Security

Säkerhetsföretaget Sekoia rapporterar att miljontals datorer runt om i världen har infekterats av en usb-mask, det vill säga ett skadeprogram som sprids automatiskt via inkopplade usb-minnen och hårddiskar.

Det som gör just den här usb-masken speciell är att den av allt att döma började spridas redan 2008, men den blev inte upptäckt förrän 2023.

För tillfället utgör masken inget akut hot, detta då den övergivits av sin skapare sedan lång tid tillbaka. Det finns emellertid en farhåga om att andra aktörer kan hitta ett sätt att utnyttja masken, så för säkerhets skull är det bra om den raderas från de infekterade datorerna.

Enligt Ars Technica är antalet infekterade datorer som störst i Nigeria, Indien, Indonesien och Storbritannien.

I går rapporterades att flera av Systembolagets drycker kan sälja slut de närmaste dagarna på grund av distributionsproblem. 

– Ungefär en fjärdedel av vår försäljningsvolym kan påverkas, vilket innebär att det kan påverka tillgängligheten för vissa ölsorter, vissa vinsorter, vissa spritsorter, och så vidare, säger Teodor Almqvist, pressansvarig på Systembolaget till Aftonbladet. 

Och till Dagens Industri uppger logistikbolaget Skanlog, som är en stor leverantör till Systembolaget, att problemen orsakas av att de drabbats av en cyberattack. 

– Vi har blivit angripna centralt genom en cyberattack, som har gjort att hela vårt system ligger nere tills vi får det åtgärdat och kan komma upp igen, säger Skanlogs vd Mona Zuko till tidningen.

En gemensam varning från FBI och CISA i USA samt Europol EC3 och nederländska NCSC-NL uppmärksammar att ransomwaregänget Akira på ett drygt ett år dragit in omkring 42 miljoner dollar, motsvarande cirka 460 miljoner kronor, från över 250 offer.

Akira låg bland annat bakom den stora attacken mot Tietoevry som drabbade en rad av bolagets kunder i Sverige. Detta inkluderade företag som Rusta, Filmstaden, Granngården, Systembolaget, Stadium och Munters men också Vellinge kommun, Region Uppsala, Västerbottens region, Bjuvs kommun och Statens Servicecenter.

Gänget ska också ha legat bakom en cyberattack mot Kalmars kommun som tvingade kommunen att stänga ner sina interna system, liksom ett angrepp mot Bjuvs kommun. Utöver det har gruppen även skaffat sig mängder av offer i Europa, Nordamerika och Australien.

I sin gemensamma varning uppmanar de olika cybersäkerhetsmyndigheterna organisationer till att prioritera att täppa igen sårbarheter som redan har utnyttjats och att införa multifaktorautentisering med starka lösenord för samtliga tjänster, men speciellt webbmejl, VPN och konton som har tillgång till kritiska system.

Organisationer bör också regelbundet uppdatera sin mjukvara till de senaste versionerna och göra utvärdering av sårbarheter till en standarddel av sina säkerhetsprotokoll.

Ett internationellt polistillslag som letts av Londons Metropolitan Police Service i Storbritannien och involverade myndigheter från 19 olika länder, bland annat Sverige, har lett till att nätfisketjänsten Labhost tagits ned.

Tjänsten gav cyberkriminella tillgång till realistiska kopior av 170 kända organisationers webbsidor som de kunde använda för nätfiske. Bara i Storbritannien beräknas flera tiotusentals offer blivit lurade av de fejkade webbsidorna och blivit av med inloggningsuppgifter. De cyberkriminella använde sedan uppgifterna för att stjäla pengar eller så såldes de vidare.

LabHost ska varit aktiv sedan 2021 och tillslaget är ett resultat av ett polisarbete som påbörjades under 2022. Enligt The Register har polisen än så länge gripit 35 personer, varav 25 i Storbritannien. Enligt polisen ska många av dem varit äldre tonåringar och personer i 20-årsåldern som velat tjäna snabba pengar.

Labhost hade omkring 2000 betalande prenumeranter samtidigt som myndigheterna tog ner tjänsten. Polisen ska nu sitta på information om de här prenumeranterna och säger att fler gripanden förväntas göras de kommande månaderna.

Enligt Cybersecurity and Infrastructure Security Agency (CISA) har hackare från Ryssland kommit åt mejl från amerikanska myndigheter, detta i samband med den uppmärksammade cyberattacken mot Microsofts e-postsystem i januari.

Hackarna, som Microsoft valt att kalla för Midnight Blizzard, tros arbeta för Ryska federationens yttre underrättelsetjänst (SVR).

Som en följd av intrånget har CISA skickat ut ett akut direktiv till myndigheterna för att få dem att så snart som möjligt byta ut alla lösenord och se till att systemen är säkra att använda.

”Midnight Blizzard använder information som ursprungligen exfiltrerats från Microsofts e-postsystem, inklusive autentiseringsuppgifter som delats mellan Microsofts kunder och Microsoft via e-post, för att få eller försöka få ytterligare tillgång till vissa av Microsofts kundsystem. Microsoft och CISA har meddelat alla federala myndigheter vars e-postkorrespondens med Microsoft identifierades som exfiltrerad av Midnight Blizzard”, skriver CISA i ett pressmeddelande.

Exakt vilka myndigheter som drabbades av intrånget framgår ej.

– Detta nöddirektiv kräver omedelbara åtgärder från myndigheter för att minska risken för våra federala system, säger CISA:s chef Jen Easterly i pressmeddelandet.

– Under flera år har den amerikanska regeringen dokumenterat skadlig cyberaktivitet som en del av den ryska taktiken; den senaste komprometteringen av Microsoft läggs till denna långa lista.

CISA:s direktiv gäller enbart federala myndigheter i USA men myndigheten säger att även andra organisationer kan ha drabbats och uppmanas höra av sig till kundansvariga på Microsoft för vägledning.

Startupen Crowdfense har nu uppdaterat sin prislista för vad företaget är villigt att betala för olika dagnollattacker för mobiler, webbläsare och meddelandetjänster. Det hela uppmärksammades först av Techcrunch.

Crowdfense affärsmodell är att köpa kunskap om dagnollattacker och sedan sälja den vidare till andra organisationer, såsom myndigheter, som behöver attackverktygen för att spåra eller spionera på kriminella.

I den uppdaterade prislistan går det att se att Crowdfense är villiga att betala 5 och 7 miljoner dollar, motsvarande mellan 52 och 74 miljoner kronor, för en dagnollattack som gör det möjligt att ta sig in i en Iphone. Företaget erbjuder också 5 miljoner dollar för en dagnollattack till Android, 3 miljoner dollar för en till Chrome, 3,5 miljoner dollar för en till Safari, 3 miljoner för en till Whatsapp och 5 miljoner dollar för en till Imessage.

Priserna kan jämföras med Crowdfense prislista från 2019 där företaget som mest erbjöd 3 miljoner dollar för en dagnollattack till Android eller IOS. De ökade priserna spåras till att de olika mjukvaruprodukterna blivit säkrare med tiden och därmed svårare att hacka.

Under det senaste året har en lång rad sårbarheter upptäckts i mjukvara från Ivanti, vilket hackare inte har varit sena att utnyttja.

Så sent som i går varnade Myndigheten för samhällsskydd och beredskap (MSB) för ytterligare fyra sårbarheter i Ivanti Connect Secure och Ivanti Policy Secure. Uppmaningen är att installera de senaste uppdateringarna så snart som möjligt för att vara på den säkra sidan.

Nu har Ivantis vd Jeff Abbott skrivit ett öppet brev där han lovar att genomföra en lång rad förändringar för att få tillbaka användarnas förtroende.

Bland annat ska utvecklarna fokusera på säkerhet i varje del av mjukvarans livscykel och åtgärder ska dessutom vidtas för att förhindra hackare att utnyttja kända sårbarheter.

Om de utlovade åtgärderna räcker för att återvinna kundernas förtroende återstår att se.

Ukrainas militär har delat ut ett tacksamhetspris till den utländska civila hackargruppen One Fist för att ha utfört angrepp mot Ryssland, rapporterar BBC. Gruppen består av hackare från åtta olika länder, som Storbritannien, USA och Polen.

One Fist har utfört ett dussin cyberattacker och har bland annat lyckats stjäla data från ryska militärsjukhus och hackade även kameror som gjorde det möjligt att spionera på ryska trupper.

Sedan Ryssland invaderade landet har Ukraina uppmanat frivilliga hackare att angripa ryska mål. Ett beslut som varit kontroversiellt. Bland annat har Röda Korset uppmanat till att inte använda sig av eller uppmuntra civila hackare.

Utdelningen av utmärkelsen tros vara första gången som ett land offentligt belönat civila hackare för skadliga och potentiellt kriminella intrång. Ukrainas försvarsministerium har inte kommenterat det hela ytterligare.

Även ryska myndigheter har anklagats för att använda sig av hackargrupper som Killnet för att angripa Ukraina. De ryska myndigheterna har nekat till detta.

Att snabbt få igång sina it-system efter en cyberattack är avgörande för att verksamheten snabbt ska kunna återupptas. Men en undersökning som Norstat utfört på uppdrag av Kyndryl Norden visar att svenska banker och finansföretag inte övar särskilt ofta på det. 48 procent har aldrig övat på det, 24 procent övar en gång om året, 20 procent en gång i halvåret, åtta procent övar minst en gång i månaden och två procent övar varje vecka. 

– Om man överhuvudtaget tillmäter övningar ett värde innebär det i sin tur att många företag saknar tillräcklig praktisk omstartsförmåga vilket påverkar lönsamhet och till och med företagets förmåga att överleva. För genom övningarna tränas inte bara rutiner och handhavande, även brister i systemen och oklarheter i ansvarsområden blir tydliga och kan åtgärdas, säger Beda Grahn, vd för Kyndryl Norden. 

Dessutom har bara 26 procent av de svenska bankerna tränat inför eventualiteten att information i deras viktigaste it-system stjäls eller raderas enligt undersökningen. 

Så hur förbereder de sig då? Vanligast är att spara snapshots och säkerhetskopior sparas i helt separerade it-miljöer, det gör 74 procent. 62 procent har redundanta och fysiskt separerade it-hallar och 62 procent har en tydlig plan för vem som gör vad vid en eventuell omstart. 50 procent uppger att de förberett sig genom att ha försäkringar för cyberattacker och 36 procent uppger att de har en ”helt cyberresilient så kallad air gapped-solution med forensik och kapacitet att snabbt återställa produktionen”. 

Undersökningen baseras på svar från 50 it-ansvariga och it-säkerhetschefer i företag inom bank- och finanssektorn i Sverige.