Ukrainska hackare slår till mot Moskvabaserad internetleverantör som hämnd för Kyivstar-attack
Hackare med koppling till Ukrainas underrättelsetjänst har tagit sig in i systemen hos en Moskvabaserad internetleverantör, M9 Telecom, som svar på ett ryskt cyberangrepp mot Ukrainas största mobiloperatör, Kyivstar. Gruppen, känd som "Blackjack" och kopplad till Ukrainas säkerhetstjänst (SBU), raderade enligt uppgift 20 terabyte data från M9 Telecom vilket störde internettjänsterna i delar av Moskva. Denna handling beskrevs som en föregångare till en mer omfattande cyberoperation avsedd som "allvarlig hämnd för Kyivstar". Den exakta tidpunkten för attacken är fortfarande oklar.
Något svar från M9 Telecom på förfrågningar om incidenten finns inte tillgängligt, och dess webbplats förblev operativ trots hackarnas påståenden om att den förstörts. M9 Telecoms VD, Andrey Pavolvsky, avböjde att kommentera när han kontaktades.
Förra månaden drabbades Kyivstar av ett omfattande avbrott som tillskrevs ryskt spionage. Den ukrainske cyberspionchefen Illia Vitiuk avslöjade att ryska hackare hade infiltrerat Kyivstars nätverk i flera månader, vilket resulterade i betydande skador. Dessutom avslöjade Ukrainas militära underrättelsetjänst att man tagit emot känslig rysk militär information från Special Technology Centre (STC), en rysk entitet som straffats för att ha levererat drönare och underrättelseverktyg till Moskva.
Varningar utfärdade över Apache OFBiz Authentication Bypass Vulnerability
Apache OFBiz, ett ERP-system (Enterprise Resource Planning) med öppen källkod, drabbades nyligen av kritiska säkerhetsproblem, identifierade som CVE-2023-49070 och CVE-2023-51467. Dessa sårbarheter, med en hög CVSSv3 Base Score på 9,8, innebär en kritisk allvarlighetsgrad.
CVE-2023-49070, som upptäcktes i versioner före 18.12.9, åtgärdades ursprungligen den 4 december 2023. Sårbarheten härrörde från en föråldrad XML-RPC-komponent i Apache OFBiz 18.12.09, vilket möjliggjorde fjärrexekvering av kod (RCE) före autentisering. Patchen tog bort XMLRPC-slutpunkten och OFBiz XMLRPC Library, men det löste inte det underliggande problemet helt och hållet. Angripare kunde fortfarande kringgå autentiseringen, vilket ledde till Server-Side Request Forgery (SSRF).
CVE-2023-51467 dök upp och riktade in sig på versioner före 18.12.10. Den efterföljande korrigeringen, som släpptes den 26 december 2023, syftade till att helt åtgärda problemet med autentiserings bypass som inte lösts av den tidigare korrigeringen.
Båda sårbarheterna är mycket allvarliga och gör det möjligt för oautentiserade angripare att köra kod på distans, vilket kan leda till full kontroll över servern, datastöld, driftstörningar eller spridning av skadlig kod.
Användare uppmanas att omedelbart uppgradera till Apache OFBiz version 18.12.11 eller senare, eftersom dessa versioner innehåller nödvändiga patchar och korrigeringar för dessa sårbarheter.
Dekrypterare för variant av Babuk ransomware släppt
Cybersäkerhetsforskare i samarbete med den nederländska polisen gjorde ett betydande genombrott i kampen mot Tortilla-varianten av Babuk ransomware. Samarbetet ledde till förvärv av ett dekrypteringsverktyg och gripandet av ransomwareoperatören i Amsterdam.
Tortilla, en variant som dök upp efter att källkoden till Babuk-malware läckt ut på nätet, har utnyttjat Microsoft Exchange-servrar med hjälp av ProxyShell-sårbarheter. Till skillnad från den ursprungliga Babuk, som forskarna hade utvecklat en dekrypterare för, använde Tortilla en unik privat nyckel, vilket gjorde det befintliga verktyget ineffektivt.
Det avgörande ögonblicket kom när forskare, i samarbete med nederländska myndigheter, fick tag på en dekrypterare direkt från ransomwareoperatören avsedd för offer som hade betalat lösensumman. Verktyget innehöll ett enda nyckelpar som användes i alla attacker. Cisco Talos delade den här nyckeln, vilket möjliggjorde en uppdatering av Babuk-dekrypteraren för att inkludera Tortilla-dekrypteringsnyckeln bland de befintliga fjorton ECDH-25519-nycklarna från 2021 års läcka.
Denna utveckling har bredare implikationer i kampen mot ransomware. Sedan december 2021 har flera operationer som använder Babuk-koden, såsom Rook, Night Sky, Pandora, Nokoyawa Cheerscrypt, AstraLocker 2.0, ESCiArgs, Rorschach, RTM Locker och RA Group, dykt upp. Cisco Talos understryker att Tortilla inte är ett isolerat fall och att den pågående kampen mot ransomware fortsätter.
Offer för Babuk-varianten kan nu få tillgång till Avasts uppdaterade generiska dekrypteringsverktyg gratis, vilket ger lättnad och ett sätt att återställa krypterade data utan att ge efter för lösensummekrav.
Lockbit tar på sig ansvaret för attacken mot Capital Health i november
Ransomware-gruppen LockBit har tagit på sig ansvaret för cyberattacken i november 2023 mot USA-baserade Capital Health, en stor vårdgivare i New Jersey och Pennsylvania. Attacken ledde till betydande IT-störningar och Capital Health bekräftade ett avbrott i IT-systemen i november förra året. Även om verksamheten sedan dess har återupptagits med förbättrade säkerhetsåtgärder fortsätter utredningen om potentiell datastöld.
LockBit listade Capital Health på sin dataläckagesajt och hotade att publicera sju terabyte stulen medicinsk data om deras lösenkrav inte uppfylls. Intressant nog säger LockBit att de undvek att kryptera filer för att inte störa patientvården, utan valde i stället datastöld.
Trots allmänna riktlinjer mot att rikta ransomware mot vårdgivare har LockBit varit inblandad i liknande attacker mot vårdinrättningar, inklusive SickKids och sjukhus i Tyskland och New York.
Dessa incidenter belyser hotet från ransomware inom sjukvården, med risker som dataintrång och ekonomiska påfrestningar, även utan direkta driftstörningar.
