Veckans Cyber News uppdatering

11:e september till 15:e september 2023

Content 

01. News Bites 
  • MGM Resorts har utsatts för misstänkt ransomwareattack
  • Den brittiska militärens nätverk utsattes för 6 miljoner cyberattacker under 2022
  • Iranskbackad hackergrupp riktar sig mot 34 globala företag
  • Sri Lanka utsattes för en massiv ransomwareattack som påverkat alla regeringsdepartement
  • Ransomwaregäng stjäl 1.3tb från resebokningsföretaget Sabre

02. Conclusion

Quick News Bites

MGM Resorts har utsatts för misstänkt ransomwareattack

MGM Resorts har under veckan hanterat omfattande störningar i deras IT miljö och verksamhetssystem. Efter en cyberattack som ledde till att flera system på deras anläggningar tillfälligt stängts av och receptionspersonalen och annan personal fick gå över till använda penna och papper. Spelautomaterna vid många spelområden gjordes också oanvändbara och det gick rykten om att gäster inte kunde komma åt sina boenden.

Störningarna startade under söndagen den 10:e september och påverkade flera MGM-anläggningar i USA. Noterbart var att många ikoniska kasinon längs den berömda Las Vegas Strip påverkats så som Bellagio, Excalibur, Luxor, Mandalay Bay, MGM Grand och New York New York.

MGM Resorts har uppgett att när cybersäkerhetsattacken upptäcktes initierade de snabbt en djupgående utredning. Företaget har också informerat myndigheterna, vidtagit åtgärder för att skydda sina system och data samt temporärt stängt ned vissa system. Deras undersökning är i skrivande stund pågående.

Medan de specifika detaljerna för intrånget ännu inte har avslöjats så kommer antagligen Nevadas stränga intrångsnotifieringslagar kräva att ytterligare avslöjanden sker. Den omfattande nedstängningen av flera MGM system pekar mot en möjlig ransomwareattack, som IT- och- säkerhetsteamen troligen hanterar.

Den brittiska militärens nätverk utsattes för 6 miljoner cyberattacker under 2022

Under Defence and Security Equipment International (DSEI) konferensen i London avslöjade General Sir Hockenhull, ledaren för Storbritanniens Strategic Command, att den brittiska militärens kommunikationssystem uppmärksammat över 6 miljoner cyberattacker, vilket markerar en eskalering av cyberkrigsföring mitt ibland europeiska konflikter och spänningar i Fjärran Östern.

Ständiga attacker orkestrerades dagligen av motståndarnationer och deras kriminella allierade. Vilket är i linje med underrättelsetjänstens rapporter om ökade hemliga aktioner utav länder såsom Ryssland, Iran, Kina och Nord Korea.

General Sir Jim Hockenhull, ledaren för den brittiska Strategic Command, uttalade sig om problematiken och underströk de unika utmaningarna kring rymd- och cyberområdena. Han sa; ”Dessa domäner blir utnyttjade för att eskalera informationskampanjer riktade mot att oroa våra samhällen eller att direkt äventyra våra grundläggande förmågor.”

Iranskbackad hackergrupp riktar sig mot 34 globala företag

En statligt backad cyberhotsgrupp, namngiven ’Charming Kitten’ (också känd som Phosphorus, TA453, APT35/42), har enligt rapport använt en tidigare oidentifierad ”backdoor” malware, kallad ’Sponsor’, för att rikta in sig på 34 globala företag.

Ett karaktärsdrag för Sponsor är dess förmåga att gömma till synes harmlösa konfigurationsfiler på den påverkade datorn. Detta tillåter för en smygaktivering av skadliga batchscript som kringgår detektionsmekanismer. Team av cybersäkerhetsforskare spårade denna kampanj från mars 2021 till juni 2022. Målgruppen för attacken inkluderar myndigheter, sjukvård, finansiella tjänster, tekniktung industri, byggbranschen, högteknologiska verksamheter, rättsväsende och telekommunikation. Länder under störst hot var Israel, Brasilien och förenade Arabemiraten.

Forskarna underströk att Charming Kitten huvudsakligen utnyttjade CVE-2021-26855, en sårbarhet i Microsoft Exchange, för att initialt infiltrera offrens system. Följaktligen kunde förövarna använda sig av en mängd olika open-sourceverktyg för att inte enbart etablera datastöld och systemövervakning utan också säkerställa att deras fortsatta tillgång till de drabbade systemen.

Sri Lanka utsattes för en massiv ransomwareattack som påverkat alla regeringsdepartement

Sri Lankas informations- och kommunikationsteknologiska byrå (ICTA), ansvariga för att övervaka landets ICT-initiativ, har konfirmerat en betydande dataförlustsincident som påverkat alla regeringskanslis som använder epostdomänen ”gov.lk”, vilket inkluderar kabinettskanslit.

Etablerat för att stärka Sri Lankas ekonomi genom ICT, rapporterade ICTA en allvarlig ransomwareattack mellan 17 maj och 26 augusti. Detta intrång äventyrade ungefär 5000 e-postadresser. Oroväckande nog fanns det inga backupsystem, varken online eller offline under avgörande period på två månader, vilket betyder att många e-postmeddelanden som förlorats under attacken är oåterkalleliga.

ICTA reagerade snabbt och tillkännagav nya åtgärder för att stärka sina system. En daglig offline-säkerhetskopieringsprocess kommer att införas för att avvärja framtida katastrofala dataförluster, och den relevanta mjukvaran kommer att uppdateras till den senaste versionen för att stärka cyberförsvaret.

I nuläget gör ICTA och Sri Lankas Computer Emergency Readiness Team (SLCERT) gemensamma ansträngningar för att återställa förlorad data. Dessutom har SLCERT uppmärksammat allmänheten om ett nätfiskebedrägeri som riktar in sig på Sri Lankas medborgare.

Ransomwaregäng stjäl 1.3tb från resebokningsföretaget Sabre

Ransomwaregruppen, Dunghill Leak, har tillkännagett sin roll i en cyberattack på resebokningsföretaget Sabre. På deras läckningsida på dark web hävdar Dunghill stöld av 1.3 terabytes Sabre-data, som omfattar finansiella detaljer, passagerarstatistik, biljettförsäljningsdata och anställdas personliga information. Som bevis släppte gruppen viss stulen data som visade information så som anställdas e-post, namn, nationaliteter, pass- och visadetaljer samt US I-9 formulär för specifika anställda. Noterbart är att en av dem läckta passen tillhörde en Sabre vicepresident.

Sabre har erkänt anklagelserna och har initierat en utredning om giltigheten av Dunghills påståenden. Sabres talesperson Heidi Castle sa: ”Sabre utreder påståendena om dataexfiltrering som gjorts av hotgruppen.”

Fastän den exakt tidpunkten och metoden för intrången är fortsatt oklar så antyder Dunghills delade skärmdumpar att det inträffade runt juli 2022. Under 2022 var det globalt ungefär 493.33 miljoner ransomwareförsök, med en genomsnittlig kostnad per attack på 4,54 miljoner USD.

Closing Summary

Om du är orolig över något utan hoten som beskrivits ovan i denna rapport eller behöver hjälp att avgöra vilka steg du behöver ta för att skydda från dem flesta väsentliga hot som din organisation står inför, vänligen ta kontakt med din kontoansvarige eller alternativt ta kontakt med oss för att ta reda på hur du kan skydda din organisation.

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.

Need advice?

If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.

More detailed threat intelligence news?

If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.

We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.

Security-first-stacked-logo4-No-Padding

Cyber Security Conference

LONDON | 28 April 2022
DUBLIN | 11 May 2022

Join us in Dublin or London for the Security First 2022 conference.  We'll be bringing together industry professionals and specialist experts to discuss the latest cyber security trends and offer actionable advice on preparing your business to put security first in 2022.