CERT-SE:s veckobrev v.8

VECKOBREV

Polisen har tillsammans med brottsbekämpande myndigheter i nio andra länder genomfört en stor insats mot grupperingen bakom Lockbit. 34 servrar har tagits ned och flera personer gripits. CERT-SE uppmanar att alltid anmäla ransomware och andra typer av cyberbrott till polisen. Flera svenska verksamheter har samarbetat med polisen och gett värdefull information till utredningen. CERT-SE önskar gratulera polisen till en framgångsrik insats.

I veckan har även Militära underrättelse- och säkerhetstjänsten, Säkerhetspolisen, FRA samt Myndigheten för samhällsskydd och beredskap, släppt sina årliga rapporter.

Trevlig helg!

Nyheter i veckan

Vulnerable Fortinet Devices: Low-hanging Fruit for Threat Actors (16 feb)https://cyble.com/blog/vulnerable-fortinet-devices-low-hanging-fruit-for-threat-actors/

How to weaponize LLMs to auto-hijack websites (17 feb)https://www.theregister.com/2024/02/17/ai_models_weaponized/

IT-strul på ICA-butiker under morgonen – nu är det löst (18 feb)https://sverigesradio.se/artikel/it-strul-pa-ica-butiker

Detta vet vi om ”Anonymous Sudan” (19 feb)https://www.svt.se/nyheter/inrikes/detta-vet-vi-om-anonymous-sudan

Tusentals it-attacker varje dygn mot Umeå kommun (19 feb)https://www.svt.se/nyheter/lokalt/vasterbotten/tusentals-it-attacker-varje-dygn-mot-umea-kommun

Cambridge faces cyber attack (19 feb)https://www.varsity.co.uk/news/27131

LockBit ransomware gang disrupted by international law enforcement operation (20 feb)https://therecord.media/lockbit-ransomware-disrupted-international-operation
Polisen tar ner världens största ransomware-tjänst (20 feb)https://polisen.se/aktuellt/pressmeddelanden/2024/februari/polisen-tar-ner-varldens-storsta-ransomware-tjanst/
LockBit Attempts to Stay Afloat With a New Version (22 feb)https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html

Hacked Iraqi Voter Information Found for Sale Online (20 feb)https://www.darkreading.com/endpoint-security/hacked-iraqi-voter-information-found-for-sale-online

Brussels spyware bombshell: Surveillance software found on officials’ phones (21 feb)https://www.politico.eu/article/parliament-defense-subcommittee-phones-checked-for-spyware/

New Wi-Fi Vulnerabilities Expose Android and Linux Devices to Hackers (21 feb)https://thehackernews.com/2024/02/new-wi-fi-vulnerabilities-expose.html

LockBit held victims’ data even after receiving ransom payments to delete it (21 feb)https://therecord.media/lockbit-lied-about-deleting-exfiltrated-data-after-ransom-payments

Tusentals cyberattacker varje dag – bara i Kristianstad (22 feb)https://sverigesradio.se/artikel/tusentals-cyberattacker-varje-dag-bara-i-kristianstad

Rapporter och analyser

Årsöversikt 2023 MUSThttps://www.forsvarsmakten.se/siteassets/2-om-forsvarsmakten/dokument/musts-arsoversikter/must-arsoversikt-2023.pdf

Säkerhetspolisen 2023-2024https://sakerhetspolisen.se/download/18.5cb30b118d1e95affec37/1708502268494/L%C3%A4gesbild%202023-2024.pdf

FRA årsrapport 2023https://fra.se/download/18.27dd4df418cca16de4a2c0/1708590508329/FRA_arsrapport_2023_uppslag.pdf

MSB årsredovisning 2023https://www.msb.se/contentassets/10f35fe98735472097d9ee5963d18a45/msb-arsredovisning-2023.pdf

VoltSchemer attacks use wireless chargers to inject voice commands, fry phones (20 feb)https://www.bleepingcomputer.com/news/security/voltschemer-attacks-use-wireless-chargers-to-inject-voice-commands-fry-phones/

Malvertising: This cyberthreat isn’t on the dark web, it’s on Google (20 feb)https://www.malwarebytes.com/blog/news/2024/02/malvertising-this-cyberthreat-isnt-on-the-dark-web-its-on-google

Clean links and sophisticated scams mark new era in email attacks (20 feb)https://www.helpnetsecurity.com/2024/02/20/eml-attachments/

Why some cyber-attacks hit harder than others (22 feb)https://www.bbc.com/news/business-68225892

CrowdStrike 2024 Global Threat Reporthttps://www.crowdstrike.com/global-threat-report/

Informationssäkerhet och blandat

Magika: AI powered fast and efficient file type identification (15 feb)https://opensource.googleblog.com/2024/02/magika-ai-powered-fast-and-efficient-file-type-identification.html

Polisen: Här är fem trender inom cybersäkerhet (20 feb)https://www.dn.se/ekonomi/polisen-har-ar-fem-trender-inom-cybersakerhet/

Apple Adds Post-Quantum Encryption to iMessage (21 feb)https://www.securityweek.com/apple-adds-post-quantum-encryption-to-imessage/

Region Skåne utbildar alla medarbetare i IT- och cybersäkerhet (21 feb)https://www.skane.se/om-region-skane/nyheter/2024/region-skane-utbildar-alla-medarbetare-i-it–och-cybersakerhet/

CERT-SE i veckan

Kritiska sårbarheter i SolarWinds ARM (19 feb)https://www.cert.se/2024/02/kritiska-sarbarheter-i-solarwinds-arm.html

Gaslarm hos Säpo och MSB i Solna – lokalerna delvis utrymda

Uppdatering 24-02-25; kl 11.51

Vid middagstid på fredagen den 23 februari gick ett gaslarm vid Säpo:s huvudkontor i Solna och en stund senare spärrades ett område av en radie på 500 meter av som även innefattar Myndigheten för samhällsskydd och Beredskaps (MSB) huvudkontor. Ytterligare byggnader har utrymts i avvaktan på att räddningstjänstens personal ska genomsöka lokalerna. Cirka 500 personer uppges ha evakuerats.

Region Stockholm i stabsläge

Region Stockholm har gått är i särskild sjukhusledning och befinner sig stabsläge. Minst sju personer, flera poliser, har vårdats på sjukhus under dagen. Av dessa har fem transporterats med ambulans och två har själva sökt upp sjukvården. Region Stockholm sände särskilda sjukvårdsresurser till Säpo:s huvudkontor som omfattar både personal, saneringsutrustning och sjukvårdstält.

Enligt ännu så länge obekräftade uppgifter till Expressen har man indikerat gasen Fosgen. Gasen är mycket giftig i stora mängder och kan orsaka andningsbesvär. Gasen användes som stridsgas under andra världskriget.

Stor trafikpåverkan

Insatsen påverkar lokalt trafiken i stor omfattning då även ett stort antal påfarter, avfarter och trafikleder omfattas av polisens avspärrningar.

Insatsen avblåst

Kl 16.30 släpptes alla avspärrningar runt Huvudsta och kl 18.30 avvecklade Region Stockholm särskild sjukhusledning i stabsberedskap för att återgå till normalt läge.

Två poliser fick kvarstanna för observation till lördagen den 24 februari.

Händelsen rubriceras inledningsvis som misstanke om vållande till kroppsskada utan någon misstänkt.

Region Stockholm i stabsläge

Region Stockholm i stabsläge efter larm om utsläpp i Säpos lokaler (SVT Nyheter)

Fem till sjukhus efter gaslarm på Säpos högkvarter (Ekot)

Stor polisinsats vid Säpo i Solna efter gaslarm (TV4 Nyheterna)

Editionsrätten och insamling av personuppgifter för personalliggare

På en byggarbetsplats ska det enligt skatteförfarandelagen (2011:1244) finnas tillgång till en elektronisk personalliggare. I denna ska nödvändiga identifikationsuppgifter dokumenteras för de personer som är verksamma där. Det gäller bl.a. deras namn och personnummer, samordningsnummer eller motsvarande utländska nummer och tidpunkten då var och en av dem började och slutade sitt arbetspass. Personalliggaren ska hållas tillgänglig för Skatteverket och byggherren, och uppgifterna i den ska bevaras i två år. Det grundläggande syftet med kravet på upprättande av en personalliggare är att minska förekomsten av svartarbete i branschen.


Ett bolag (utföraren) utförde en byggnadsentreprenad som avsåg kontorshus i Stockholmsområdet åt beställaren. Sedan entreprenaden hade färdigställts och slutbesiktigats 2017 uppstod tvist mellan parterna. I målet påstår beställaren att utföraren inte har utfört och lagt ned all den tid som bolaget begär ersättning för.
Beställaren yrkade på ett editionsföreläggande mot utföraren, om att få ut personalliggaren för tiden den 1 augusti 2016 till den 30 november 2017, i andra hand med maskering av personnummer. Enligt beställaren kan personalliggaren ha betydelse för dennes möjlighet att motbevisa att utförarens personal varit på plats i den omfattning som görs gällande. Leverantören av den elektroniska personalliggaren, ett IT-bolag, överlämnade till tingsrätten att besluta om innehållet i den skulle företes, men utföraren bestred editionsyrkandet. Tingsrätten kom fram till att IT-bolaget var skyldigt att förete personalliggaren i omaskerat skick, och hovrätten har fastställt beslutet.

Men nu uppstod en principiellt viktig fråga ur GDPR-synpunkt som utföraren ville få prövad. Personuppgifter som insamlas för ett speciellt ändamål som t ex personalliggare får bara användas för de ändamål som angetts som syftet med insamlingen. 
I en prejudicerande dom tydliggör HD vad som gäller. Personuppgifterna får lämnas ut maskerade. 

Anonymiserat beslut Ö 1750-20

Vecka 8 – Veckans cyberbrottsnyheter

Varje vecka listar vi veckans cyber- och IT-attacker. Vi använder oss endast av publika källor och verifierade uppgifter.

Cyberattack mot SKF I Katrineholm

19 feb – Cybertattack mot SKF i Katrineholm (ligger bakom betalvägg)

Gösta Andersson, presskontakt vid SKF bekräftar att man hanterar en säkerhetsincident.

Ökänd hackergrupp stoppad i internationell polisinsats

20 feb – Svensk polis i internationell aktion mot hackergrup (DN-ligger bakom betalvägg)

Hackergruppen som ligger bakom ransomprogramvara Lockbit har enligt svenska polisen lidit ett hårt nederlag sedan polis i Sverige och nio andra länder slagit till mot gruppen i en internationell aktion.

Parlamentsledamöters mobiler övervakade av främmande programvara

21 feb – Brussels spyware bombshell: Surveillance software found on officials’ phones

Hos två parlamentsledamöter som är medlemmar i EU-parlamentets säkerhets-och försvarsutskott har man i deras mobiltelefoner funnit skadlig programvara vars funktion är att avlyssna ledamöterna. Det rapporterar Politico på sin hemsida.

Cyberattack mot Jämtlands Räddningstjänstförbund har kostat minst 2 miljoner

22 feb – Jämtlands räddningstjänstförbund utsatta för en cyberattack

Den 18 januari utsattes Jämtlands räddningstjänstförbund för en cyberattack. På sin hemsida uppger förbundet att administrativa system som tillståndsgivning har påverkats. När cyberattacken upptäcktes övergick man till att använda reservsystem för den operativa verksamheten som bl a är 112, larm och ledning. Hittills har cyberattacken kostat förbundet ca 2 miljoner.

CERT-SE:s veckobrev v.7

VECKOBREV

Blandade nyheter från veckan som gått. Bland nyheterna finns information som gäller både nya och tidigare uppmärksammade angrepp mot samhällsviktig verksamhet. Det har även varit patchtisdag där vi uppmärksammat säkerhetsuppdateringar från Microsoft, Adobe och SAP.

Trevlig helg!

Nyheter i veckan

Fortifikationsverket överklagar Solnas beslut om staket (9 feb)https://www.mitti.se/nyheter/forsvar-overklagar-solnas-beslut-om-staket-6.3.201679.33c55f1a80

Inga personuppgifter uppges ha läckt i hackerattacken (9 feb)https://www.publikt.se/nyhet/inga-personuppgifter-uppges-ha-lackt-i-hackerattacken-25938

Juniper Support Portal Exposed Customer Device Info (9 feb)https://krebsonsecurity.com/2024/02/juniper-support-portal-exposed-customer-device-info/

20 års diarier krypterade för myndigheten – detta händer nu (11 feb)https://sverigesradio.se/artikel/20-ars-diarier-krypterade-for-myndigheten-det-har-hander-nu

Sjukhus utsätts för 1 000 it-attacker – varje vecka: ”Försvårar livet” (12 feb)https://www.tv4.se/artikel/fpbSsEDiInrPQfqju9pBM/sjukhus-utsaetts-foer-naera-100-it-attacker-varje-vecka-foersvarar-livet

Ransomware attack forces 100 Romanian hospitals to go offline (12 feb)https://www.bleepingcomputer.com/news/security/ransomware-attack-forces-100-romanian-hospitals-to-go-offline/

Warzone RAT Shut Down by Law Enforcement, Two Arrested (12 feb)https://www.securityweek.com/warzone-rat-shut-down-by-law-enforcement-two-arrested/

IT-problem i Växjö – akuten nådde inte patienters journaler (12 feb)https://sverigesradio.se/artikel/it-problem-i-vaxjo-akuten-nar-inte-patienters-journaler

Bumblebee Buzzes Back in Black (13 feb)https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black

Cyberattack lamslår batteritillverkaren Varta (14 feb)https://computersweden.se/article/1307869/cyberattack-lamslar-batteritillverkaren-varta.html

Nätverksproblem på Transportstyrelsen och 1177 lösta (14 feb)https://www.svt.se/nyheter/inrikes/stora-natverksproblem-pa-transportstyrelsen

U.S. Internet Crop. Leaked Years of Internal, Customer Emails (14 feb)https://krebsonsecurity.com/2024/02/u-s-internet-leaked-years-of-internal-customer-emails/

Bank of America wasn’t directly targeted in a recent cyber attack, it was just “hit in the crossfire” (15 feb)https://www.itpro.com/security/bank-of-america-wasnt-directly-targeted-in-a-recent-cyber-attack-it-was-just-hit-in-the-crossfire-and-that-should-serve-as-a-warning-over-supply-chain-risks

FBI Dismantles Ubiquiti Router Botnet Controlled by Russian Cyberspies (15 feb)https://www.securityweek.com/fbi-dismantles-ubiquiti-router-botnet-controlled-by-russian-cyberspies/https://www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-botnet-controlled-russian

OpenAI blocks state-sponsored hackers from using ChatGPT (15 feb)https://www.bleepingcomputer.com/news/security/openai-blocks-state-sponsored-hackers-from-using-chatgpt/

Tekniska problem med bokningssystemet för färdtjänst i Stockholm (16 feb)https://sverigesradio.se/artikel/fardtjanstbokningen-i-stockholm-ligger-nere

Rapporter och analyser

Munich Security Report: Perceived threat of cyberattacks reaches all-time high (12 feb)https://www.euractiv.com/section/cybersecurity/news/munich-security-report-perceived-threat-of-cyberattacks-reaches-all-time-high/

4 Ways Hackers use Social Engineering to Bypass MFA (12 feb)https://thehackernews.com/2024/02/4-ways-hackers-use-social-engineering.html

Hunter-Killer Malware Tactic Growing: Stealthy, Persistent and Aggressive (13 feb)https://www.securityweek.com/hunter-killer-malware-tactic-growing-stealthy-persistent-and-aggressive/

Just one bad packet can bring down a vulnerable DNS server thanks to DNSSEC (13 feb)https://www.theregister.com/2024/02/13/dnssec_vulnerability_internet/

How are attackers using QR codes in phishing emails and lure documents? (14 feb)https://blog.talosintelligence.com/how-are-attackers-using-qr-codes-in-phishing-emails-and-lure-documents/

Snap Trap: The Hidden Dangers within Ubuntu’s Package Suggestion System (14 feb)https://www.aquasec.com/blog/snap-trap-the-hidden-dangers-within-ubuntus-package-suggestion-system/

CERT-EU: Threat Landscape Report 2023 (15 feb)https://cert.europa.eu/publications/threat-intelligence/tlr2023/

Over 13,000 Ivanti gateways vulnerable to actively exploited bugs (15 feb)https://www.bleepingcomputer.com/news/security/over-13-000-ivanti-gateways-vulnerable-to-actively-exploited-bugs/

New Qbot malware variant uses fake Adobe installer popup for evasion (15 feb)https://www.bleepingcomputer.com/news/security/new-qbot-malware-variant-uses-fake-adobe-installer-popup-for-evasion/

TinyTurla Next Generation – Turla APT spies on Polish NGOs (15 feb)https://blog.talosintelligence.com/tinyturla-next-generation/

Flatlined: Analyzing Pulse Secure Firmware and Bypassing Integrity Checking (15 feb)https://eclypsium.com/blog/flatlined-analyzing-pulse-secure-firmware-and-bypassing-integrity-checking/

Informationssäkerhet och blandat

Extending the Breadth and Depth of our Partnerships – JCDC 2024 Priorities (12 feb)https://www.cisa.gov/news-events/news/extending-breadth-and-depth-our-partnerships-jcdc-2024-priorities

FCC Requires Telecom & VoIP Providers to Report PII Breaches (13 feb)https://www.darkreading.com/cybersecurity-operations/fcc-requires-telecom-voip-providers-to-report-pii-breaches

Bedömning av terrorhotet 2024 (13 feb)https://sakerhetspolisen.se/ovriga-sidor/nyheter/nyheter/2024-02-13-bedomning-av-terrorhotet-2024.html

Jubileumsbok om dataskyddet 50 år (15 feb)https://www.su.se/juridiska-institutionen/nyheter/jubileumsbok-om-dataskyddet-50-%C3%A5r-1.714646

European Court of Human Rights declares backdoored encryption is illegal (15 feb)https://www.theregister.com/2024/02/15/echr_backdoor_encryption/

CERT-SE i veckan

Allvarlig sårbarhet i SonicOS (13 feb)https://www.cert.se/2024/02/allvarlig-sarbarhet-i-sonicos.html

Adobes månatliga säkerhetsuppdateringar för februari 2024 (14 feb)https://www.cert.se/2024/02/adobes-manatliga-sakerhetsuppdateringar-for-februari-2024.html

Microsofts månatliga säkerhetsuppdateringar för februari 2024 (14 feb)https://www.cert.se/2024/02/microsofts-manatliga-sakerhetsuppdateringar-for-februari-2024.html

SAP:s månatliga säkerhetsuppdateringar för februari 2024 (14 feb)https://www.cert.se/2024/02/saps-manatliga-sakerhetsuppdateringar-for-februari-2024.html

Brand och explosion i äventyrsbadet Oceana vid Lisebergs nöjespark

Vid 10-tiden idag, på förmiddagen, inträffade en brand som snabbt ledde till en eller flera kraftfulla explosioner med följd att stora delar av äventyrsbadet Oceana exploderade. Nöjesbadet rent formellt fortfarande tillhör byggbolaget NCC skulle om bara några veckor överlämnas till beställaren Lisebergs Nöjesfält. Minst 22 personer har behövt uppsöka sjukvården och en person som arbetade inne på projektet är anmäld som försvunnen.

Branden är en de värsta som drabbat den här typen av äventyrsbad. Flera experter säger att branden mycket ovanlig kanske unik. På filmer som privatpersoner tagit ser man först en mindre brand vid rutschbaneanläggningen med öppna lågor för att sedan plötsligt explodera.

Möjliga förklaringar till de våldsamma explosionerna blir i nuläget spekulationer. En teori är att branden i vattenrutschkanan gjorde att hela röret som utgjorde attraktionen blev som en skorsten som snabbt fyllde upp hela badhallen med tjock fet rök. När de mycket heta brandgaserna till sist antändes inträffade våldsamma explosioner som blåste ur delar av anläggningen. En annan teori är att byggmateriel och utrustning började brinna för att sedan sprida sig okontrollerat i stora delar av nöjesanläggningen.

En massiv räddningsinsats från hela Storgöteborg dirigerades till platsen liksom polis- och sjukvårdsresurser. Räddningsledaren beslutade också om att utfärda ett VMA (Viktigt meddelande till allmänheten) på grund av den mycket giftiga och obehagliga röken. VMA:t drogs senare tillbaka medan räddningstjänsten jobbade med oförminskad styrka för att förhindra att andra byggnader skadades av branden.

Enligt räddningsledaren kommer insatsen att pågå hela natten mot tisdagen och dagen. Branden är en så kallad konstruktionsbrand vilket gör att den är svår att hantera. Det råder också rasrisk vilket begränsar räddningstjänstens handlingsutrymme att söka igenom byggnaden. I nuläget är branden begränsad till nöjesanläggningen och bedöms inte kunna sprida sig till närliggande byggnader.

En olycksorsakasutredning kommer att påbörjas och polisen rubricerar av utredningstekniska skäl i nuläget händelsen som grov allmänfarlig vårdslöshet.

Våldsam brand i Oceana vid Liseberg i Göteborg (GP)

Man saknas efter branden i Göteborg (Sveriges Radio P4 Göteborg)

CERT-SE:s veckobrev v.5

VECKOBREV

I veckan har Cyber Challenge gått av stapeln, en årligen återkommande cybersäkerhetstävling som arrangeras av Försvarshögskolan i samarbete med Nationellt cybersäkerhetscenter.

Nyheter i veckan

Detta vet vi: Hackerattacken mot Tietoevry (26 jan)https://www.dn.se/sverige/detta-vet-vi-hackerattacken-mot-tietoevry/

Microsoft reveals how hackers breached its Exchange Online accounts (26 jan)https://www.bleepingcomputer.com/news/security/microsoft-reveals-how-hackers-breached-its-exchange-online-accounts/
Nu berättar Microsoft hur ryska hackare kom åt chefernas mejlkonton (29 jan)https://computersweden.idg.se/2.2683/1.780853/microsoft-avslojar-hur-ryska-hackare-kom-at-deras-mejlkonton

How a mistakenly published password exposed Mercedes-Benz source code (26 jan)https://techcrunch.com/2024/01/26/mercedez-benz-token-exposed-source-code-github/?guccounter=1

ATG utsatta för DDoS-attack (28 jan)https://www.aftonbladet.se/sportbladet/a/rlwQGR/atg-utsatta-for-ddos-attack

Akira Ransomware and exploitation of Cisco Anyconnect vulnerability CVE-2020-3259 (29 jan)https://www.truesec.com/hub/blog/akira-ransomware-and-exploitation-of-cisco-anyconnect-vulnerability-cve-2020-3259

Företag oroade att information läcks i AI-tjänster – hälften har haft incidenter (29 jan)https://computersweden.idg.se/2.2683/1.780848/foretag-oroade-att-information-lacks-i-ai-tjanster-halften-har-haft-incidenter

Energy giant Schneider Electric hit by Cactus ransomware attack (29 jan)https://www.bleepingcomputer.com/news/security/energy-giant-schneider-electric-hit-by-cactus-ransomware-attack/

Evolution of UNC4990: Uncovering USB Malware’s Hidden Depths (30 jan)https://www.mandiant.com/resources/blog/unc4990-evolution-usb-malware

Johnson Controls says ransomware attack cost $27 million, data stolen (31 jan)https://www.bleepingcomputer.com/news/security/johnson-controls-says-ransomware-attack-cost-27-million-data-stolen/

More than 1 in 4 Organizations Banned Use of GenAI Over Privacy and Data Security Risks (31 jan)https://newsroom.cisco.com/c/r/newsroom/en/us/a/y2024/m01/organizations-ban-use-of-generative-ai-over-data-privacy-security-cisco-study.html

Chinese malware removed from SOHO routers after FBI issues covert commands (1 feb)https://arstechnica.com/security/2024/01/chinese-malware-removed-from-soho-routers-after-fbi-issues-covert-commands/

Cloudflare hacked using auth tokens stolen in Okta attack (1 feb)https://www.bleepingcomputer.com/news/security/cloudflare-hacked-using-auth-tokens-stolen-in-okta-attack/

Informationssäkerhet och blandat

Utredning föreslår operativ krishantering vid cyberattacker och andra allvarliga driftsstörningar i betalningssystemet (26 jan)https://www.aktuellsakerhet.se/utredning-foreslar-operativ-krishantering-vid-cyberattacker-och-andra-allvarliga-driftsstorningar-i-betalningssystemet/

Ransomware payments drop to record low as victims refuse to pay (29 jan)https://www.bleepingcomputer.com/news/security/ransomware-payments-drop-to-record-low-as-victims-refuse-to-pay/

Ermac malware: The other side of the code (29 jan)https://securityintelligence.com/posts/ermac-malware-the-other-side-of-the-code/

Buzzing on Christmas Eve: Trigona Ransomware in 3 Hours (29 jan)https://thedfirreport.com/2024/01/29/buzzing-on-christmas-eve-trigona-ransomware-in-3-hours/

Värst att förlora finansiell information eller personaldata vid dataintrång (30 jan)https://computersweden.idg.se/2.2683/1.780852/varst-att-forlora-finansiell-information-eller-personaldata-vid-dataintrang

Därför har mjukvaror sårbarheter (30 jan)https://www.foi.se/nyheter-och-press/nyheter/2024-01-30-darfor-har-mjukvaror-sarbarheter.html

US Lawmakers Introduce Farm and Food Cybersecurity Act (30 jan)https://www.securityweek.com/us-lawmakers-introduce-farm-and-food-cybersecurity-act/

An EU Prime! EU adopts first Cybersecurity Certification Scheme (31 jan)https://www.enisa.europa.eu/news/an-eu-prime-eu-adopts-first-cybersecurity-certification-scheme

Rekordstort intresse för Cyber Challenge (2 feb)https://www.fhs.se/arkiv/nyhetsarkiv/2024/2024-02-02-rekordstort-intresse-for-cyber-challenge.html

CERT-SE i veckan

Sårbarheter i Linuxkomponenten glibc (31 jan)https://cert.se/2024/01/sarbarheter-i-linuxkomponent.html

Uppdaterade publiceringar

Kritisk sårbarhet i Jenkins (1 feb)https://cert.se/2024/01/kritisk-sarbarhet-i-Jenkins.html

Kritisk sårbarhet i Gitlab (1 feb)https://cert.se/2024/01/kritisk-sarbarhet-i-Gitlab.html

Kritiska sårbarheter i Ivanti Connect Secure och Policy Secure (2 feb)https://cert.se/2024/01/kritiska-sarbarheter-i-ivanti-connect-secure-och-policy-secure.html

Flera vårdcentraler i västra Götaland påverkade av IT-attack mot IT-leverantören Advanina

Runt middagstid började komma in rapporter om att IT-leverantören Advania drabbats av ett IT-haveri. Senare framkom att IT-haveriet istället är en pågående IT-attack. Det verkar främst vara vårdcentraler i Boårsområdet som är drabbade. Flera av vårdcentralerna tillhör vårdgivaren Praktikertjänst.

Vårdcentralen Herkules meddelar på sin hemsida att IT-leverantören Advania är utsatta för ett IT-angrepp. Vårdcentralen är stängd med personal finns kvar för att ta hand som patienter som inte kan vänta med sitt vårdbehov.

CERT-SE:s veckobrev v.5

VECKOBREV

I veckan har Cyber Challenge gått av stapeln, en årligen återkommande cybersäkerhetstävling som arrangeras av Försvarshögskolan i samarbete med Nationellt cybersäkerhetscenter. CERT-SE önskar stort grattis till det vinnande laget ReSyst!

Nyheter i veckan

Detta vet vi: Hackerattacken mot Tietoevry (26 jan)https://www.dn.se/sverige/detta-vet-vi-hackerattacken-mot-tietoevry/

Microsoft reveals how hackers breached its Exchange Online accounts (26 jan)https://www.bleepingcomputer.com/news/security/microsoft-reveals-how-hackers-breached-its-exchange-online-accounts/
Nu berättar Microsoft hur ryska hackare kom åt chefernas mejlkonton (29 jan)https://computersweden.idg.se/2.2683/1.780853/microsoft-avslojar-hur-ryska-hackare-kom-at-deras-mejlkonton

How a mistakenly published password exposed Mercedes-Benz source code (26 jan)https://techcrunch.com/2024/01/26/mercedez-benz-token-exposed-source-code-github/?guccounter=1

ATG utsatta för DDoS-attack (28 jan)https://www.aftonbladet.se/sportbladet/a/rlwQGR/atg-utsatta-for-ddos-attack

Akira Ransomware and exploitation of Cisco Anyconnect vulnerability CVE-2020-3259 (29 jan)https://www.truesec.com/hub/blog/akira-ransomware-and-exploitation-of-cisco-anyconnect-vulnerability-cve-2020-3259

Företag oroade att information läcks i AI-tjänster – hälften har haft incidenter (29 jan)https://computersweden.idg.se/2.2683/1.780848/foretag-oroade-att-information-lacks-i-ai-tjanster-halften-har-haft-incidenter

Energy giant Schneider Electric hit by Cactus ransomware attack (29 jan)https://www.bleepingcomputer.com/news/security/energy-giant-schneider-electric-hit-by-cactus-ransomware-attack/

Evolution of UNC4990: Uncovering USB Malware’s Hidden Depths (30 jan)https://www.mandiant.com/resources/blog/unc4990-evolution-usb-malware

Johnson Controls says ransomware attack cost $27 million, data stolen (31 jan)https://www.bleepingcomputer.com/news/security/johnson-controls-says-ransomware-attack-cost-27-million-data-stolen/

More than 1 in 4 Organizations Banned Use of GenAI Over Privacy and Data Security Risks (31 jan)https://newsroom.cisco.com/c/r/newsroom/en/us/a/y2024/m01/organizations-ban-use-of-generative-ai-over-data-privacy-security-cisco-study.html

Chinese malware removed from SOHO routers after FBI issues covert commands (1 feb)https://arstechnica.com/security/2024/01/chinese-malware-removed-from-soho-routers-after-fbi-issues-covert-commands/

Cloudflare hacked using auth tokens stolen in Okta attack (1 feb)https://www.bleepingcomputer.com/news/security/cloudflare-hacked-using-auth-tokens-stolen-in-okta-attack/

Informationssäkerhet och blandat

Utredning föreslår operativ krishantering vid cyberattacker och andra allvarliga driftsstörningar i betalningssystemet (26 jan)https://www.aktuellsakerhet.se/utredning-foreslar-operativ-krishantering-vid-cyberattacker-och-andra-allvarliga-driftsstorningar-i-betalningssystemet/

Ransomware payments drop to record low as victims refuse to pay (29 jan)https://www.bleepingcomputer.com/news/security/ransomware-payments-drop-to-record-low-as-victims-refuse-to-pay/

Ermac malware: The other side of the code (29 jan)https://securityintelligence.com/posts/ermac-malware-the-other-side-of-the-code/

Buzzing on Christmas Eve: Trigona Ransomware in 3 Hours (29 jan)https://thedfirreport.com/2024/01/29/buzzing-on-christmas-eve-trigona-ransomware-in-3-hours/

Värst att förlora finansiell information eller personaldata vid dataintrång (30 jan)https://computersweden.idg.se/2.2683/1.780852/varst-att-forlora-finansiell-information-eller-personaldata-vid-dataintrang

Därför har mjukvaror sårbarheter (30 jan)https://www.foi.se/nyheter-och-press/nyheter/2024-01-30-darfor-har-mjukvaror-sarbarheter.html

US Lawmakers Introduce Farm and Food Cybersecurity Act (30 jan)https://www.securityweek.com/us-lawmakers-introduce-farm-and-food-cybersecurity-act/

An EU Prime! EU adopts first Cybersecurity Certification Scheme (31 jan)https://www.enisa.europa.eu/news/an-eu-prime-eu-adopts-first-cybersecurity-certification-scheme

Rekordstort intresse för Cyber Challenge (2 feb)https://www.fhs.se/arkiv/nyhetsarkiv/2024/2024-02-02-rekordstort-intresse-for-cyber-challenge.html

CERT-SE i veckan

Sårbarheter i Linuxkomponenten glibc (31 jan)https://cert.se/2024/01/sarbarheter-i-linuxkomponent.html

Uppdaterade publiceringar

Kritisk sårbarhet i Jenkins (1 feb)https://cert.se/2024/01/kritisk-sarbarhet-i-Jenkins.html

Kritisk sårbarhet i Gitlab (1 feb)https://cert.se/2024/01/kritisk-sarbarhet-i-Gitlab.html

Kritiska sårbarheter i Ivanti Connect Secure och Policy Secure (2 feb)https://cert.se/2024/01/kritiska-sarbarheter-i-ivanti-connect-secure-och-policy-secure.html