28:e augusti till 1:a september 2023
Tre kryptovalutaföretag, FTX, BlockFi och Genesis har fått hantera dataintrång efter en SIM bytesattack på det finansiella rådgivningsföretaget Kroll. Angriparen lyckades byta en anställds T-Mobile nummer på dess SIM-kort vilket möjliggjorde obehörig tillgång till Krolls system. Dessa filer hade personliga data från konkurssökande länkade till dem tre företagen.
Efter intrånget upptäckts tog Kroll snabbt handling för att skydda kontona hos de påverkade företagen och informerade dem berörda partierna via e-post. Enligt utsago från Kroll, ”Vi har inga bevis som tyder på att andra system eller konton har påverkats. Vi arbetar nära FBI med en fullskalig utredning.”
FTX larmade dess användare att angriparen kommit åt detaljer som namn, adresser, e-post och FTX kontosaldo. FTX klargjorde dock att kontolösenord inte var hos Kroll och att deras digitala tillgångar därav fortfarande var säkra. Kunder uppmanades att vara uppmärksamma på potentiella bedrägerier.
Strax efter dessa annonseringar uppgav vissa FTX-användare att dem fått vilseledande e-post där det föreslogs att de nu kunde ta ut pengar från deras konton. Genesis och BlockFi har också informerat deras användare om intrånget. Genesis angav att den äventyrade informationen innefattade namn, adresser och fodringar mot Genesis gäldenärer. Bägge företagen betonade risken för ökade phishing mejl och bedrägerisamtal.
Hackare störde järnvägstrafiken i nordvästra Polen under helgen, då de använde frekvenser för att spela Rysslands nationalsång samt ett tal av president Vladimir Putin, som rapporterat av den polska pressbyrån (PAP).
Under incidenten sände hackarna signaler nära Szczecin och stoppade runt 20 tåg. Trafiken återupptogs inom timmar av avbrottet. Under söndagen kunde polska polisen häkta 2 polska män, vid 24 och 29 års ålder, i Bialystok, misstänkte för hackningen in i den nationella järnvägens kommunikationer. Radioutrustning konfiskerades från deras bostäder.
Järnvägsnätverket hade först hackats under fredagsnatten nära Szczecin vilket störde flertalet tåg. Vidare attacker registrerades under helgen runt om landet, men utan signifikanta störningar.
Polens roll i stödet av Ukraina och dess nyckelposition vid sändningar av vapen har gjort det till en måltavla. Byrån för inre säkerhet konfirmerade deras undersökning av händelsen. Stanislaw Zaryn från specialoperationer meddelade för PAP att det har under månader pågått ansträngningar av Ryssland, i samarbete med Belarus, att destabilisera Polen. Han försäkrade dock de senaste cyberattackerna inte påverkade passagerarnas säkerhet.
Verktyg som används vid hackning av nyckellösa bilar kan snart vara olagliga i Storbritannien efter diskussioner mellan ministrar och polischefer, detta som respons på en 25% ökning av fordonsstölder. Det föreslagna förbudet fokuserar på försäljning och innehav av apparater som nyckellösa repeatrar, signalstörare och relaterade hackningsverktyg, vilka tros vara de största bovarna bakom ökningen av fordonsstölder i Storbritannien, som nådde 130 389 st i 2022.
Polisen tillskriver de flesta stölderna till organiserade brottssyndikat som målsätter sig på dyrare bilar för export eller demontering i ”chop shops”. De använder sig ofta av störningsapparater för att neutralisera GPS-spårare. Tjuvar utnyttjar typiskt ”relays” och ”repeaters” för att fånga upp nyckellösa fob signaler, vilka senare används för att låsa upp bilarna. För att bemöta detta har biltillverkare uppgraderat säkerheten och uppmanar ägarna att skydda sina nycklar med ”faraday väskor”.
Den nationella brottsbyrån noterar en ökning av kriminella som använder sig av avancerade verktyg för att förbikoppla nyckellösa system eller direkt hacka sig in i bilarna. Dessa hackningsenheter, som säljs för ca 2 500 pund online eller via krypterade meddelandeplattformar som Telegram, infiltrerar bilens interna nätverk och underlättar obehörig access.
Säkerhetsexperter har identifierat tre malware loaders som tillsammans utgör 80% av dator-och nätverksattacker i år, det är QBot, SocGholish och Raspberry Robin. Mellan januari och juli var QBot (också känd som QakBot, QuackBot och Pinkslipbot) den mest observerade loadern, ansvarig för 30% av intrången, SocGholish följde på 27% och Raspberry Robin med 23%.
Loaders spelar en mellanhand i malware attacker. Efter att ha aktiverats på offrets system, ofta bifogat via e-post eller en systemsårbarhet, ser dem till att ha en ständig närvaro och hämta den primära skadliga koden, så som ransomware. Att identifiera och blocka en loader kan förebygga en bredare malwareattack. Som ReliaQuest noterar dock, vad som förhindrar en loader behöver inte funka på en annan.
QBot, en 16 år gammal bank-trojan, har utvecklats till att leverera ransomware, stjäla data och möjliggöra lateral rörelse i nätverk. Nyligen tog den upp nya sätt att leverera malware, inkluderat användning av illvilliga OneNote filer i phishing mejl.
SocGholish, en JavaScribt-baserad malware länkad till Rysslands Evil Corp, maskerar sig oftast som fejkuppdatering. Den ledde nyligen ”aggressiva vattenhålsattacker” där signifikanta organisationers websidor äventyrades.
Sist, Raspberry Robin, som siktar in sig på Windows, har utvecklats från en mask som spridits via USB-enheter, och primärt levererar ransomware.
Purfoods, en hälsofokuserad matlevereringföretag baserat i USA, larmade över 1.2 miljoner kunder om ett potentiellt dataintrång tidigare i veckan. Detta intrång kan ha äventyrat personliga, finansiella och medicinska detaljer. I januari rapporterades det att kriminella infiltrerade Purfoods nätverk via ransomware, krypterade specifika filer och extraherade kunddata.
En efterföljande utredning avslöjade filer innehållande privata och hälsorelaterad information om vissa kunder, så som namn, socialt säkerhetsnummer, medicinsk information och detaljer kring kontots finanser. Medan företaget har informerat USA:s hälso- och socialdepartement i linje med HIPAA föreskrifter så har dem också sökt extern assistans för att förstärka säkerheten och har erbjudit gratis kredituppföljning för dem påverkade individerna under ett år. Dock, med de senaste incidenterna som påverkat kredibiliteten på deras kredituppföljningspartner, Kroll, har Purfoods också delgett information till offren för att hjälpa till att skydda mot identitetsstöld. Efter denna incident har flera advokatbyråer siktat in sig på de påverkade kunderna, vilket understryker en risk för kommande legala utmaningar för Purfoods.
Om du är orolig över något utan hoten som beskrivits ovan i denna rapport eller behöver hjälp att avgöra vilka steg du behöver ta för att skydda från dem flesta väsentliga hot som din organisation står inför, vänligen ta kontakt med din kontoansvarige eller alternativt ta kontakt med oss för att ta reda på hur du kan skydda din organisation.
The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.
If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.
If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.
We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.
Join us in Dublin or London for the Security First 2022 conference. We'll be bringing together industry professionals and specialist experts to discuss the latest cyber security trends and offer actionable advice on preparing your business to put security first in 2022.