CERT-SE:s veckobrev v.30

VECKOBREV

I efterdyningarna av störningarna hos CrowdStrike har företaget publicerat en rapport om vad som hände. Det har också uppmärksammats hur angripare utnyttjat incidenten för att sprida skadlig kod och för nätfiske.

I veckan har CERT-SE publicerat artiklar om sårbarheter i produkter från HPE, SolarWinds ARM och Ivanti Endpoint Manager.

Nyheter i veckan

Greece’s Land Registry agency breached in wave of 400 cyberattacks (22 jul)https://www.bleepingcomputer.com/news/security/greeces-land-registry-agency-breached-in-wave-of-400-cyberattacks/

US sanctions Russian hacktivists who breached water facilities (22 jul)https://www.bleepingcomputer.com/news/security/us-sanctions-russian-hacktivists-who-breached-water-facilities/

Telegram Zero-Day Vulnerability Exploited Using Malicious Video Files (23 jul)https://cybersecuritynews.com/telegram-zero-day-vulnerability-exploited/

Novel ICS Malware Sabotaged Water-Heating Services in Ukraine (23 jul)https://www.darkreading.com/ics-ot-security/novel-ics-malware-sabotaged-water-heating-services-in-ukraine

Hackare hotar sprida försäkringstagares uppgifter (23 jul)https://sverigesradio.se/artikel/hackare-hotar-sprida-forsakringstagares-uppgifter

Spyware fears mount after another MEP is targeted (25 jul)https://www.politico.eu/newsletter/brussels-playbook/orban-critic-mep-targeted-with-spyware/

Störningar i CrowdStrike-plattformen

CrowdStrike IT outage affected 8.5 million Windows devices, Microsoft says (20 jul)https://www.bbc.com/news/articles/cpe3zgznwjno

Slow recovery from IT outage begins as experts warn of future risks (20 jul)https://www.theguardian.com/australia-news/article/2024/jul/19/microsoft-windows-pcs-outage-blue-screen-of-death

Cybercriminals Exploit CrowdStrike Update Mishap to Distribute Remcos RAT Malware (20 jul)https://thehackernews.com/2024/07/cybercriminals-exploit-crowdstrike.html

Threat Actor Uses Fake CrowdStrike Recovery Manual to Deliver Unidentified Stealer (22 jul)https://www.crowdstrike.com/blog/fake-recovery-manual-used-to-deliver-unidentified-stealer/

Learning from the Recent Windows/Falcon Sensor Outage – Causes and Potential Improvement Strategies in Linux with Open Source (22 jul)https://www.circl.lu/pub/learning-from-falcon-sensor-outage/

Preliminary Post Incident Review (24 jul)https://www.crowdstrike.com/blog/falcon-content-update-preliminary-post-incident-report/

Rapporter och analyser

Mandiant: North Korean Hackers Targeting Healthcare, Energy (25 jul)https://www.govinfosecurity.com/mandiant-north-korean-hackers-targeting-healthcare-energy-a-25845

IR Trends: Ransomware on the rise, while technology becomes most targeted sector (25 jul)https://blog.talosintelligence.com/ir-trends-ransomware-on-the-rise-q2-2024/

Secure Boot is completely broken on 200+ models from 5 big device makers (25 jul)https://arstechnica.com/security/2024/07/secure-boot-is-completely-compromised-on-200-models-from-5-big-device-makers/

Internet Organised Crime Threat Assessment (IOCTA) 2024 (26 jul)https://www.europol.europa.eu/publication-events/main-reports/internet-organised-crime-threat-assessment-iocta-2024

Informationssäkerhet och blandat

NCA infiltrates DDoS-for-hire site as suspected controller arrested in Northern Ireland (22 jul)https://therecord.media/ddos-for-hire-site-digitalstress-takedown-arrest-uk-nca

Kommuner drabbas när Lantmäteriet stängt sina digitala tjänster efter misstänkta försvarsläckan (23 jul)https://www.svt.se/nyheter/lokalt/sormland/kommuner-drabbas-nar-lantmateriet-stangt-sina-digitala-tjanster-efter-misstankta-forsvarslackan

Women in IT Security Lack Opportunities, Not Talent (23 jul)https://www.itprotoday.com/it-security/women-in-it-security-lack-opportunities-not-talent

How a North Korean Fake IT Worker Tried to Infiltrate Us (23 jul)https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us

FYI: Data from deleted GitHub repos may not actually be deleted (25 jul)https://www.theregister.com/2024/07/25/data_from_deleted_github_repos/

CERT-SE i veckan

Kritisk sårbarhet i Ivanti Endpoint Manager for Mobile (22 jul)https://www.cert.se/2024/07/kritisk-sarbarhet-i-ivanti-endpoint-manager-for-mobile.html

Kritiska sårbarheter i Solarwinds ARM (22 jul)https://www.cert.se/2024/07/kritiska-sarbarheter-i-solarwinds-arm.html

Kritisk sårbarhet i Citrix Netscaler ADC och Netscaler Gateway (uppdaterad) (23 jul)https://www.cert.se/2024/01/kritisk-sarbarhet-i-citrix-netscaler-adc-och-netscaler-gateway.html

Kritisk sårbarhet drabbar flera produkter från HPE (24 jul)https://www.cert.se/2024/07/kritisk-sarbarhet-drabbar-flera-produkter-fran-hpe.html

Allvarliga störningar i CrowdStrike påverkar många organisationers it-miljöer (uppdaterad) (25 jul)https://www.cert.se/2024/07/allvarliga-storningar-i-crowdstrike-paverkar-manga-organisationers-it-miljoer.html

CERT-SE:s veckobrev v.29

VECKOBREV

En händelserik vecka på it-säkerhetsområdet. Den 18 juli skickade CERT-SE ut ett blixtmeddelande med anledning av kritiska sårbarheter i Cisco Secure Email Gateway och den 19 juli orsakade ett tekniskt fel i CrowdStrike Falcon Sensor omfattande driftstörningar i flera delar av världen. Du hittar CERT-SE:s artiklar om dessa händelser här:

Båda dessa kan komma att uppdateras med ytterligare information.

Med det vill CERT-SE önska en trevlig helg!

Nyheter i veckan

iPhone users in 98 countries warned about spyware by Apple (12 jul)https://www.malwarebytes.com/blog/news/2024/07/iphone-users-in-98-countries-warned-about-spyware-by-apple

Hacktivist Groups “People’s Cyber Army” And “HackNeT” Launch Trial DDoS Attacks on French Websites; prior to the Onslaught during Paris Olympics (15 jul)https://cyble.com/blog/hacktivist-groups-peoples-cyber-army-and-hacknet-launch-trial-ddos-attacks-on-french-websites-prior-to-the-onslaught-during-paris-olympics/
Paris 2024 Olympics to face complex cyber threats (16 jul)https://www.helpnetsecurity.com/2024/07/16/france-olympic-games-2024-cybersecurity-services-spending/

Email addresses of 15 million Trello users leaked on hacking forum (16 jul)https://www.bleepingcomputer.com/news/security/email-addresses-of-15-million-trello-users-leaked-on-hacking-forum/

Major Microsoft 365 outage caused by Azure configuration change (19 jul)https://www.bleepingcomputer.com/news/microsoft/major-microsoft-365-outage-caused-by-azure-configuration-change/

Globala it-störningar – flyg ställs in över hela världen (19 jul)https://www.svt.se/nyheter/utrikes/it-storningar-varlden-over
Larm om it-strul världen över (19 jul)https://www.aftonbladet.se/nyheter/a/MnnWWm/larm-om-it-strul-varlden-over

Rapporter och analyser

Fake AWS Packages Ship Command and Control Malware In JPEG Files (14 jul)https://blog.phylum.io/fake-aws-packages-ship-command-and-control-malware-in-jpeg-files/

HardBit ransomware version 4.0 supports new obfuscation techniques (15 jul)https://securityaffairs.com/165735/malware/hardbit-ransomware-version-4-0.html

Threat Spotlight: Attackers abuse URL protection services to mask phishing links (15 jul)https://blog.barracuda.com/2024/07/15/threat-spotlight-attackers-abuse-url-protection-services

SEXi ransomware rebrands to APT INC, continues VMware ESXi attacks (15 jul)https://www.bleepingcomputer.com/news/security/sexi-ransomware-rebrands-to-apt-inc-continues-vmware-esxi-attacks/

The Importance of Data Security in Hospitality (15 jul)https://www.devx.com/technology/the-importance-of-data-security-in-hospitality/

DarkGate, the Swiss Army knife of malware, sees boom after rival Qbot crushed (16 jul)https://www.theregister.com/2024/07/16/darkgate_malware/

Defending Against APTs: A Learning Exercise with Kimsuky (16 jul)https://www.rapid7.com/blog/post/2024/07/16/defending-against-apts-a-learning-exercise-with-kimsuky/

Container Breakouts: Escape Techniques in Cloud Environments (18 jul)https://unit42.paloaltonetworks.com/container-escape-techniques/

Informationssäkerhet och blandat

Improving cyber resilience of frontline forces in Europe (15 jul)https://www.gov.uk/government/news/improving-cyber-resilience-of-frontline-forces-in-europe

Cybersecurity crisis communication: What to do (15 jul)https://securityintelligence.com/articles/cybersecurity-crisis-communication-what-to-do/

Discover the growing threats to data security (15 jul)https://www.helpnetsecurity.com/2024/07/15/pranava-adduri-bedrock-security-data-security-risks/

Punch Card Hacking – Exploring a Mainframe Attack Vector (16 jul)https://blog.nviso.eu/2024/07/16/punch-card-hacking-exploring-a-mainframe-attack-vector/

Forget Brexit – EU cybersecurity upgrade means UK too (16 jul)https://northwestbylines.co.uk/politics/brexit/forget-brexit-eu-cybersecurity-upgrade-means-uk-too/

UK Government Set to Introduce New Cyber Security and Resilience Bill (18 jul)https://www.infosecurity-magazine.com/news/government-cyber-security-bill-2024/

CERT-SE i veckan

Kritiska sårbarheter i flera produkter från IBM (16 jul)https://www.cert.se/2024/07/kritiska-sarbarheter-i-flera-produkter-fran-ibm.html

Oracles kvartalsvisa säkerhetsuppdatering för juli 2024 (17 jul)https://www.cert.se/2024/07/oracles-kvartalsvisa-sakerhetsuppdateringar-for-juli-2024.html

Kritiska sårbarheter i produkter från Cisco (18 jul)https://www.cert.se/2024/07/kritiska-sarbarheter-i-produkter-fran-cisco.html

BM24-004 Kritisk sårbarhet i Cisco Secure Email Gateway (18 jul)https://www.cert.se/2024/07/bm24-003-kritisk-sarbarhet-i-cisco-secure-email-gateway.html

Allvarliga störningar i CrowdStrike påverkar många organisationers it-miljöer (19 jul)https://www.cert.se/2024/07/allvarliga-storningar-i-crowdstrike-paverkar-manga-organisationers-it-miljoer.html

Allvarliga störningar i CrowdStrike påverkar många organisationers it-miljöer

Text: CERT.se (Myndigheten för Samhällsskydd och Beredskap, MSB)

SÅRBARHET CROWDSTRIKE

Under morgonen den 19 juli uppmärksammades störningar i säkerhetsplattformen CrowdStrike. Störningarna kan drabba servrar och klienter som kör Microsoft Windows där programvaran Falcon Sensor från CrowdStrike är installerad. Det finns rapporter om att dessa enheter kan bli otillgängliga.

CrowdStrike har bekräftat att de upplever störningar och arbetar med att lösa problemen. De rekommenderar följande tillfälliga åtgärder för de som drabbats:

1. Starta Windows i Safe Mode eller i Windows Recovery Environment
2. Gå till katalogen C:\Windows\System32\drivers\CrowdStrike
3. Hitta filen som matchar "C-00000291*.sys" och döp om den till "C-00000291*.renamed"
4. Starta enheten normalt

Att genomföra dessa åtgärder på enheter där BitLocker är aktiverat kräver särskild hantering, framför allt tillgång till administratörsbehörighet och giltig krypteringsnyckel.

Utbredningen av störningarna är i detta läge oklara, men drabbar flera delar av världen. CERT-SE följer utvecklingen löpande och kommer att uppdatera cert.se allteftersom mer information blir tillgänglig.

CERT-SE tar gärna emot information från svenska aktörer som drabbas av störningarna. Du når oss på 010-240 40 40 eller på cert@cert.se.

Uppdatering 2024-07-19 09:59

CrowdStrike ska ha avbrutit utrullningen av den felaktiga uppdatering som orsakat problemen.

Uppdatering 2024-07-19 11:23

Luxemburgs CSIRT har gått ut med IOC:er som stöd för att identifiera de drivrutiner som tros orsaka de tekniska problem som gör servrar och klienter otillgängliga. [1]

Uppdatering 2024-07-19 12:54

CrowdStrike har gått ut med ett första officiellt uttalande om de tekniska problemen i Falcon Agent. [2]

Uppdatering 2024-07-19 13:21

Kortare tillägg kopplat till CrowdStrikes rekommenderade åtgärder till drabbade som berör enheter där BitLocker är aktiverat. Microsoft och Amazon AWS har gått ut med rekommenderade åtgärder till kunder som drabbats av de tekniska problemen med CrowdStrike på virtuella maskiner i Azure respektive EC2 [3,4].

Källor

[1] https://www.circl.lu/pub/tr-87/
[2] https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/
[3] https://azure.status.microsoft/en-us/status
[4] https://health.aws.amazon.com/health/status

Globalt IT-haveri efter allvarlig sårbarhet hos CrowdStrike

Uppdaterad: 2024-07-19; kl 23.45

Sedan igår kväll svensk tid har ett globalt IT-haveri drabbat flera stora verksamheter världen över. IT-haveriet orsakades av allvarliga fel i en uppdatering av programvaran Falcon Sensor som rullades ut för Microsoft Windows 10-användare. Även Google AWS och BitLocker påverkades i viss utsträckning. Följden blev att enheter över hela världen visade blå eller svart skärm. Under flera timmar var till exempel även denna sajt oåtkomlig på grund av problem hos vår leverantör.

Bolaget varnar användarna för att avinstallera CrowdStrikes programvara eftersom man då är helt utan skydd mot skadlig kod. Istället ber man användarna vänta tills en ny patch är klar. Enligt bolaget har man nu börjat distribuera ut en rättad uppdatering av Falcon Sensor. Det krävs dock en manuell hantering av varje server eller agent som har programmet installerat vilket gör att det kommer att ta längre tid för kunderna att avhjälpa IT-haveriet lokalt och regionalt.

Patchar ofta otillräckligt testade

Den 3:e torsdagen i månaden distribuerar bl a Microsoft och andra stora IT-leverantörer ut större uppdateringar. Innan en patch eller uppdatering får rullas ut ska den genomgå tester och granskningar för att se till att inga allvarliga fel finns eller kan uppstå när den når användarna. Men på senare tid har den 3:e torsdagen i månaden allt oftare förknippats med stora och allvarliga IT-haverier. Därför rekommenderas bolagen att framöver höja beredskapen och förmågan att hantera allvarliga IT-störningar och haverier.

Flyg, transport och sjukvård bland drabbade verksamheter

Bland de globalt drabbade verksamheterna fanns bland annat amerikanska och europeiska flygbolag och logistikbolag. Även sjukvården drabbades i vissa länder. Flygplanen som stod på marken fick inte lyfta och flyg i luften fick cirkulera runt flygplatserna. Andra verksamheter som påverkats i stor omfattning är bankverksamheter i Storbritannien, mediabolag och även IT-driftbolag.

Läs mer om IT-haveriet i Veckans nyhetsbrev från CERT.se.

15 miljoner Trelloanvändares lösenord läckta

I januari kommunicerade Trello att man drabbats av en omfattande informationsläcka. Nu framgår det att cirka 15 miljoner Trelloanvändares användaruppgifter har läckts.

Läckan ser ut att ha kopplingar till problemen med plattformen ServiceNow.

Användare uppmanas att genast byta lösenord.

Länkar:

Trello Data Breach: What & How It Happened?

Email addresses of 15 million Trello users leaked on hacking forum

CERT-SE:s veckobrev v.28

VECKOBREV

Oavsett om du läser detta på kontoret eller i hängmattan har vi samlat ihop ett urval av läsvärda artiklar och rapporter denna vecka. På sårbarhetsfronten är det dock inga semestertider, så se till att uppdatera system där så krävs. Trevlig helg önskar CERT-SE!

Nyheter i veckan

RockYou2024: 10 billion passwords leaked in the largest compilation of all time (4 jul)https://cybernews.com/security/rockyou2024-largest-password-compilation-leak

UK election day 2024: traffic trends and attacks on political parties (5 jul)https://blog.cloudflare.com/uk-election-day-2024-traffic-trends-and-attacks-on-political-parties

UK government advises best practices for embedded device security (5 jul)https://www.scmagazine.com/news/uk-government-advises-best-practices-for-embedded-device-security..
Guidance: Considerations for Cyber Incident Response Planning within Industrial Control Systems/Operational Technology (5 jul)https://ritics.org/wp-content/uploads/2024/06/ICS-COI-Considerations-for-Cyber-Incident-Response-Planning-within-ICS-and-OT.pdf

‘Serious hacker attack’ forces Frankfurt university to shut down IT systems (8 jul)https://therecord.media/serious-hacker-attack-shutdown-frankfurt

Home Affairs boss orders government-wide sweep for foreign cyber threats inside vulnerable technology (8 jul)https://www.abc.net.au/news/2024-07-09/home-affairs-boss-orders-sweep-for-foreign-cyber-threats/104072418

Attack Activities by Kimsuky Targeting Japanese Organizations (8 jul)https://blogs.jpcert.or.jp/en/2024/07/attack-activities-by-kimsuky-targeting-japanese-organizations.html

Hackers leak 39,000 print-at-home Ticketmaster tickets for 154 events (8 jul)https://www.bleepingcomputer.com/news/security/hackers-leak-39-000-print-at-home-ticketmaster-tickets-for-154-events

OpenAI Secrets Stolen in 2023 After Internal Forum Was Hacked (8 jul)https://www.techrepublic.com/article/openai-hacked-internal-communications

Kunai: Keep an Eye on your Linux Hosts Activity (8 jul)https://isc.sans.edu/diary/31054

NCSC-FI: Cybersäkerhetscentrets veckoöversikt – 27/2024 (9 jul)https://www.kyberturvallisuuskeskus.fi/sv/aktuellt/cybersakerhetscentrets-veckooversikt-272024

Ransomware attack on blood-testing service puts lives in danger in South Africa (9 jul)https://www.bitdefender.com/blog/hotforsecurity/ransomware-attack-on-blood-testing-service-puts-lives-in-danger-in-south-africa

Google Advanced Protection Program gets passkeys for high-risk users (10 jul)https://www.bleepingcomputer.com/news/security/google-advanced-protection-program-gets-passkeys-for-high-risk-users

Secure by Design Alert: Eliminating OS Command Injection Vulnerabilities (10 jul)https://www.cisa.gov/resources-tools/resources/secure-design-alert-eliminating-os-command-injection-vulnerabilities

Vattenfall och fyra ledande energiföretag bildar Sveriges EnergiCert (10 jul)https://group.vattenfall.com/se/nyheter-och-press/pressmeddelanden/2024/vattenfall-och-fyra-ledande-energiforetag-bildar-sveriges-energicert

Malware that is ‘not ransomware’ wormed its way through Fujitsu Japan’s systems (10 jul)https://www.theregister.com/2024/07/10/fujitsu_malware_attack

CISA Red Team’s Operations Against a Federal Civilian Executive Branch Organization Highlights the Necessity of Defense-in-Depth (11 jul)https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-193a

Second Factor SMS: Worse Than Its Reputation (11 jul)https://www.ccc.de/en/updates/2024/2fa-sms

Data breach exposes millions of mSpy spyware customers (11 jul)https://techcrunch.com/2024/07/11/mspy-spyware-millions-customers-data-breach

Checking in on the state of cybersecurity and the Olympics (11 jul)https://blog.talosintelligence.com/threat-source-newsletter-july-12-2024

Berättigad kritik mot Signals skrivbords­app (11 jul)https://nikkasystems.com/2024/07/11/berattigad-kritik-mot-signals-skrivbordsapp..
Signal downplays encryption key flaw, fixes it after X drama (11 jul)https://www.bleepingcomputer.com/news/security/signal-downplays-encryption-key-flaw-fixes-it-after-x-drama

Rapporter och analyser

New Eldorado ransomware targets Windows, VMware ESXi VMs (5 jul)https://www.bleepingcomputer.com/news/security/new-eldorado-ransomware-targets-windows-vmware-esxi-vms..
Eldorado Ransomware: The New Golden Empire of Cybercrime? (3 jul)https://www.group-ib.com/blog/eldorado-ransomware

Cyberkriminella lurar MFA genom att utmatta användare (8 jul)https://www.voister.se/artikel/2024/07/cyberkriminella-lurar-mfa-genom-att-utmatta-anvandare..
How are attackers trying to bypass MFA? (18 jun)https://blog.talosintelligence.com/how-are-attackers-trying-to-bypass-mfa

Decrypted: DoNex Ransomware and its Predecessors (8 jul)https://decoded.avast.io/threatresearch/decrypted-donex-ransomware-and-its-predecessors

Critical vulnerability in the RADIUS protocol leaves networking equipment open to attack (9 jul)https://www.helpnetsecurity.com/2024/07/09/blastradius-radius-protocol-vulnerability..
RADIUS protocol susceptible to forgery attacks (9 jul)https://kb.cert.org/vuls/id/456537..
Rapport: Blast-RADIUShttps://www.blastradius.fail

Inside the ransomware playbook: Analyzing attack chains and mapping common TTPs (10 jul)https://blog.talosintelligence.com/common-ransomware-actor-ttps-playbooks

DarkGate: Dancing the Samba With Alluring Excel Files (10 jul)https://unit42.paloaltonetworks.com/darkgate-malware-uses-excel-files

Distribution of AsyncRAT Disguised as Ebook (10 jul)https://asec.ahnlab.com/en/67861

FIN7: Silent Push unearths the largest group of FIN7 domains ever discovered. 4000+ IOFA domains and IPs found. Louvre, Meta, and Reuters targeted in massive global phishing and malware campaigns (10 jul)https://www.silentpush.com/blog/fin7

Hidden between the tags: Insights into spammers’ evasion techniques in HTML Smuggling (10 jul)https://blog.talosintelligence.com/hidden-between-the-tags-insights-into-evasion-techniques-in-html-smuggling

Informationssäkerhet och blandat

Högt tryck på nya utbildningen: ”Finns ett akut behov” (8 jul)https://sverigesradio.se/artikel/hogt-tryck-pa-nya-utbildningen-finns-ett-akut-behov

Hemliga försvarsuppgifter kan ha spridits från Lantmäteriet (9 jul)https://sverigesradio.se/artikel/hemliga-forsvarsuppgifter-kan-ha-spridits-fran-lantmateriet

CERT-SE i veckan

Kritisk sårbarhet i Palo Alto Networks Expedition (12 jul)https://www.cert.se/2024/07/kritisk-sarbarhet-i-palo-alto-networks-expedition.html

Kritiska sårbarheter i ServiceNow (12 jul)https://www.cert.se/2024/07/kritiska-sarbarheter-i-servicenow.html

Ny kritisk sårbarhet i Gitlab (11 jul)https://www.cert.se/2024/07/ny-kritisk-sarbarhet-i-gitlab.html

Kritiska sårbarheter i Citrix NetScaler (10 jul)https://www.cert.se/2024/07/kritiska-sarbarheter-i-citrix-netscaler.html

Microsofts månatliga säkerhetsuppdateringar för juli 2024 (10 jul)https://www.cert.se/2024/07/microsofts-manatliga-sakerhetsuppdateringar-for-juli-2024.html

Allvarliga sårbarheter i Splunk (9 jul)https://www.cert.se/2024/07/allvarliga-sarbarheter-i-splunk.html

Kritisk sårbarhet i MongoDB (9 jul)https://www.cert.se/2024/07/kritisk-sarbarhet-i-mongodb.html

Handlingar lämnas ut till nyhetsbyrån Siren med förbehåll

Kammarrätten i Stockholm (KamR) har i en dom beslutat att vissa handlingar som nyhetsbyrån Siren begärt ut får utlämnas. Det sker dock med förbehåll. Läs KamR:s uttalande nedan.

Kammarrätten bedömer att EU:s dataskyddsförordning, GDPR, ska tillämpas vid en nyhetsbyrås begäran om utlämnande av allmänna handlingar. Eftersom det kan antas att uppgifterna i handlingarna kommer att behandlas i strid med förordningen omfattas de av sekretess. Det finns därför grund för att lämna ut handlingarna med förbehåll.

En nyhetsbyrå har begärt att Förvaltningsrätten i Stockholm ska lämna ut en större mängd handlingar som innehåller uppgifter om hälsa och lagöverträdelser som innefattar brott. Det journalistiska ändamål som handlingarna skulle användas för är bland annat en publicering av personuppgifterna i en sökbar databas. Förvaltningsrätten beslutade att handlingarna skulle lämnas ut, men med förbehållet att personuppgifter om hälsa och brott inte fick användas i databasen.

Kammarrätten håller med förvaltningsrätten att GDPR ska tillämpas vid bedömningen av om nyhetsbyrån har rätt att ta del av de begärda handlingarna. Grundlagsskyddet för yttrandefrihet i form av publicering av personuppgifter om hälsa i vissa sökbara uppgiftssamlingar får begränsas genom GDPR.

– När det gäller publicering av personuppgifter om lagöverträdelser anser kammarrätten att det inte är förenligt med principen om unionsrättens företräde att grundlagsskyddet för en nyhetsbyrå alltid ska ha företräde framför GDPR. Detta eftersom någon proportionalitetsbedömning då inte görs mellan rätten till skydd för personuppgifter och rätten till skydd för yttrande- och informationsfrihet. Genom förbehållet blir det en rimlig avvägning mellan de olika intressena samtidigt som risken för en behandling i strid med GDPR undanröjs säger kammarrättsrådet Cecilia Bohlin, som är referent i målet.

Målar: 2807-24

CERT-SE:s veckobrev v.27

VECKOBREV

Ett matigt, varierat och tankeväckande nyhetssvep denna första vecka i juli. Men innan ni förkovrar er i hängmattan, notera gärna veckans artiklar om allvarliga sårbarheter i bland annat Juniper-routrar och OpenSSH.

För fördjupad förståelse om OpenSSH-sårbarheten och rekommendationer på åtgärder, se artikel publicerad av NCSC-SE idag: https://www.ncsc.se/aktuellt/sarbarhet-i-openssh/

Trevlig helg önskar CERT-SE!

Nyheter i veckan

Multiple Finnish Water Treatment Centers Broken Into & Fake Doctor Attempts To Breach Multiple Health Centers (28 jun)https://covertaccessteam.substack.com/p/fake-doctor-attempts-to-infiltrate

A cyberattack shut down the University Hospital Centre Zagreb in Croatia (28 jun)https://securityaffairs.com/165007/hacking/cyberattack-shutdown-university-hospital-centre-zagreb.html

HubSpot says it’s investigating customer account hacks (28 jun)https://techcrunch.com/2024/06/28/hubspot-says-its-investigating-customer-account-hacks/?guccounter=2

Ticketmaster sends notifications about recent massive data breach (28 jun)https://www.bleepingcomputer.com/news/security/ticketmaster-sends-notifications-about-recent-massive-data-breach/

Dev rejects CVE severity, makes his GitHub repo read-only (30 jun)https://www.bleepingcomputer.com/news/security/dev-rejects-cve-severity-makes-his-github-repo-read-only

Nasty regreSSHion bug in OpenSSH puts roughly 700K Linux boxes at risk (1 jul)https://www.theregister.com/2024/07/01/regresshion_openssh/

Cisco warns of NX-OS zero-day exploited to deploy custom malware (1 jul)https://www.bleepingcomputer.com/news/security/cisco-warns-of-nx-os-zero-day-exploited-to-deploy-custom-malware/

Police allege ‘evil twin’ of in-flight Wi-Fi used to steal passenger’s credentials (1 jul)https://www.theregister.com/2024/07/01/australia_evil_twin_wifi_airline_attack/

Fler bedrägeriutsatta söker stöd i Örebro – vishing allt vanligare (2 jul)https://www.svt.se/nyheter/lokalt/orebro/antalet-bedragerier-fortsatter-att-oka

3 million iOS and macOS apps were exposed to potent supply-chain attacks (2 jul)https://arstechnica.com/security/2024/07/3-million-ios-and-macos-apps-were-exposed-to-potent-supply-chain-attacks/

Indonesia gov ransomware chaos may be over after hack group apologizes and says it has shared decrypt keys (3 jul)https://www.tomshardware.com/tech-industry/cyber-security/indonesia-gov-ransomware-chaos-may-be-over-after-hack-group-apologizes-and-says-it-has-shared-decrypt-keys

Europol coordinates global action against criminal abuse of Cobalt Strike (3 jul)https://www.europol.europa.eu/media-press/newsroom/news/europol-coordinates-global-action-against-criminal-abuse-of-cobalt-strike

Over 380k Hosts Still Referencing Malicious Polyfill Domain: Censys (3 jul)https://www.securityweek.com/over-380k-hosts-still-referencing-malicious-polyfill-domain-censys/

“Everything’s frozen”: Ransomware locks credit union users out of bank accounts (3 jul)https://arstechnica.com/tech-policy/2024/07/everythings-frozen-ransomware-locks-credit-union-users-out-of-bank-accounts/

OpenAI’s ChatGPT Mac app was storing conversations in plain text (3 jul)https://www.theverge.com/2024/7/3/24191636/openai-chatgpt-mac-app-conversations-plain-text

New ransomware group uses phone calls to pressure victims, researchers say (3 jul)https://therecord.media/ransomware-group-volcano-demon-lukalocker

Hackers abused API to verify millions of Authy MFA phone numbers (3 jul)https://www.bleepingcomputer.com/news/security/hackers-abused-api-to-verify-millions-of-authy-mfa-phone-numbers/

Europol says mobile roaming tech is making its job too hard (5 jul)https://www.theregister.com/2024/07/05/europol_home_routing_complaint/https://www.europol.europa.eu/media-press/newsroom/news/home-routing-limiting-law-enforcement-evidence-gathering-warns-europol

CISA Warns Chemical Facilities of Data Theft After Hacker Breached CSAT Security Tool via Ivanti (5 jul)https://www.cpomagazine.com/cyber-security/cisa-warns-chemical-facilities-of-data-theft-after-hacker-breached-csat-security-tool-via-ivanti/

Rapporter, fördjupningar och analyser

A Deep Dive Into DarkME Rat Malware (27 jun)https://blog.sonicwall.com/en-us/2024/06/a-deep-dive-into-darkme-rat-malware

ESET Threat Report H1 2024 (27 jun)https://www.welivesecurity.com/en/eset-research/eset-threat-report-h1-2024/

IoT och säkerhet – en djupdykning i framtidens teknik (27 jun)https://www.ri.se/sv/iot-och-sakerhet-en-djupdykning-i-framtidens-teknik

Meet Brain Cipher — The new ransomware behind Indonesia’s data center attack (29 jun)https://www.bleepingcomputer.com/news/security/meet-brain-cipher-the-new-ransomware-behind-indonesia-data-center-attack/

The biggest data breaches in 2024: 1 billion stolen records and rising (29 jun)https://techcrunch.com/2024/06/29/2024-in-data-breaches-1-billion-stolen-records-and-rising/

Ny rapport: Vårdens IT-säkerhet under fortsatt hård press (1 jul)https://www.infrastrukturnyheter.se/20240701/30218/ny-rapport-vardens-it-sakerhet-under-fortsatt-hard-press..
https://soti.se/media/d20achvn/soti-industry-report-code-digital-will-healthcare-thrive-or-survive-swedish.pdf

Caught in the Net: Using Infostealer Logs to Unmask CSAM Consumers (2 jul)https://www.recordedfuture.com/caught-in-the-net-using-infostealer-logs-to-unmask-csam-consumers

The Rise of Packet Rate Attacks: When Core Routers Turn Evil (2 jul)https://blog.ovhcloud.com/the-rise-of-packet-rate-attacks-when-core-routers-turn-evil/

Modern Cryptographic Attacks: A Guide for the Perplexed (2 jul)https://research.checkpoint.com/2024/modern-cryptographic-attacks-a-guide-for-the-perplexed/

Half of Employees Fear Punishment for Reporting Security Mistakes (3 jul)https://www.infosecurity-magazine.com/news/employees-fear-punishment-reporting/

The Not-So-Secret Network Access Broker x999xx (3 jul)https://krebsonsecurity.com/2024/07/the-not-so-secret-network-access-broker-x999xx/

Microsoft: “Skeleton Key” Attacks Consistently Jailbreak AI Models, Allows Users to Directly Ask Forbidden Questions (4 jul)https://www.cpomagazine.com/cyber-security/microsoft-skeleton-key-attacks-consistently-jailbreak-ai-models-allows-users-to-directly-ask-forbidden-questions/

99% of IoT exploitation attempts rely on previously known CVEs (5 jul)https://www.helpnetsecurity.com/2024/07/05/iot-security-privacy-challenges/

GootLoader Malware Still Active, Deploys New Versions for Enhanced Attacks (5 jul)https://thehackernews.com/2024/07/gootloader-malware-delivers-new.html

Forescout Research: What are the riskiest connected devices right now?https://www.forescout.com/resources/2024-riskiest-connected-devices/

Informationssäkerhet och blandat

Why the DORA Regulation Matters Beyond the EU (25 jun)https://www.forescout.com/blog/why-the-dora-regulation-matters-beyond-the-eu%e2%80%af/

Sustaining Digital Certificate Security – Entrust Certificate Distrust (27 jun)https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html

Under the Borealis: OT Cyber Threat Intelligence Tailored for Nordic Countries (28 jun)https://www.dragos.com/blog/ot-cyber-threat-intelligence-nordic-renewable-energy/

Hijacked: How hacked YouTube channels spread scams and malware (1 jul)https://www.securityweek.com/prudential-financial-data-breach-impacts-2-5-million

Strengthening Cybersecurity in The Gambia: An Interview with Sanusi Drammeh (2 jul)https://www.telecomreviewafrica.com/en/articles/exclusive-interviews/4337-strengthening-cybersecurity-in-the-gambia-an-interview-with-sanusi-drammeh

Farewell floppy: Japan wins 2-year “war on floppy disks,” kills regulations requiring old tech (2 jul)https://arstechnica.com/gadgets/2024/07/japans-government-finally-exits-90s-ends-floppy-disk-use/

The End of Passwords? Embrace the Future with Passkeys (2 jul)https://blog.nviso.eu/2024/07/02/the-end-of-passwords-embrace-the-future-with-passkeys/

How people are key to tackling the threat of phishing (3 jul)https://www.intelligentciso.com/2024/07/03/how-people-are-key-to-tackling-the-threat-of-phishing-2/

To guard against cyberattacks in space, researchers ask ‘what if?’ (3 jul)https://theconversation.com/to-guard-against-cyberattacks-in-space-researchers-ask-what-if-232365

CERT-SE i veckan

Kritisk sårbarhet påverkar Juniper-routrar (1 jul)https://www.cert.se/2024/07/kritisk-sarbarhet-paverkar-juniper-routrar.html

Kritisk sårbarhet i MOVEit Transfer (1 jul)https://www.cert.se/2024/06/kritisk-sarbarhet-i-moveit-transfer.html

Allvarlig RCE-sårbarhet i OpenSSH (2 jul)https://www.cert.se/2024/07/kritisk-rce-sarbarhet-i-openssh.html

Kritisk sårbarhet i GeoServer (2 jul)https://www.cert.se/2024/07/kritisk-sarbarhet-i-geoserver.html

Aktuellt från Nationellt Cybersäkerhetscenter (NCSC-SE)

Sårbarhet i OpenSSH (5 jul)https://www.ncsc.se/aktuellt/sarbarhet-i-openssh/

Temafördjupning utpressningsangrepp (23 jun)https://www.ncsc.se/aktuellt/utpressningsangrepp/

Boka datumet – NCSC-konferensen 2024 (4 jun)https://www.ncsc.se/aktuellt/ncsc-konferensen-2024/

CERT-SE:s veckobrev v.26

VECKOBREV

Många läsvärda rapporter i detta veckobrev, bland annat en temafördjupning om utpressningsvirus från Nationellt cybersäkerhetscenter. Dessutom referat från såväl Cyber Europe, där medarbetare från CERT-SE övade tillsammans, som Midnight Sun CTF. Trevlig helg önskar CERT-SE!

Nyheter i veckan

MSB deltog i Europas största cybersäkerhetsövning (20 jun)https://www.msb.se/sv/aktuellt/nyheter/2024/juni/msb-deltog-i-europas-storsta-cybersakerhetsovning

NCSC statement following reports of a Synnovis data breach (21 jun)https://www.ncsc.gov.uk/news/ncsc-statement-following-reports-of-a-synnovis-data-breach

30M Potentially Affected in Tickettek Australia Cloud Breach (24 jun)https://www.darkreading.com/cloud-security/30m-affected-tickettek-australia-cloud-breach

Car dealership outages drag on after CDK cyberattacks (24 jun)https://techcrunch.com/2024/06/24/car-dealership-outages-drag-on-after-cdk-cyberattack

Levi’s caught with pants down: Hackers expose 72,000 customer account details (24 jun)https://www.scmagazine.com/news/levis-gets-stripped-of-72000-customer-account-details

‘Mirai-like’ botnet observed attacking EOL Zyxel NAS devices (24 jun)https://www.theregister.com/2024/06/24/mirailike_botnet_zyxel_nas

CISA confirms hackers may have accessed data from chemical facilities during January incident (24 jun)https://therecord.media/cisa-confirms-hackers-chemical-facilities

LockBit lied: Stolen data is from a bank, not US Federal Reserve (26 jun)https://www.bleepingcomputer.com/news/security/lockbit-lied-stolen-data-is-from-a-bank-not-us-federal-reserve

Over 110,000 Websites Affected by Hijacked Polyfill Supply Chain Attack (26 jun)https://thehackernews.com/2024/06/over-110000-websites-affected-by.html

Exploring Memory Safety in Critical Open Source Projects (26 jun)https://www.cisa.gov/resources-tools/resources/exploring-memory-safety-critical-open-source-projects

Your Phone’s 5G Connection is Vulnerable to Bypass, DoS Attacks (27 jun)https://www.darkreading.com/mobile-security/your-phone-s-5g-connection-is-exposed-to-bypass-dos-attacks

‘Poseidon’ Mac stealer distributed via Google ads (27 jun)https://www.malwarebytes.com/blog/news/2024/06/poseidon-mac-stealer-distributed-via-google-ads

The Importance of Cyber Threat Intelligence: Insights from Recent Nobelium Attacks SANS Institute (28 jun)https://www.sans.org/blog/the-importance-of-cyber-threat-intelligence-insights-from-recent-nobelium-attacks

TeamViewer IT security update (28 jun)https://www.teamviewer.com/en/resources/trust-center/statement

Rapporter och analyser

Även cyberkriminella använder AI för effektivisering (21 jun)https://computersweden.se/article/2149610/aven-cyberkriminella-anvander-ai-for-effektivisering.html..
Cybercriminals and AI: Not Just Better Phishing (12 jun)https://intel471.com/blog/cybercriminals-and-ai-not-just-better-phishing

NCSC temafördjupning: Utpressningsangrepp (23 jun)https://www.ncsc.se/aktuellt/utpressningsangrepp

New SnailLoad Attack Relies on Network Latency Variations to Infer User Activity (24 jun)https://www.securityweek.com/new-snailload-attack-relies-on-network-latency-variations-to-infer-user-activity..
SnailLoad: Remote Network Latency Measurements Leak User Activityhttps://snailload.com

Social Engineering Tactics Targeting Healthcare & Public Health Entities and Providers (24 jun)https://www.ic3.gov/Media/News/2024/240624.pdf

New Medusa malware variants target Android users in seven countries (25 jun)https://www.bleepingcomputer.com/news/security/new-medusa-malware-variants-target-android-users-in-seven-countries..
Medusa Reborn: A New Compact Variant Discovered (20 jun)https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered

The Growing Threat of Malware Concealed Behind Cloud Services (25 jun)https://www.fortinet.com/blog/threat-research/growing-threat-of-malware-concealed-behind-cloud-services

Multiple vulnerabilities in TP-Link Omada system could lead to root access (26 jun)https://blog.talosintelligence.com/multiple-vulnerabilities-in-tp-link-omada-system

Attackers Exploiting Public Cobalt Strike Profiles (26 jun)https://unit42.paloaltonetworks.com/attackers-exploit-public-cobalt-strike-profiles

Snowflake isn’t an outlier, it’s the canary in the coal mine (27 jun)https://blog.talosintelligence.com/infostealer-landscape-facilitates-breaches

Informationssäkerhet och blandat

New cyber-security taskforce begins meeting to share intelligence on threats to Jersey (25 jun)https://jerseyeveningpost.com/news/2024/06/25/new-cyber-security-taskforce-begins-meeting-to-share-intelligence-on-threats-to-jersey

Meta’s Virtual Reality Headset Vulnerable to Ransomware Attacks: Researcher (25 jun)https://www.securityweek.com/metas-virtual-reality-headset-vulnerable-to-ransomware-attacks-researcher

Konferens och hackingtävling i världsklass (26 jun)https://www.aktuellsakerhet.se/konferens-och-hackingtavling-i-varldsklass

Försäkringskassan: Så kan bedragarna lura dig (26 jun)https://sverigesradio.se/artikel/forsakringskassan-tipsar-sa-luras-bedragarna

Microsoft founder Paul Allen’s tech museum closes, sells off collection (26 jun)https://www.theregister.com/2024/06/26/paul_allen_museum_closes

CERT-SE i veckan

Kritiska sårbarheter i Gitlab (28 jun)https://www.cert.se/2024/06/kritiska-sarbarheter-i-gitlab.html

Kritisk sårbarhet i FileCatalyst Workflow (27 jun)https://www.cert.se/2024/06/kritisk-sarbarhet-i-filecatalyst-workflow.html

Kritisk sårbarhet i MOVEit Transfer (26 jun)https://www.cert.se/2024/06/kritisk-sarbarhet-i-moveit-transfer.html

Publikation från NCSC om ransomware (25 jun)https://www.cert.se/2024/06/publikation-fran-ncsc-om-ransomware.html

CERT-SE deltog vid Cyber Europe (24 jun)https://www.cert.se/2024/06/cert-se-deltog-vid-cyber-europe.html

CERT-SE:s veckobrev v.25

VECKOBREV

Anmälan till Cybersäkerhetskonferensen har nu öppnat. Fokus för konferensen kommer vara NIS2-direktivet och annan lagstiftning inom cyberområdet. Se https://www.msb.se/sv/aktuellt/kalender/2024/oktober/cybersakerhetskonferensen-2024/

Sista dagen att söka tjänsten som projketledare vid CERT-SE närmar sig, ta en titt på https://msb.varbi.com/se/what:job/jobID:732300/type:job/where:4/apply:1

Trevlig midsommar önskar CERT-SE!

Nyheter i veckan

Exclusive: ICC probes cyberattacks in Ukraine as possible war crimes, sources say (14 jun)https://www.reuters.com/world/europe/icc-probes-cyberattacks-ukraine-possible-war-crimes-sources-2024-06-14/

Alleged Boss of ‘Scattered Spider’ Hacking Group Arrested (15 jun)https://krebsonsecurity.com/2024/06/alleged-boss-of-scattered-spider-hacking-group-arrested/

London Ransomware Attack Led to 1500 Cancelled Appointments and Operations (17 jun)https://www.infosecurity-magazine.com/news/london-ransomware1500-cancelled/

Hackers Detail How They Allegedly Stole Ticketmaster Data From Snowflake (17 jun)https://www.wired.com/story/epam-snowflake-ticketmaster-breach-shinyhunters/

Medibank’s lack of multi-factor authentication allowed hackers to infiltrate systems, regulator alleges (17 jun)https://therecord.media/all-scottish-households-nhs-hack-alert

All households in Scottish region to get alert about hackers publishing stolen medical data (17 jun)https://www.theguardian.com/australia-news/article/2024/jun/17/medibank-hack-data-breach-federal-court-case

Fake Google Chrome errors trick you into running malicious PowerShell scripts (17 jun)https://www.bleepingcomputer.com/news/security/fake-google-chrome-errors-trick-you-into-running-malicious-powershell-scripts/

Malicious activities linked to the Nobelium intrusion set (19 jun)https://cert.ssi.gouv.fr/cti/CERTFR-2024-CTI-006/

Rapporter och analyser

From Clipboard to Compromise: A PowerShell Self-Pwn (17 jun)https://www.proofpoint.com/us/blog/threat-insight/clipboard-compromise-powershell-self-pwn

KraftCERT/InfraCERT Threat Assessment 2024 (17 jun)https://www.kraftcert.no/filer/KraftCERT-ThreatAssessment2024.pdf

USB-minnen och QR-koder – low tech-metoder fortsatt stora hot (18 jun)https://computersweden.se/article/2139528/usb-minnen-och-qr-koder-low-tech-metoder-fortsatt-stora-hot.html

Cloaked and Covert: Uncovering UNC3886 Espionage Operations (18 jun)https://cloud.google.com/blog/topics/threat-intelligence/uncovering-unc3886-espionage-operations

LockBit resurgence sees ransomware attacks reach record high in May (20 jun)https://siliconangle.com/2024/06/20/lockbit-resurgence-sees-ransomware-attacks-reach-record-high-may/

Informationssäkerhet och blandat

Civilministern har tagit emot förslag om en digital identitetsplånbok (17 jun)https://regeringen.se/pressmeddelanden/2024/06/civilministern-har-tagit-emot-forslag-om-en-digital-identitetsplanbok/

Efter cyberattacken mot Tietoevry – drabbade vill ha skadestånd (17 jun)https://computersweden.se/article/2149327/efter-cyberattacken-mot-tietoevry-drabbade-vill-ha-skadestand.html

Nu matas AI-assistenten för offentlig sektor med data – ”fullt fungerande prototyp” (17 jun)https://computersweden.se/article/2147759/nu-matas-ai-assistenten-for-offentlig-sektor-med-data-fullt-fungerande-prototyp.html

Cybersäkerhetskonferensen 2024 (17 jun)https://www.msb.se/sv/aktuellt/kalender/2024/oktober/cybersakerhetskonferensen-2024/

Ett nytt Nationellt cybersäkerhetcenter – Del 2 (18 jun)https://www.regeringen.se/rattsliga-dokument/departementsserien-och-promemorior/2024/06/ett-nytt-nationellt-cybersakerhetcenter—del-2/

Modern Approaches to Network Access Security (18 jun)https://www.cisa.gov/resources-tools/resources/modern-approaches-network-access-security

CERT-SE i veckan

Kritiska sårbarheter påverkar VMware vCenter Server (18 jun)https://www.cert.se/2024/06/kritiska-sarbarheter-paverkar-vmware-vcenter-server.html