Globala cybersäkerhetsmyndigheter utfärdar råd om APT29:s avancerade taktik för molnutnyttjande
Storbritanniens nationella cybersäkerhetscenter (NCSC) har tillsammans med internationella partner utfärdat detaljerade råd om taktik, teknik och förfaranden (TTP) för APT29, även känd som Midnight Blizzard, the Dukes eller Cozy Bear. Gruppen misstänks vara en del av den ryska underrättelsetjänsten SVR, vilket bekräftas av amerikanska NSA, CISA, CNMF, FBI, ASD:s ACSC, CCCS och Nya Zeelands NCSC.
APT29 har varit inblandad i cyberspionage riktat mot en rad olika sektorer, inklusive regeringar, tankesmedjor, hälso- och sjukvård, energi, luftfart, utbildning, brottsbekämpning och militära organisationer för att få tillgång till underrättelser.
Dessa råd belyser APT29:s övergång till molnmiljöer i takt med att organisationer moderniserar sin infrastruktur. Gruppen har anpassat sina TTP:er för att rikta in sig direkt på molntjänster och har gått ifrån traditionellt utnyttjande av sårbarheter i programvara.
Taktiker som brute forcing, password spraying och utnyttjande av service- och vilande konton har observerats. Dessutom har APT29 använt molnbaserad tokenautentisering och kringgått multifaktorautentisering (MFA) genom tekniker som "MFA-bombning". Att registrera nya enheter hos molnhyresgäster och använda proxyservrar för att maskera skadlig internettrafik är också en del av deras utvecklade strategier.
I rådgivningen betonas vikten av grundläggande cybersäkerhet för att förhindra att sofistikerade hot som APT29 får åtkomst. Organisationer rekommenderas att skydda initiala åtkomstpunkter till molninfrastrukturer och att följa de beskrivna åtgärderna för att stärka försvaret mot sådana aktörer. I rapporten dras slutsatsen att det är avgörande att förhindra att APT29 får åtkomst till molninfrastrukturen, eftersom aktören efter intrånget kan använda avancerad kapacitet, vilket understryker hur viktigt det är för nätverksförsvarare att skydda sig mot dessa TTP:er för initial åtkomst.
FBI, CISA och HHS utfärdar varning om ALPHV/Blackcat Ransomware som riktar sig mot den amerikanska sjukvårdssektorn
Under tisdagen utfärdades ett gemensamt meddelande från FBI, CISA och Department of Health and Human Services (HHS) som belyser hotet från ALPHV/Blackcat ransomware-attacker, med fokus på sjukvårdssektorn i USA.
Denna varning bygger på tidigare varningar och visar på det ihållande hotet från cyberbrottsligan BlackCat, som tros vara en utveckling av DarkSide- och BlackMatter-grupperna. Sedan BlackCat uppstod i november 2021 har de kopplats till över 60 intrång under sina första fyra månader och rapporteras ha utpressat minst 300 miljoner dollar från mer än 1 000 offer fram till september 2023.
Rådgivningen visar att hälso- och sjukvårdssektorn har varit särskilt utsatt sedan mitten av december 2023, efter ALPHV Blackcat-administratörens uppmuntran till affilierade att fokusera på sjukhus. Denna strategiska inriktning kommer efter operativa åtgärder mot gruppens infrastruktur. De federala myndigheterna har betonat vikten av att genomföra cybersäkerhetsåtgärder för att minska riskerna och effekterna från sådana utpressningstrojaner och datautpressningsincidenter.
Dessutom belyses BlackCat ransomwares senaste taktik, inklusive att utnyttja ScreenConnect auth bypass vulnerability (CVE-2024-1709) för nätverksåtkomst. Denna metod användes enligt uppgift i en attack mot UnitedHealth Groups dotterbolag Optum, vilket påverkade Change Healthcares verksamhet. Trots att BlackCat-gängets infrastruktur stördes av brottsbekämpande myndigheter i december har gruppen lyckats fortsätta sin verksamhet, vilket tyder på ett motståndskraftigt och anpassningsbart hotlandskap. USA:s utrikesdepartement har erbjudit betydande belöningar för information som leder till gripandet av gängets ledare eller medarbetare, vilket understryker allvaret i det hot som BlackCat utgör för hälso- och sjukvårdssektorn och andra sektorer.
Lockbit Ransomware återkommer med ny läckagesida efter takedown från globala brottsbekämpare
Efter den stora polisinsatsen den 19 februari, som påstods ha stört LockBit ransomware-operationen i Nordamerika, Europa och Asien, har gruppen lanserat en ny läckagesajt som signalerar en snabb comeback.
I operationen beslagtogs 34 servrar, Tor-baserade läckagesajter togs över, kryptovalutakonton frystes och två personer som misstänktes för inblandning i LockBit greps. Myndigheterna förvärvade också 1 000 dekrypteringsnycklar för att hjälpa offren att återställa data utan att betala lösensummor. Som svar på dessa bakslag har den amerikanska regeringen erbjudit betydande belöningar för information som leder till gripandet av LockBits ledare och affilierade.
Trots dessa utmaningar meddelade "LockBitSupp", en individ associerad med ransomware-as-a-service (RaaS), att deras infrastruktur återställts och uppmanade affilierade att återansluta sig. Den nya läckagesajten listar hundratals offer och innehåller ett meddelande från LockBitSupp som diskuterar detaljerna i nedtagningen och deras planer på att förbättra verksamhetens säkerhet och decentralisering. LockBits framtid är dock fortfarande osäker, med minskande intresse från affilierade och tekniska problem som plågar gruppen, tillsammans med konkurrens från andra cyberbrottsenheter.
ThyssenKrupp Automotive Division drabbad av cyberattack, inleder snabba åtgärder för att begränsa angreppet
ThyssenKrupp AG, en ledande global ståltillverkare, bekräftade ett intrång i cybersäkerheten inom sin Automotive-division, vilket ledde till en tillfällig nedstängning av IT-systemen för att begränsa attacken. Incidenten, som var riktad mot enheten Automotive Body Solutions, identifierades snabbt av företagets IT-säkerhetsteam, vilket möjliggjorde omedelbara åtgärder för att begränsa angreppet. Även om specifika system och applikationer togs offline för att förhindra ytterligare obehörig åtkomst, försäkrade ThyssenKrupp att intrånget var begränsat till fordonssektorn och inte påverkade dess andra affärssegment. Företagets snabba svar syftar till att minimera störningar och säkerställa en snabb återgång till normal verksamhet.
Trots tidigare cyberattacker mot ThyssenKrupp för spionage och driftsstörningar är det fortfarande oklart vad som ligger bakom det senaste intrånget och vilka de ansvariga parterna är.
RCMP:s webbplats tillfälligt nere på grund av cyberattack
Royal Canadian Mounted Police (RCMP) drabbades nyligen av ett dataintrång som ledde till att deras webbplats tillfälligt inte var tillgänglig. Trots denna cybersäkerhetsincident försäkrar RCMP att dess verksamhet inte har påverkats och att det inte finns någon överhängande risk för kanadensiska medborgare. Efter intrånget skickade RCMP omedelbart ut ett meddelande till sina anställda för att redogöra för omständigheterna kring incidenten.
En talesperson för RCMP bekräftade också intrånget för media och betonade organisationens snabba svar för att hantera situationen. RCMP:s uttalande understryker deras åtagande att upprätthålla kanadensarnas säkerhet och anger att intrånget inte har äventyrat deras förmåga att skydda och betjäna allmänheten.
