Kryptisk cybersikkerhet - Uke 48

Dec 06, 2021

Vi nærmer oss slutten av 2021 og det føles som en deja vu fra 2020. Tiltakene gjeninnføres etter at smitten går opp, folk er tilbake på hjemmekontor og munnbind har blitt vanlig igjen. Det får en til å lure på om vi noensinne går tilbake til «normalen» eller om dette er noe vi må bare leve med videre.
Legg på høye strømpriser og det er klart at mange får problemer rundt denne tiden. Finn har som i fjor en rekke annonser der folk ber om hjelp til å klare julen.
Om du har råd til det, så kan det være verdt å ta en titt på Finn og kanskje nå ut til noen som trenger hjelp. Min erfaring at de setter stor pris på all hjelpen de kan få, enten det er gavekort på mat (de fleste butikker selger dette) eller til butikker (for å handle gaver).

Lenke:
https://www.finn.no/bap/forsale/search.html?christmas=bap-gift-wish&sort=RELEVANCE

Nyheter

Nordic Choice Hotels rammet av cyberangrep: Har satt krisestab - Digi
Kaotisk i Nordic Choice: I dag fikk kundene SMS om at passord er endret, mens innlogging er stengt - Digi
I følge Digi har Nordic Choice blitt offer for Conti gjengen. Som følge av denne løsepengevirusangrep er mye av infrastrukturen utilgjengelig. Situasjonen ble heller ikke hjulpet av at de ble sendt ut SMS om at passordet til brukere var endret. Basert på siste oppdatering i Digi ser det ut som Nordic Choice fortsatt forsøker å få kontroll over situasjonen. Det blir noen hektiske dager/uker for de som håndterer denne hendelsen.

Former Ubiquiti employee charged with stealing data, extorting employer - The Scoop
Ny vending i Ubiquiti saken, i januar ble det kjent at Ubiquiti hadde opplevd et datainnbrudd og senere kom det påstander om at de hadde dekket over dette. Nå er en ansatt arrestert og siktet for datainnbruddet, han hadde også plantet falske historier om selskapet. Den tiltalte brukte sine tilganger til å stjele data og kreve løsepenger av selskapet, siktelsen tilsier også at han utførte skade mot selskapets nettverk.

Panasonic discloses four-months-long data breach - The Record
Som artikkelen påpeker, har nesten alle japanske teknologi-selskaper vært utsatt for datainnbrudd. Artikkelen baserer seg på japanske kilder som påstår at sensitiv data har kommet på avveie.

Cyberkriminelle afpresser dansk vindmøllegigant - DR
Danske DR melder om at Vestas, energiselskap innen vindmøller, har vært utsatt for løsepengevirus. Selv om selskapet først ønsket ikke å innrømme dette, gikk det ikke lenge før de måtte ut og bekrefte at de var utsatt for løsepengevirus. Hendelsen skal ha skjedd den 19.11.

It's the flu season – FluBot, that is: Surge of info-stealing Android malware detected - The Register
Dette er en type «flu» som det er vanskelig å vaksinere seg mot. FluBot er tilbake i full styrke og garantert noen av dere har mottatt disse SMS. Telenor har oppdatert sitt varsel og de melder at på det meste så stoppet de 1.3 millioner SMS i døgnet.

Microsoft Defender scares admins with Emotet false positives - Bleepingcomputer
Jeg vil tro at mange analytikere fikk seg et sjokk når varslene begynte å komme inn. Microsoft har ikke publisert hvorfor disse falske positiver dukket opp i Defender (eller har MS byttet navn på produktet igjen?).

This shouldn't have happened: A vulnerability postmortem - Project Zero
Som vanlig publiserer Project Zero en interessant post om en sårbarhet, denne gang er det snakk om CVE-2021-43527. Det som jeg likte med posten, var at Tavis tok for seg hvorfor ikke denne sårbarheten ble plukket opp tidligere.

Investigating the Emerging Access-as-a-Service Market - Trendmicro
Veldig interessant artikkel om «Access-as-a-service» markedet. Om hvordan kriminelle selger tilganger, enten direkte tilgang (webshell) eller indirekte tilgang (bruker & passord til vpn etc) og hvordan markedet utvikler seg.
PS! Dette med «direkte» og «indirekte» tilgang er mine begreper og ikke artikkelens.

A mysterious threat actor is running hundreds of malicious Tor relays - The Record
En trusselaktør har operert antatt ondsinnede Tor relays i en årrekke. Aktøren, identifisert som KAX17, har operert «entry» og «middle» relays siden 2017. På toppen av aktiviteten opererte KAX17 900 Tor servere, som til vanlig har mellom 9-10 tusen servere på daglig basis. Det er også avvist at dette kan være forskning.

Verktøy & Prosjekter & Guider (og andre nyttige lenker)

RSS Proxy
RSS-proxy is a tool that allows you to do create an RSS/ATOM or JSON feed of almost any website, purely by analyzing just the static HTML structure.

Hacking Book Bundle - Humble Bundle
Masse e-bøker til en low low price.

Gcert - Github
This tool retrieves SSL/TLS certificate reports information from the Google Transparency Report for a given domain.