6e november till 10e november 2023
Den 30 oktober drabbades Querétaro Intercontinental Airport nära Mexico City av ett cybersäkerhetsintrång. En intensiv utredning inleddes för att mäta och bedöma effekterna och detaljerna kring incidenten. Ransomwaregruppen LockBit har tagit på sig ansvaret för denna cyberattack och listat flygplatsen på sin dataläckagesajt och utfärdat ett lösenkrav med en deadline den 27 november, med hot om att publicera de stulna uppgifterna om deras krav inte uppfylls. Denna händelse kommer i hälarna på ett liknande angrepp på Boeing, där gruppen började läcka känslig information denna vecka.
Den läckta Boeing-datan, som avslöjades på LockBits dark webplattform, innehåller känsliga uppgifter, inklusive detaljer om leverantörer av motordelar, tekniska operatörer och Boeings konfidentiella finansiella och marknadsföringsdata. LockBits avslöjande antydde också att Boeing kan ha ignorerat varningar från gruppen, vilket tyder på en vägran att betala lösensumman.
LockBit har varit aktiva sedan slutet av 2019 och har blivit kända för sina avancerade ransomwareattacker. Den senaste, känd som LockBit 3.0, anses vara den mest sofistikerade hittills. Gruppen är ansvarig för mer än 1 400 attacker över hela världen och rapporteras ha samlat in betydande lösensummor i Bitcoin.
I veckan meddelade Royal Malaysia Police att ett internationellt cyberbrottsyndikat, som varit aktivt sedan 2015 och erbjudit phishing-tjänster, har avvecklats. Den omfattande operationen var framgångsrik tack vare samarbete med australiensiska och amerikanska brottsbekämpande myndigheter.
Åtta personer greps, däribland sju malaysiska män och en thailändsk kvinna, efter att den federala polisen i Australien och FBI delat med sig av viktig information. Det Sabah-baserade syndikatet sålde phishing-kit och phishing-tjänster under namnet BulletProftLink. Gruppen komprometterade olika webbplatser, inklusive finans-, utbildnings- och myndighetsenheter, främst i Australien.
Syndikatet sålde stulna inloggningsuppgifter från phishing-bedrägerier. Den malaysiska polisens avdelning för utredning av kommersiella brott upptäckte ett betydande pengaspår och kopplade syndikatet till två investeringsbedrägerier, med förluster på totalt över 1,2 miljoner RM baserat på 37 inlämnade rapporter.
Under razzior på flera platser, inklusive Technology Park Malaysia, beslagtog myndigheterna servrar, en kryptovalutaplånbok värd cirka 965 808,80 RM (206215,25 USD), elektronik, smycken och fordon. Utredningarna har lett till att 17 utredningar inletts enligt lagen om datorbrott (Computer Crimes Act) och strafflagen (Penal Code). En mjukvaruutvecklare från Sabah visade sig vara ansvarig för att skapa phishing-mallarna och hade full tillgång till phishing-webbplatsen.
"Vi tror att de uppgifter som stulits genom deras phishing-tjänster sedan säljs på den mörka webben", säger den malaysiska polisen.
Marina Bay Sands (MBS) resort i Singapore har rapporterat ett dataintrång som påverkar 665 000 kunders personuppgifter. Brottet som upptäcktes den 20 oktober berodde på obehörig åtkomst till databasen för MBS lojalitetsprogram den 19 och 20 oktober.
De påverkade uppgifterna omfattar kundernas namn, e-postadresser, mobil- och telefonnummer, bosättningsländer samt lojalitetsmedlemsnummer och nivåer. Detta intrång kan potentiellt utsätta MBS kunder för riktade bedrägerier, phishing och social engineering.
I meddelandet om överträdelsen försäkras att det inte finns några bevis som tyder på att Sands Rewards Club-kasinomedlemmar har påverkats av denna säkerhetsincident.
MBS har meddelat alla berörda kunder om intrånget och de efterföljande riskerna. Efter intrånget informerade MBS omedelbart nödvändiga myndigheter i Singapore och internationellt.
Det är fortfarande oklart exakt hur omfattande intrånget var eller av vilken natur, men mönstret i attacken tyder på att det kan vara kopplat till en ransomwareincident, där förövarna ofta beslagtar data och kräver en lösensumma. Enligt de senaste rapporterna har ingen ransomwaregrupp tagit på sig ansvaret för intrånget på Marina Bay Sands.
"Den här typen av intrång sker på grund av att hotaktörer använder social engineering för att locka användarna att lämna ut sina uppgifter eller engångskoder för att kringgå multifaktorautentisering. Andra orsaker är försummelse av säkerhet och konfiguration; resorts som dessa har gäst- och öppna nätverk som kan ge hotaktörer åtkomst om de inte är korrekt konfigurerade eller om de senaste programuppdateringarna inte har installerats, vilket åtgärdar sårbarheter." Säger Integrity360s IR analytiker Durali Cingit.
USA, Sydkorea och Japan bildar en rådgivande högavancerad grupp för att motverka Nordkoreas cyberhot, som tros finansiera landets vapenprogram. Denna trepartsgrupp, som tillkännagavs av Sydkoreas presidentkontor, syftar till att stärka den gemensamma förmågan att reagera mot globala cyberhot och att utarbeta strategier för att blockera Nordkoreas cyberstödda finansiering av sin utveckling av kärn- och massförstörelsevapen. Möten kommer att äga rum kvartalsvis.
Bildandet av denna grupp kommer i kölvattnet av att FBI kopplar Nordkorea till betydande hackningar av kryptovalutor, inklusive stölder från Harmonys Horizon Bridge och Sky Mavis Ronin Bridge, en del av en större trend som identifierats med 3,8 miljarder dollar stulna enbart under 2022.
Dessutom håller en bilateral arbetsgrupp med Sydkorea och Australien på att inrättas för att samordna insatserna mot gemensamma hot. Detta initiativ ligger i linje med det ökade cybersamarbetet i Stillahavsområdet, t.ex. Quad Cybersecurity Partnership mellan USA, Indien, Japan och Australien, som fokuserar på att säkra programvara, leveranskedjor och data, mot bakgrund av oron för kinesiska cyberaktiviteter och geopolitiska spänningar.
If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation.
The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.
If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.
If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.
We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.
Integrity360's flagship conference Security First comes to Stockholm in 2023!
Join leading cybersecurity experts from across the community as we explore the latest threats and industry trends, and learn practical strategies to safeguard your organisation.