administrators Group to Escalate Privileges in Windows Domains (20 mars)https://www.akamai.com/blog/security-research/abusing-dhcp-administrators-group-for-privilege-escalation-in-windows-domains

Making Sense of Operational Technology Attacks: The Past, Present, and Future (21 mars)https://thehackernews.com/2024/03/making-sense-of-operational-technology.html

Responding to a cyber incident – a guide for CEOs (21 mars)https://www.ncsc.gov.uk/guidance/ceos-responding-cyber-incidents

Årsrapport: Recorded Future 2023 Annual Report (21 mars)https://www.recordedfuture.com/2023-annual-report

Målet: Nya Cybercampus Sverige ska stärka hela landets it-säkerhet (22 mars)https://www.nyteknik.se/tech/malet-nya-cybercampus-sverige-ska-starka-hela-landets-it-sakerhet/4246479

Opening Pandora’s box – Supply Chain Insider Threats in Open Source projectshttps://boostsecurity.io/blog/opening-pandora-box-supply-chain-insider-threats-in-oss-projects

CERT-SE i veckan

Uppdaterad artikel – Kritiska RCE-sårbarheter i Forti-produkter (21 mars)https://www.cert.se/2024/02/kritiska-rce-sarbarheter-i-fortios.html

Kritiska sårbarheter i Ivanti Neurons för ITSM och Standalone Sentry (21 mars)https://www.cert.se/2024/03/kritiska-sarbarheter-i-ivanti-neurons-och-standalone-sentry.html

VECKOBREV

I veckan har MSB:s årsrapport för föregående års it-incidentrapportering släppts. Till skillnad från tidigare år, där majoriteten av de rapporterade it-incidenterna har berott på systemfel och misstag, vår cyberangrepp den vanligaste orsaken 2023. Ökningen av cyberangrepp kopplas till att fler överbelastningsangrepp rapporterades under första halvan av året. I veckan har det även varit patchtisdag, så se till att era system är uppdaterade. Veckobrevet bjuder dessutom på en hel del spännande fördjupande artiklar, så som Brittish Librarys utvärdering av sin tidigare incident.

Nyheter i veckan

Attack wrangles thousands of web users into a password-cracking botnet (7 mar)https://arstechnica.com/security/2024/03/attack-wrangles-thousands-of-web-users-into-a-password-cracking-botnet/

Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard (8 mar)https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/

CISA forced to take two systems offline last month after Ivanti compromise (8 mar)https://therecord.media/cisa-takes-two-systems-offline-following-ivanti-compromise

Incognito Darknet Market Mass-Extorts Buyers, Sellers (11 mar)https://krebsonsecurity.com/2024/03/incognito-darknet-market-mass-extorts-buyers-sellers/

Belgian village whose brewery was hit by cyberattack faces another on its coffee roastery (11 mar)https://therecord.media/koffie-beyers-cyberattack-coffee-roaster-duvel-belgium

Franska myndigheter utsatta för it-attack (11 mar)https://www.aftonbladet.se/nyheter/a/Rr77qd/aftonbladet-direkt?pinnedEntry=1226344

New network code on cybersecurity for EU electricity sector (11 mar)https://energy.ec.europa.eu/news/new-network-code-cybersecurity-eu-electricity-sector-2024-03-11_en

Over 12 million auth secrets and keys leaked on GitHub in 2023 (12 mar)https://www.bleepingcomputer.com/news/security/over-12-million-auth-secrets-and-keys-leaked-on-github-in-2023/

Sophiahemmet betalar inte lösensumma till hackarna (12 mar)https://www.mitti.se/nyheter/sophiahemmet-betalar-inte-losensumma-till-hackarna-6.3.209636.d86253e919

Fastighetsbolaget Örebroporten utsatt för dataintrång (12 mar)https://www.svt.se/nyheter/lokalt/orebro/fastighetsbolaget-orebroporten-utsatt-for-dataintrang

Cyberattack on U.S. health care system could be biggest in sector’s history (12 mar)https://www.youtube.com/watch?v=g1daKX_eke8

Förbättringar i välfärdens informationssäkerhetsarbete (12 mar)https://skr.se/skr/tjanster/pressrum/nyheter/nyhetsarkiv/forbattringarivalfardensinformationssakerhetsarbete.79730.html

Så förbereder du dig mot cyberattacker (12 mar)https://www.svt.se/nyheter/inrikes/sa-forbereder-du-dig-for-cyberattacker

Expert varnar för AI inför EU-valet: Har inte rätt verktyg (13 mar)https://sverigesradio.se/artikel/expert-varnar-for-ai-infor-eu-valet-har-inte-ratt-verktyg

Stanford University Hacked – Attackers Breached The Internal Network (13 mar)https://cybersecuritynews.com/stanford-university-hacked/

Tidigare Must-chef ska utreda cyberattack (13 mar)https://tt.omni.se/tidigare-must-chef-ska-utreda-cyberattack/a/Q7nljR

Alert: Cybercriminals Deploying VCURMS and STRRAT Trojans via AWS and GitHub (13 mar)https://thehackernews.com/2024/03/alert-cybercriminals-deploying-vcurms.html

Antalet cyberangrepp ökade kraftigt 2023 (14 mar)https://www.svt.se/nyheter/inrikes/antalet-cyberangrepp-okade-kraftigt-2023.. Antalet cyberangrepp ökade kraftigt under 2023 (14 mar)https://www.msb.se/sv/aktuellt/nyheter/2024/mars/antalet-cyberangrepp-okade-kraftigt-under-2023/

Nissan Hack: 10K+ Users Data Stolen by Hackers (14 mar)https://cybersecuritynews.com/nissan-hack-10k-users-data-stolen-by-hackers/

Stort kabelhaveri stör internet i Afrika (15 mar)https://www.aftonbladet.se/nyheter/a/Rr77qd/aftonbladet-direkt?pinnedEntry=1227609

McDonald’s bekräftar it-haveri – stora problem (15 mar)https://www.svt.se/nyheter/inrikes/problem-pa-mcdonalds-restauranger-stangda

Millions of users may have had data leaked in new French government agency security breach (15 mar)https://www.techradar.com/pro/security/millions-of-users-may-have-had-data-leaked-in-new-french-government-agency-security-breach

Scottish health service says ‘focused and ongoing cyber attack’ may disrupt services (15 mar)https://therecord.media/scottish-nhs-cyberattack-healthcare-dumfries-galloway

Recent Ivanti Vulnerabilities: 4 Lessons Security Leaders Can Learn (15 mar)https://www.informationweek.com/cyber-resilience/recent-ivanti-vulnerabilities-4-lessons-security-leaders-can-learn

Informationssäkerhet och blandat

TA577’s Unusual Attack Chain Leads to NTLM Data Theft (4 mar)https://www.proofpoint.com/us/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft

LEARNING LESSONS FROM THE CYBER-ATTACK British Library cyber incident review (8 mar)https://www.bl.uk/home/british-library-cyber-incident-review-8-march-2024.pdf

February 2024’s Most Wanted Malware: WordPress Websites Targeted by Fresh FakeUpdates Campaign (11 mar)https://blog.checkpoint.com/research/february-2024s-most-wanted-malware-wordpress-websites-targeted-by-fresh-fakeupdates-campaign/

FakeBat delivered via several active malvertising campaigns (12 mar)https://www.malwarebytes.com/blog/threat-intelligence/2024/03/fakebat-delivered-via-several-active-malvertising-campaigns

The 2024 Sophos Threat Report: Cybercrime on Main Street (12 mar)https://news.sophos.com/en-us/2024/03/12/2024-sophos-threat-report/

Threat actors leverage document publishing sites for ongoing credential and session token theft (13 mar)https://blog.talosintelligence.com/threat-actors-leveraging-document-publishing-sites/

Security Flaws within ChatGPT Ecosystem Allowed Access to Accounts On Third-Party Websites and Sensitive Data (13 mar)https://salt.security/blog/security-flaws-within-chatgpt-extensions-allowed-access-to-accounts-on-third-party-websites-and-sensitive-data

SVG Files Abused in Emerging Campaigns (13 mar)https://cofense.com/blog/svg-files-abused-in-emerging-campaigns/

A patched Windows attack surface is still exploitable (14 mar)https://securelist.com/windows-vulnerabilities/112232/

New email standards: what you need to knowhttps://www.techradar.com/pro/new-email-standards-what-you-need-to-know

CERT-SE i veckan

Microsofts månatliga säkerhetsuppdateringar för mars 2024 (14 mar)https://www.cert.se/2024/03/microsofts-manatliga-sakerhetsuppdateringar-for-mars-2024.html

Adobes månatliga säkerhetsuppdateringar för mars 2024 (14 mar)https://www.cert.se/2024/03/adobes-manatliga-sakerhetsuppdateringar-for-mars-2024.html

SAP:s månatliga säkerhetsuppdateringar för mars 2024 (14 mar)https://www.cert.se/2024/03/saps-manatliga-sakerhetsuppdateringar-for-mars-2024.html

Kritiska sårbarheter i FortiOS, FortiProxy och FortiClientEMS (Uppdaterad 15 mar)https://www.cert.se/2024/03/kritiska-sarbarheter-i-fortios-och-fortiproxy.html

Kritisk sårbarhet i Arcserve UDP (15 mar)https://www.cert.se/2024/03/Kritisk-sarbarhet-i-Arcserve-UDP.html

Kritisk sårbarhet i Juniper Secure Analytics (15 mar)https://www.cert.se/2024/03/Kritisk-sarbarhet-i-juniper-secure-analytics.html

Mål: 2829-23 

Klarna ska betala en sanktionsavgift om 7,5 miljoner kronor eftersom dataskyddsinformationen inte uppfyllt kraven i EU:s dataskyddsförordning. 

Överträdelserna av dataskyddsförordningen består av att Klarna inte lämnat tillräcklig information till de registrerade till exempel om hur personuppgifter kommer att lagras, och att informationen varit svårtillgänglig eller otydlig.

– Kammarrätten bedömer att en sanktionsavgift om 7,5 miljoner kronor är motiverad för att vara effektiv, proportionell och avskräckande. Kammarrätten gör därmed samma bedömning som Integritetsskyddsmyndigheten, säger Peder Liljeqvist, lagman vid kammarrätten.

Kammarrätten ändrar därmed förvaltningsrättens dom att sanktionsavgiften skulle vara 6 miljoner kronor.

Kammarrättens pressmeddelande – mål 2829-23

IMY:s handläggningsprocess – bakgrund (IMY)

SOU 2024:18

Den 5 mars överlämnade den särskilde utredaren Anette Norman sitt delbetänkande till ny Cybersäkerhetslag. Nu ska lagen ut på remiss innan tjänstemännen på regeringskansliet kan starta beredningsarbetet att Riksdagen kan ta beslut om att införa lagen den 1 januari 2025.

Ladda ner delbetänkande här SOU 2024:18

Uppdaterad 2024-03-11; kl 08.39

En extern IT-konsult åtals nu för brott mot tystnadsplikten sedan han misstänks ha delat FoHM:s vaccinationsregister med en vaccinationkritisk sajt. Enligt myndigheten finns cirka 7 miljoner svenskar i vaccinregistret. Omfattningen av informationsläckan avslöjades sedan mannen blivit påkommen med att ha läckt vaccinationsuppgifter om 800 barn. IT-konsulten polisanmäldes då och det är den förundersökning som pågått sedan dess som får polisen att misstänka att den misstänkte läckt hela vaccinationsregistret.

På grund av sitt uppdrag fick den misstänkte ovanligt vida behörigheter till olika IT-system bland annat vaccinationsregistret. FoHM säger sig nu ha vidtagit åtgärder för att något liknande inte ska vara möjligt i framtiden.

Uppgifterna som läckt ut är enligt Läkartidningen personuppgifter på ca 7 miljoner vuxna.

IT-konsult åtalas för att ha läckt vaccinationsregistret till vaccinationskritisk sajt (SR Ekot)

Ny anmälan till IMY – hela vaccinationsregistret misstänks ha röjts (Läkartidningen)

VECKOBREV

Blandade nyheter från veckan. Bland annat om att branschnätverket Women4cyber har fått en svensk avdelning. Missa heller inte texten från Nationellt cybersäkerhetscenter (NCSC) om cybersäkerhet och olika typer av hot.

Nyheter i veckan

Sjukhuset bekräftar: Data till salu efter cyberattack (4 mar)https://sverigesradio.se/artikel/experten-patienters-uppgifter-till-salu-efter-it-attack

Multistage RA World Ransomware Uses Anti-AV Tactics, Exploits GPO (4 mar)https://www.trendmicro.com/en_us/research/24/c/multistage-ra-world-ransomware.html

New Banking Trojan “CHAVECLOAK” Targets Brazil (4 mar)https://www.fortinet.com/blog/threat-research/banking-trojan-chavecloak-targets-brazil

BlackCat ransomware turns off servers amid claim they stole $22 million ransom (4 mar)https://www.bleepingcomputer.com/news/security/blackcat-ransomware-turns-off-servers-amid-claim-they-stole-22-million-ransom/

LLM Prompt Injection Worm (4 mar)https://www.schneier.com/blog/archives/2024/03/llm-prompt-injection-worm.html

Data från cyberattack mot Sophiahemmet till salu (4 mar)https://www.svt.se/nyheter/lokalt/stockholm/data-fran-cyberattack-mot-sjukhus-till-salu

Region Stockholm lämnar stabsläget efter cyberattack mot Sophiahemmet (5 mar)https://lakartidningen.se/aktuellt/nyheter/2024/03/region-stockholm-lamnar-stabslaget-efter-cyberattack-mot-sophiahemmet/

BlackCat ransomware shuts down in exit scam, blames the “feds” (5 mar)https://www.bleepingcomputer.com/news/security/blackcat-ransomware-shuts-down-in-exit-scam-blames-the-feds/

Cyberattack forces Canada’s financial intelligence agency to take systems offline (5 mar)https://therecord.media/canada-fintrac-cyberattack-systems-offline

American Express Notifies Customers of Data Breach (5 mar)https://www.securityweek.com/american-express-discloses-data-breach/

Patienter hängs ut på Darknet – efter it-attack (6 mar)https://sverigesradio.se/artikel/skarmdumpar-visar-personnummer-lackta-vid-hackerattacken

Switzerland: Play ransomware leaked 65,000 government documents (7 mar)https://www.bleepingcomputer.com/news/security/switzerland-play-ransomware-leaked-65-000-government-documents/

Rapporter och analyser

Rise in Deceptive PDF: The Gateway to Malicious Payloads (1 mar)https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-in-deceptive-pdf-the-gateway-to-malicious-payloads/

GhostSec’s joint ransomware operation and evolution of their arsenal (5 mar)https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware/

Safeguarding EU elections amidst cybersecurity challenges (6 mar)https://www.enisa.europa.eu/news/safeguarding-eu-elections-amidst-cybersecurity-challenges

Geopolitics Accelerates Need For Stronger Cyber Crisis Managementhttps://www.enisa.europa.eu/news/geopolitics-accelerates-need-for-stronger-cyber-crisis-management

Informationssäkerhet och blandat

Ny rapport: Allvarliga brister i svenska myndigheters cybersäkerhet (1 mar)https://www.svt.se/nyheter/inrikes/ny-rapport-allvarliga-brister-i-svenska-myndigheters-cybersakerhet…https://computersweden.se/article/1311018/msb-allvarliga-brister-i-offentliga-sektorns-sakerhetsarbete.html

Delbetänkande av Utredningen om genomförande av NIS2- och CER-direktiven – Nya regler om cybersäkerhet (5 mar)https://www.regeringen.se/rattsliga-dokument/statens-offentliga-utredningar/2024/03/sou-202418/

Women4cyber har fått en svensk avdelning (8 mar)https://www.aktuellsakerhet.se/women4cyber-har-fatt-en-svensk-avdelning/

Cybersäkerhet är en nationell angelägenhethttps://www.ncsc.se/aktuellt/cybersakerhet-ar-en-nationell-angelagenhet/

CERT-SE i veckan

Kritiska sårbarheter i Juniper-produkter (4 mar)https://www.cert.se/2024/03/kritiska-sarbarheter-i-juniper-produkter.html

Flera sårbarheter påverkar Cisco-programvara (4 mar)https://www.cert.se/2024/03/flera-sarbarheter-paverkar-cisco-programvara.html

Under dagen har IMY och Skatteverket fortsatta driftstörningar som beror på överbelastningsattacker (DDos). Störningarna påverkar användarna på så sätt att man inte kan besöka myndigheternas sajter. De tekniska störningarna kommer och går vilket innebär att man kan testa att gå in igen efter en stund och testa igen.

CERT.se har sammanställt bra information om hur man hanterar en DDos-attack. Vi lägger ut artikeln från myndigheten och hoppas att ni kan komma att få god nytta av informationen.

Råd gällande förebyggande och hantering av överbelastningsangrepp.

Behöver du råd och stöd i att hantera ett pågående överbelastningsangrepp är du välkommen att kontakta CERT-SE på cert@cert.se eller 010-240 40 40.

Här följer en sammanställning av råd gällande hur man stärker skyddet mot överbelastningsangrepp samt vad man kan göra under ett pågående angrepp.

Överbelastningsangrepp, eller DDoS-angrepp (Distributed Denial of Service), kan orsaka betydande störningar på en webbplats eller onlinetjänst genom att den utsätts för en överdriven mängd trafik. De orsakar dock sällan någon skada eller avbrott i kärnverksamheten. Olika typer av DDoS-angrepp slår mot olika nivåer i den drabbade verksamhetens nätverk. Det finns inte någon enskild lösning som kan skydda mot alla typer av överbelastningsangrepp. En kombination av flera tillvägagångssätt behöver implementeras, samtidigt som det är viktigt att regelbundet granska och uppdatera dessa åtgärder för att följa angreppsmetodernas utveckling. Se över konfigurationer av verksamhetens it-system som är kopplade mot internet.

Säkerställ att verksamheten har rutiner för hur ni ska agera om ni drabbas av överbelastningsangrepp och genomför övningar. Identifiera vilka system och tjänster som är mest kritiska för att underlätta prioritering under pågående angrepp.

En god dialog med verksamhetens internetleverantör (ISP) är viktig, både i det förebyggande arbetet och vid hantering av ett pågående angrepp.

Det finns flera tillvägagångssätt som kan användas för att mildra effekterna av ett överbelastningsangrepp:

1. Använd skyddstjänster mot överbelastningsangrepp: Många ISP:er erbjuder skyddstjänster som kan absorbera och filtrera den inkommande trafiken och endast dirigera legitim trafik till din server. Alternativt kan ett Content Delivery Network (CDN) användas för att skydda sin webbserver.
2. Aktivera hastighetsbegränsning: Detta innebär att sätta en gräns för antalet förfrågningar som en användare kan göra till din webbplats inom en given tidsperiod. Detta kan hjälpa till att förhindra att din server överväldigas av överdriven trafik.
3. Använd trafikfiltrering: Implementera filter för att blockera trafik från kända skadliga ip-adresser eller trafik som inte uppfyller vissa kriterier (bedöm om exempelvis blockering av trafik från utlandet kan vara ett alternativ). En web application firewall (WAF) kan nyttjas för att hantera överbelastningsangrepp som riktar in sig på applikationslagret. Tillgången till loggar är viktigt för att kunna avgöra vilken typ av angrepp eller vilka system som drabbats.
4. Ha koll på helheten: Ett överbelastningsangrepp kan ibland vara ett sätt att styra verksamhetens uppmärksamhet och resurser bort från andra typer av angrepp. Det är därför viktigt att säkerställa övervakning av händelser i hela nätverksmiljön för att upptäcka och hantera sådana försök.
5. Uppdatera regelbundet: Håll all programvara och säkerhetsåtgärder uppdaterade för att säkerställa att de kan försvara sig mot de senaste metoderna för överbelastningsangrepp.
6. Upprätta polisanmälan: Glöm inte att upprätta en polisanmälan om ni drabbats av överbelastningsangrepp.

Dela loggfiler med CERT-SE

CERT-SE tar gärna emot loggar från verksamheter som drabbats av överbelastningsangrepp eller observerat avvikelser i sin it-miljö kopplat till sådana. Informationen ökar våra möjligheter att följa händelseutvecklingen i samhället och agera proaktivt för att varna andra verksamheter som riskerar att drabbas. Vi kan ta emot råa loggfiler eller sammanställningar. Kontakta oss på cert@cert.se för fortsatt dialog om hur du kan dela loggar med oss.

Mer om systematiskt informationssäkerhetsarbete

Systematiskt informationssäkerhetsarbete:
https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/systematiskt-informationssakerhetsarbete/

Stöd för uppföljning och förbättring av informationssäkerhetsarbetet:
https://www.msb.se/infosakkollen

Information om polisanmälan hos Polismyndigheten:
https://polisen.se

Senast uppdaterad: 2023-06-29 10:58