Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

EasyJet hackat

| Linda Kante

Flygbolaget EasyJet har utsatts för ett stort dataintrång där nio miljoner kunders e-postadresser och reseinformation samt 2208 kreditkortsuppgifter har stulits. Den detaljerade informationen kommer sannolikt säljas mellan hackare och användas som bete för riktade phishing-attacker mot kunder, särskilt i e-postmeddelande som påstår sig komma från EasyJet eller ett dotterbolag.

Det finns tillräckligt med personlig information i de stulna dokumenten för att hackare ska kunna gå på de utsatta och försöka lägga beslag på ytterligare information eller utsätta dem för bedrägeriförsök. Hackare kommer sannolikt också försöka lura kunder att avslöja ytterligare personuppgifter med hjälp av riktat nätfiske.

– Det är bara ett sifferspel för hackare, eftersom de enkelt kan skicka tiotusentals e-postmeddelanden i hopp om att lura en handfull kunde. Kunder som berörs bör vara misstänksamma mot e-postmeddelanden eller till och med telefonsamtal som kan relateras till överträdelsen, och man bör inte ge bort ytterligare personlig information. Kunder bör också vara vaksamma på misstänkta kreditkorttransaktioner. Vi har sett en kraftig ökning av phishing- och cyberattacker under de senaste veckorna, många relaterade till pandemin. Jag skulle inte bli förvånad om vi får se fler attacker som utförs med hjälp av den stulna datan, säger Andy Wright, säkerhetsexpert hos Check Point.

Coronarelaterade cyberattacker har ökat med 30 procent

| Linda Kante

De senaste två veckorna har forskare på IT-säkerhetsföretaget Check Point dokumenterat 192 000 cyberattacker per vecka relaterade till corona, vilket är en ökning med 30 procent jämfört med föregående veckor. Under pandemin har forskarna också kunnat utläsa olika teman och trender som de cyberkriminella följer.

Teckna din prenumeration på Aktuell Säkerhet här

Världshälsoorganisationen WHO är ett populärt namn som hackare utger sig för att vara. Nyligen skickade cyberkriminella skadliga e-postmeddelanden som såg ut att komma från WHO om det första covid-19-vaccinet. Meddelandena var dock avsedda för nätfiske, så kallad phishing. Mottagarna uppmanades att öppna en bifogad fil som då innehåller trojanen Agent Tesla. Trojanen används sedan för att lägga beslag på viktig information, som wifi-lösenord och e-postinloggning.

Under de senaste tre veckorna registrerades ungefär 2 450 nya domäner relaterade till Zoom, där 13 procent är misstänkta och 1,5 procent skadliga. Sedan januari i år har totalt 6 766 Zoom-domäner registrerats globalt. Detta innebär att nästan 37 procent av domänerna relaterade till Zoom registrerades under de senaste tre veckorna under pandemin.

Microsoft Teams och Google Meet används också för att locka människor i olika IT-fällor. Nyligen skickades e-postmeddelanden med phishing där det stod att man har lagts till i ett nytt team i Microsoft Teams. E-postmeddelandena innehöll en skadlig URL och mottagarna riskerade ladda ner skadlig programvara om de klickade på länken. Det förekommer också falska domäner relaterade till Google Meet.

Trojan sprids med coronamejl om mänskligt vaccin

| Linda Kante

Cyberkriminella fortsätter att utnyttja covid-19-pandemin för att sprida skadlig kod. Bland annat har en e-postkampanj initierats som ser ut att komma från WHO med information om ett vaccin för människor.

Teckna din prenumeration på Aktuell Säkerhet här

Ämnesraden löd “URGENT INFORMATION LETTER: FIRST HUMAN COVID-19 VACCINE TEST/RESULT UPDATE”. Mottagarna uppmanas att öppna en bifogad fil som då innehåller en ny trojan, Agent Tesla. Trojanen används sen för att lägga beslag på viktig information, som wifi-lösenord och e-postinloggning.

– Cyberkriminella är snabba på att utnyttja nyheter som väcker stort intresse. Rapporten visar att Agent Tesla redan påverkat 3 procent av verksamheterna globalt, men att den ännu inte fått lika stor spridning i Sverige, , säger Mats Ekdahl, säkerhetsexpert hos Check Point.

Rapporten visar att RigEk ver den den mest utbredda skadliga koden i Sverige i april. RigEk omdirigerar användare till en landningssida där ett JavaScript letar efter plug-ins med säkerhetshål, för att leverera den skadliga koden. RigEk har större utbredning i Sverige än i resten av världen. 3,3 procent av verksamheterna i Sverige påverkades under april, medan bara 1,58 procent i resten av världen.

Lika utbredd var den skadliga koden XMRig, en öppen källkodsbaserad CPU-grävare för kryptovalutan Monero. Den påverkade också 3,3 procent av verksamheterna i Sverige under april.

Regeringar måltavlor i femårig spionkampanj

| Linda Kante

Säkerhetsforskare på Check Point har avslöjat ett femårigt cyberspionage, som fortfarande pågår. Spionaget riktas mot flera regeringar i Asien och Stillahavsområdet och utförs av en kinesisk hackergrupp. Första gången gruppen Naikon attackerade myndigheter i länder runt Sydkinesiska havet på jakt efter politisk information var 2015. Samma år försvann sedan Naikon från radarn och hittades först nu.

Teckna din prenumeration på Aktuell Säkerhet här

Check Points forskare kan inte bara bekräfta att gruppen har varit aktiv de senaste fem åren, utan Naikon har också utökat sin verksamhet under 2019 och början av 2020. Naikons främsta attackmetod är att infiltrera regeringsorgan och sedan använda interna kontakter, dokument och data för att starta attacker mot andra, samt att utnyttja förtroendet och de diplomatiska förbindelserna mellan avdelningar och regeringar för att öka chansen att lyckas med attackerna.

Naikon går till väga på följande sätt:

De börjar med att skapa ett e-postmeddelande och ett dokument som innehåller information av intresse för mottagaren. Detta kan baseras på information från öppna källor eller intern information, som de kommit över när de infiltrerat andra system, för att undvika upptäckt. Naikon lägger sedan till den skadliga koden ”Aria-body” för att få tillgång till nätverket. Forskarna kunde se att Naikon använder regeringarnas infrastrukturer och servrar för att starta nya attacker, vilket gör att de inte upptäcks lika lätt. I ett exempel hittade forskarna en server som används för attacker tillhörande den filippinska regeringens avdelning för vetenskap och teknik.

– Det som verkar driva dem är målet att samla in information och spionera på länder, och de har i tysthet tillbringat de senaste fem åren på att utveckla sina färdigheter och introducera ett nytt cybervapen med hjälp av Aria-body. För att undvika att upptäckas utnyttjar de skadlig kod som används av flera hackergrupper och de använder också sina offers servrar som kommando- och kontrollcenter. Vi har publicerat denna forskning för att varna och ge alla statliga institutioner bättre möjligheter att upptäcka Naikons eller andra hackergruppers aktiviteter, säger Mats Ekdahl, säkerhetsexpert hos Check Point.

Ryskt ransomware angriper Androidenheter

| Linda Kante

”Black Rose Lucy” är ett Malware-as-a-Service (MaaS)-botnet och en så kallad dropper – det vill säga en slags trojan som installerar skadlig kod – med ursprung i Ryssland, som angriper Androidenheter. Lucy upptäcktes först av säkerhetsforskare på Check Point i september 2018 och är nu tillbaka, efter nästan två år. 

Teckna din prenumeration på Aktuell Säkerhet här

Det återvändande botnetet besitter numera ransomware-funktioner som gör det möjligt att ta kontroll över enheter för att göra olika ändringar och installera nya skadliga applikationer. Lucy utger sig för att vara en app för videouppspelning. Vid nedladdning krypteras dock filer på den infekterade enheten och visar en text i webbläsaren som påstås vara ett officiellt meddelande från FBI, där den drabbade anklagas för att ha pornografiskt innehåll på sin enhet. Meddelandet anger också att användarens uppgifter har laddats ner till FBIs cyberbrottsavdelning och att enheten kommer att låsas, följt av en lista över juridiska brott som användaren anklagas för att ha begått. Den drabbade uppmanas betala 500 dollar i böter genom att fylla i sina kreditkortsuppgifter, något som är anmärkningsvärt eftersom de flesta ransomware-attacker utnyttjar BitCoin.

Check Points forskare har upptäckt mer än 80 förekomster av den nya varianten av Lucy, vilka främst har spridits via länkar i sociala medier och meddelandeappar.

– Vi ser en snabb utveckling av ransomware på mobila enheter. Skadlig programvara för mobila enheter blir allt mer sofistikerad och effektiv. Hackarna lär sig snabbt baserat på sina tidigare erfarenheter och kopplingen till FBI är en tydlig skräcktaktik. Förr eller senare räknar vi med att mobila enheter kommer drabbas av en stor skadlig ransomware-attack. Det är ett otäckt, men verkligt faktum. Vi uppmanar alla att tänka till två gånger innan de accepterar eller aktiverar någonting när de söker efter videor på sociala medier, säger Mats Ekdahl, säkerhetsexpert hos Check Point.

 

Hackergrupp som kommit åt miljonbelopp avslöjad

| Linda Kante

Säkerhetsforskare på Check Point har upptäckt en miljonkupp där en sofistikerad hackergrupp, som forskarna kallar ”The Florentine Banker”, försökt lägga beslag på 1,1 miljoner brittiska pund (motsvarande över 13 miljoner kronor).

Teckna din prenumeration på Aktuell Säkerhet här

Gruppen har riktat in sig på tre brittiska private equity-företag. I månader bevakade Florentine Banker sina offer, manipulerade e-postkorrespondens och registrerade olika tvilling-domäner för att kunna lägga beslag på stora banköverföringar. Sammantaget försökte gruppen vid fyra olika tillfällen att överföra totalt 1,1 miljoner brittiska pund till okända bankkonton. Check Points insatser gjorde att hälften av pengarna kunder räddas (570 000 brittiska pund), medan hackergruppen kom undan med resten. Under utredningen har Check Points forskare också identifierat att hackergruppen köpt en rad andra domäner som inte är relaterade till de nu aktuella offren, vilket kan indikera att hackarna förbereder fler liknande attacker.

– I vår kartläggning av hackergruppens agerande kan vi se att de har jobbat systematiskt i veckor för att komma åt nyckelpersoners e-post och sedan metodiskt försöka lägga beslag på ytterligare information tills de till slut kom åt företagens kontouppgifter, säger Mats Ekdahl, säkerhetsexpert hos Check Point. Totalt har vi kunnat se att hackergruppen köpt ytterligare 39 domäner vilket vittnar om att fler företag har eller kommer att utsättas för liknande kupper.

Ny ransomwaretrend: Double exortion

| Linda Kante

Double exortion är en ny trend inom utpressningsmjukvara och innebär att cyberkriminella lägger till ytterligare ett steg i en ransomwareattack. Innan hackarna krypterar den attackerades databas drar de ut stora mängder känslig information, som exempelvis kunddata, finansiella uppgifter, personlig information om anställda eller patientjournaler, och hotar att publicera den om inte lösensumman betalas.

Teckna din prenumeration på Aktuell Säkerhet här

– Double extortion är en tydlig och starkt växande attacktrend inom ransomware, som vi sett flera exempel på under första kvartalet i år. Det finns anledning att vara särskilt oroliga över att sjukhus och sjukvård utsetts för denna typ av attacker just nu, när de är i en särskilt ansträngd situation, säger Mats Ekdahl, säkerhetsexpert på Check Point.

Det första kända fallet av dubbel utpressning skedde i november 2019 och drabbade Allied Universal, ett stort amerikanskt säkerhetsbemanningsföretag. När de utsatta vägrade att betala lösensumman på 300 Bitcoins (cirka 2,3 miljoner USD) hotade angriparna att använda känslig information som de kommit över från Allied Universals system. Med hjälp av stulna e-post- och domännamncertifikat planerade de att iscensätta en skräppostkampanj som såg ut att komma från Allied Universal. För att bevisa att de menade allvar publicerade angriparna valda delar av de stulna filerna, där bland annat avtal, medicinska journaler och krypteringscerifikat ingick. I ett senare inlägg på ett ryskt hackerforum inkluderade angriparna en länk till vad de påstod vara 10 procent av den stulna informationen tillsammans med ett nytt krav på en lösensumma som var 50 procent högre än den första.

Sofistikerad banktrojan sprider sig snabbt globalt

| Linda Kante

Den ökända banktrojanen Dridex tagit sig in bland de tio vanligaste hoten under mars. Det visar IT-säkerhetsföretaget Check Points senaste rapport över utvecklingen av skadlig kod.

Teckna din prenumeration på Aktuell Säkerhet här

Dridex dök först upp 2011 och riktar in sig på Windows-plattformar, där den initierar skräppostkampanjer som infekterar datorer och stjäl information och uppgifter för att komma åt bankkonton och andra finansiella tjänster. Den skadliga koden har utvecklats och uppdaterats under 2010-talet. I sin nuvarande form dyker den främst upp i form av en skadlig Excel-bilaga, som kan installera Dridex på mottagarens dator. Dridex finns ännu inte bland de tio vanligaste hoten i Sverige.

– Dridex är effektiv och kan ge cyberkriminella snabb ekonomisk vinning, säger Mats Ekdahl, säkerhetsexpert på Check Point Sverige. Även om Dridex inte är lika utbredd i Sverige som i resten av världen är det viktigt att vara försiktig med e-postbilagor och säkerställa att de kommer från tillförlitliga avsändare.

I Sverige är den skadliga koden XMRig den mest utbredda. XMRig är en öppen källkodsbaserad CPU-grävare för kryptovalutan Monero, som först identifierades i maj 2017. XMRig har påverkat 6,7 procent av verksamheterna i Sverige och 5 procent i världen.

Coronavirusappar används för att ta över Androidenheter

| Linda Kante

IT-säkerhetsföretaget Check Point har identifierat skadliga applikationer förklädda som oskadliga coronavirusappar, men som i själva verket är utformade för att ta kontroll över din Android-enhet. När det skadliga programmet har installerats kan hackare fjärrstyra enheten och får då tillgång till offrets samtal, SMS, kalender, filer, kontakter, mikrofon och kamera.

Teckna din prenumeration på Aktuell Säkerhet här

De skadliga apparna hittades inte i Google Play Store, men upptäcktes på nya domäner relaterade till corona som forskarna menar har skapats specifikt för att lura stora grupper genom att utnyttja rädslan kring coronaviruset. Mest skrämmande är hur snabbt och enkelt dessa appar kan ta över mobila enheter.

Efter upptäckten började Check Points forskare att spåra de skadliga applikationernas ursprung. Apparna skapades via Metasploit, ett ramverk för gratis penetrationstester som gör det enkelt att hacka. Med Metasploit kan alla med grundläggande datorkunskaper skapa liknande skadliga appar på bara 15 minuter. I det här fallet riktade Metasploitapparna in sig på vanliga människor som söker efter information om coronaviruset.

– Vi lever i mycket svåra tider. Det finns inte bara ett fysiskt hot från coronaviruset, utan också ett betydande cyberhot. Hackare utnyttjar rädslan för coronaviruset genom att skapa skadlig programvara som har namn och ikoner som tyder på att de är ofarliga och relaterade till coronaviruset, men sanningen är att de är fällor. I det här fallet är det oroande hur snabbt och enkelt det är att skapa dessa förklädda coronavirus-appar. Kontrollera extra noga vilka domäner ni klickar på i dessa dagar, säger Aviran Hazum, chef för forskning kring mobila enheter hos Check Point.

IT-säkerhetsavdelningar oroliga i distansarbetestider

| Linda Kante

IT-säkerhetsföretaget Check Point släpper nu resultatet av en ny undersökning som tittat närmare på hur företags IT-säkerhet påverkats av coronapandemin.

Teckna din prenumeration på Aktuell Säkerhet här

– Vi har kunnat konstatera att de cyberkriminella utnyttjar att många anställda arbetar hemma och samtidigt finns ett stort intresse för och en oro över pandemin, som gör användare extra sårbara för nätfiske via falska webbsidor om pandemin, säger Mats Ekdahl, IT-säkerhetsexpert på Check Point. Den nya undersökningen bekräftar också att många företag har utmaningar att erbjuda den säkerhet som verksamheten kräver under denna speciella situation.

Undersökningen visar bland annat att:

  • 71 procent av IT-säkerhetsavdelningarna upplevt ett större antal säkerhetshot och attacker under pandemin. De vanligaste attackerna är nätfiskeförsök (som 55 procent av de tillfrågade uppger att de upplevt), webbplatser som erbjuder information eller råd om covid-19 men som egentligen innehåller skadlig kod (32 procent). 28 procent uppger också att de upplevt en ökning av skadlig kod och 19 procent en ökning av ransomware.
  • 95 procent uppger att de har extra stora säkerhetsutmaningar i och med att så många anställda arbetar på distans. 56 procent av de tillfrågade uppger att det är en utmaning att förse de anställda med säker fjärråtkomst, 55 procent att de har utmaningar med skalbara lösningar för fjärråtkomst och 47 procent att de anställda använder skugg-IT, vilket är otestade lösningar och programvara som inte tillhandhållits av verksamhetens IT-avdelning.
  • 61 procent av IT-säkerhetspersonalen var orolig över att de snabba förändringarna av IT-miljön för att möjliggöra fjärrarbete innebär säkerhetsrisker, 55 procent tycker att säkerheten måste förbättras för att fjärråtkomsten ska bli säker och 49 procent är oroliga över att inte ha säkerhetslösningar som täcker alla slutanvändarenheter.

Undersökningen baseras på svar från 411 respondenter (från IT-eller säkerhetsavdelningar) i verksamheter med fler än 500 anställda över hela världen och har genomförts av Dimensional Research på uppdrag av Check Point.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29