Group Health Cooperative of South Central Wisconsin drabbas av ransomware-attack
Group Health Cooperative of South Central Wisconsin (GHC-SCW) har utsatts för en omfattande ransomware-attack som påverkar 533 809 personer.
Incidenten, som identifierades den 25 januari 2024, omfattade inte datakryptering men ledde till obehörig exfiltrering av känsliga uppgifter. GHC-SCW har identifierat angriparen, men har inte offentliggjort dennes identitet. I mars tog dock ransomware-gruppen Blacksuit på sig ansvaret på sin läckagesajt.
Dessutom hävdar hotaktören att man har fått tillgång till patienters finansiella information, uppgifter om anställda, affärskontrakt och e-postkorrespondens. Komprometterade uppgifter kan innehålla namn, adresser, telefonnummer, e-postadresser, födelsedatum och/eller dödsdatum, social security-nummer, medlemsnummer och Medicare/Medicaid-nummer.
Trots deras påståenden finns det för närvarande inga bevis för att de läckta uppgifterna har utnyttjats.
Incidenten belyser behovet av robusta cybersäkerhetsåtgärder, t.ex. NDR-system (Network Detection and Response) och SIEM-system (Security Information and Event Management). Dessa hade potentiellt kunnat upptäcka dataexfiltreringen, vilket understryker behovet av förbättrad nätverkssynlighet och realtidsövervakning för att undvika liknande incidenter.
SharePoint Logging Evasion Techniques avslöjade
Ny forskning har avslöjat två nya tekniker som underlättar kringgående eller manipulering av SharePoint-auditloggar, vilket väcker betydande oro med tanke på SharePoint:s utbredda användning av företag globalt.
Dessa metoder möjliggör obehöriga filnedladdningar utan upptäckt, vilket utgör en hög risk för konfidentiell företagsinformation. Den första tekniken utnyttjar funktionen "Open in App", som endast loggas som en "Access"-händelse, vilket gör nedladdningsaktiviteten mindre iögonfallande. Den andra metoden innebär att användaragentsträngen förfalskas för att efterlikna Microsoft SkyDriveSync-anrop, vilket ser ut som en rutinmässig "FileSyncDownloadedFull"-händelse.
Bristerna rapporterades först av Varonis Threat Labs i november 2023, men på grund av att de är så pass måttliga planeras korrigeringar i framtida uppdateringar.
Ett stort antal åtkomsthändelser bör undersökas. Genom att begränsa användarnas åtkomst till de filer de behöver kan man minska den möjliga omfattningen av en attack från en enskild användare. Synkroniseringshändelser bör övervakas med avseende på misstänkt aktivitet, t.ex. konstiga arbetstider eller ovanliga åtkomstplatser.
Sårbarheter i Fortinet: En trio av säkerhetsproblem
Fortinet har nyligen avslöjat tre sårbarheter i sina produkter, med varierande grad av risk, inklusive cookie-läckage, godtycklig kommandoexekvering och exponering av känslig information.
Den allvarligaste, CVE-2023-41677, involverar ett scenario där angripare kan fånga administratörskakor under specifika förhållanden, särskilt när administratörer luras att besöka skadliga webbplatser när de använder SSL-VPN. Denna mycket allvarliga sårbarhet, klassad som 7.5, påverkar flera versioner av FortiOS och FortiProxy.
Ett annat problem, CVE-2023-48784, gör det möjligt att exekvera godtycklig kod i FortiOS på grund av en externt kontrollerad formatsträng i kommandoradsgränssnittet. Denna sårbarhet med medelhög allvarlighetsgrad kräver lokal super-admin-profil och CLI-åtkomst för att kunna utnyttjas. Den tredje, CVE-2024-23662, gör det möjligt för oautentiserade aktörer att samla in känslig enhetsinformation via HTTP-förfrågningar, och bedömdes vara av medelhög allvarlighetsgrad.
Ovanstående sårbarheter varierar i allvarlighetsgrad och sannolikhet för utnyttjande. Sårbarheterna kan dock göra det möjligt för en angripare att få tillgång till ett nätverk eller samla in viktig spaningsinformation. Berörda produkter bör patchas så snart som möjligt.
WordPress-webbplatser angripna av "Crypto Drainers"
Säkerhetsföretaget Sucuri har avslöjat en omfattande kampanj riktad mot WordPress-webbplatser, med över 2 000 kända överträdelser utformade för att suga ut kryptovaluta från intet ont anande offer. Angriparna bäddade in falska NFT- och rabattpopup-fönster på dessa webbplatser och lockade besökare att ansluta sina kryptoplånböcker med löften om att få rabatter eller NFT.
Dessa "Crypto drainers" fortsätter sedan att tömma de anslutna plånböckerna på pengar och NFT. Den ursprungliga attackstrategin har utvecklats och använder nu skript som utnyttjar sårbarheter i webbläsaren för att tvinga fram lösenord på andra webbplatser, vilket innebär en övergång till en mer omfattande och monetariserad kampanj.
De skadliga skripten, som hämtats från dynamic-linx[.]com, aktiveras om kakan "haw" inte finns med och injicerar skadlig kod i webbsidor.
Användare uppmanas att aldrig ansluta sina plånböcker till en webbplats som använder annonser som den huvudsakliga anslutningsmetoden. Ingenting är gratis när det gäller kryptovaluta, rabatter som erbjuds på webbplatser som aldrig tidigare accepterat kryptovaluta är troligen en bluff. Bäst att bara använda betrodda plattformar. Kolla med plattformar som påstår sig nyligen ha accepterat kryptobetalningar. Anslut en plånbok med minimala medel när något verkar fel eller osäkert.
