Veckans Cyber News sammanfattning

7:e augusti till 11:e augusti 2023

Content 

01. Vulnerabilities
02. News Bites
  • Ryssland den mest sannolika bakom hackning på Storbritanniens valkommission

  • Dataintrång på polisen för Nordirland understryker hot från insidan

  • Största cyberattacken mot amerikanska sjukhus på flera år orsakar signifikanta störningar

  • Cyberattacken på Capita i mars kostar förtaget över 25 miljoner pund

  • Tecken på att ökända ransomwaregrupper jobbar tillsammans med cyberattacker

03. Conclusion

Välkommen till vår veckosammanfattning av cybernyheter, där vi ger det senaste och viktigaste uppdateringarna från cybersäkerhetsvärlden.

Sårbarheter

 

Microsoft patchar två zero-days och över 80 andra brister

Microsoft har patchat 87 sårbarheter inkluderande två zero-days som aktivt utnyttjats. Den första vilken avslöjades i förra månaden identifieras som CVE-2023-36884.

Denna månad adresserade Microsoft den som en Windows Search Security Feature Bypass Vulnerability och släppte ADV230003 som en preventiv åtgärd mot dess utnyttjande.

Den andra zero-day, CVE-2023- 38180, siktar in sig på .Net och Visual Studio, och orsakar en systemkrasch. Action1s Mike Walters noterade dess 7.5 CVSS poäng vilket resulterat från dess potential för denial of service. CVE-2023-21709 har också dragit blickar mot sig med dess privilegieeskalering i Microsoft Exchange Server med ett CVSS poäng på 9.8.

Microsoft har också listat 20+ buggar för fjärrstyrning av kod. Noterbart är CVE-2023-29328 och CVE-2023-29330 i Microsoft Teams vilka kräver användarmedverkan i ett skadligt Teams-möte. Tre RCE-sårbarheter i Microsoft Message Queing Service har CVSS poäng på 9.8 men trots det ett lägre utnyttjande sannolikhet.

Quick News Bites

Ryssland den mest sannolika bakom hackning på Storbritanniens valkommission

Brittisk underrättelsetjänst har länkat dataintrånget på valkommissionen till rysk inblandning. Valkommissionen avslöjade den ”komplexa cyberattacken” av ”fientliga aktörer” denna vecka, intrånget startade dock i augusti 2021 och upptäcktes 14 månader senare.

Intrånget gav tillgång till valregister mellan 2014–2022, inkluderat utrikesröster och potentiellt äventyrat känslig e-postad information. Medan kommissionen uppgav att de åtkomna uppgifterna har låg risk att påverka individer så återstår frågor kring den långa tiden hackarna agerade oupptäckta. Förseningen med den publika avslöjningen hänförs till pågående undersökning och säkerhetsuppgraderingar.

Enligt en rapport i the Telegraph verkade intrånget utstråla ransomware signaler, vilket väcker rädslor för möjlig valinblandning. Hackarna kom också in i kommissionens e-mejlsystem. Det är inte känt vad som var åtkommet men kommissionen säger att all känslig information skickad av dess personal – såsom bankhandlingar – kan ha äventyrats.

Spänningen mellan Storbritannien och Ryssland har varit hög, speciellt sen Rysslands 2022 invasion av Ukraina. Trots att cyberattacken inträffade innan invasionen har den intensifierat spänningarna. Medan Ryssland toppar listorna på misstänkta är Kina på en stark andraplats då CCP sätter ett högt värde på att ”samla in” data för dess strategiska intressen.

Dataintrång på polisen för Nordirland understryker hot från insidan

Polisväsendet på Nordirland upplevde ett dataintrång som oavsiktligt exponerade namnen, rollerna och platser för både polis- och civilpersonal.

Läckan skedde efter en Freedom of Information begäran var av misstag genomförd med ett kalkylblad där den känslig informationen var med. Från polischefen till rankade officerare och administrativ personal, detaljer för alla PSNI medlemmar var med i dokumentet, dock var privata adress ett undantag. En omedelbar utredning startades för att förstå misstaget.

Läckan understryker inte bara potentialen för hot från insidan men också oavsiktliga insiderbrott, vilket betonar vikten av stränga dataskyddsåtgärder.

Största cyberattacken mot amerikanska sjukhus på flera år orsakar signifikanta störningar

En massiv cyberattack mot amerikanska sjukhussystem orsakade störningar som tvingade stängningar av akutmottagningar i flera stater och styrde om ambulanser.

Förra torsdagen startade ransomware-attacken fokuserad på Prospect Medical Holdings, vilka har faciliteter i Texas, Connecticut, Rhode Island och Pennsylvania som alla påverkades. Företaget stängde ned sina system och tog in cybersäkerhetsspeciallister.

I ett uttalande sa Prospect Medical att dem omvärderar sina system, potentiellt kommer det att kräva omläggning av möten och lovar att meddela påverkade patienter.

Cybersäkerhetsexperter noterade dem grava efterdyningarna på den redan stressade sjukvårdssektorn och betonade brådskan att digitalisera utan adekvata säkerhetsåtgärder under Covid-19 pandemin.

Cyberattacken på Capita i mars kostar förtaget över 25 miljoner pund

Capita avslöjar en finansiell smäll på upp till 25 miljoner pund som ett resultat på den cyberattacken dem utsattes för i mars vilket ledde till en förlust på nästan 68 miljoner innan skatt under den första halvan av året.

Attacken som orkestrerades av Black Basta ransomwaregruppen hackade Capitas Microsoft Office 365 och kom därigenom åt uppgifter på företagets anställda och vissa kunder.

Förtaget konfirmerade dataintrången och hävdar att enbart 0,1% av dess serveregendom äventyrats. Återhämtningsåtgärder har tagits och påverkade parter har notifierats. Under avslutningen av undersökningen erkänner Capita att dem lärt sig viktiga läxor.

Företaget, vilka används av lokala nämnder, militären och NHS i Storbritannien, omvärderade uppskattningen för den finansiella skadan från 15–20 miljoner till 20–25 miljoner pund. Dem tillskriver detta komplexiteten av dataanalys, återhämtningskostnader och cybersäkerhetsuppgraderingar.

Capitas aktier sjönk 12% efter rapporten och efter attacken rapporterade 90 entiteter dataintrång till Storbritanniens informationskommission betonar attackens bredare implikationer.

Tecken på att ökända ransomwaregrupper jobbar tillsammans med cyberattacker

Tidigare affilierade personer till ransomwaregruppen Hive kan ha gått med andra dark web entiteter vilket leder till spekulationer om att stora ransomware gäng samarbetar. Efter att rättsväsende lyckades stänga ned Hive i en samarbetes operation mellan FBI-Europol finns det teorier om att Hives affilierade kan ha transfererat över till Royal och Black Basta vilket skulle förklara likheterna i attackerna.

Säkerhetsanalytiker hos Sophos observerade kopplingar mellan tre ökända rasomwaregrupper: Hive, Royal och Black Basta. Cyberattacker tidigt i 2023 sas ha visat noterbara likheter i använda tekniker vilket tyder på potentiellt samarbete eller delning av invecklade tekniska specifikationer mellan grupperna.

Till exempel, återkommande användning av användarnamn och lösenord under deras systemintrång observerades. Dessutom, har liknande teknik som brukats tidigare använts vid varje tillfälle så som levererande av nyttolast i .7z arkiven namngivna efter offren och utförda med liknande kommandon.

Closing Summary

Om du är orolig över något utan hoten som beskrivits ovan i denna rapport eller behöver hjälp att avgöra vilka steg du behöver ta för att skydda från dem flesta väsentliga hot som din organisation står inför, vänligen ta kontakt med din kontoansvarige eller alternativt ta kontakt med oss för att ta reda på hur du kan skydda din organisation.

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.

Need advice?

If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.

More detailed threat intelligence news?

If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.

We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.

Security-first-stacked-logo4-No-Padding

Cyber Security Conference

LONDON | 28 April 2022
DUBLIN | 11 May 2022

Join us in Dublin or London for the Security First 2022 conference.  We'll be bringing together industry professionals and specialist experts to discuss the latest cyber security trends and offer actionable advice on preparing your business to put security first in 2022.