MoD dataintrång: IT-företag försenar rapportering av hack som påverkar 270 000 anställda
Ascensions EHR-system nere efter Ransomware-attack, sjukhus tillgriper manuella processer
Cyberbrottslingar utnyttjar Windows Quick Assist för att distribuera Black Basta Ransomware
Santanders kunddata stulna i supply chain-attack mot tredjepartsleverantör
Ransomware-attack mot svenskt logistikföretag hotar spritleveranser till Systembolagets butiker
Det IT-företag som utsattes för ett kinesiskt hack vilket gav tillgång till uppgifter om personal vid försvarsdepartementet underlät att rapportera intrånget på flera månader.
Storbritanniens försvarsminister Grant Shapps berättade på tisdagen för parlamentsledamöter att Shared Services Connected Ltd (SSCL) hade utsatts för ett intrång av en illvillig aktör och att "statlig inblandning" inte kunde uteslutas. Shapps sade att man hade kommit åt löneuppgifter för cirka 270 000 nuvarande och tidigare militär personal, inklusive deras hemadresser. Kina har inte öppet utpekats av regeringen som den skyldige.
Enligt källor blev SSCL, som är en del av det franska teknikföretaget Sopra Steria, medvetet om intrånget i februari, men försvarsdepartementet informerades först nyligen.
SSCL tilldelades ett cybersäkerhetskontrakt värt över 500 000 pund i april, veckor efter hackningen. National Cyber Security Centre har varnat för växande hot mot Storbritanniens företag och kritiska infrastruktur från fientliga stater. SSCL och dess moderbolag har statliga kontrakt värda 1,6 miljarder pund, inklusive känsliga funktioner som rekryteringar till Home Office.
Ascension, ett amerikanskt non-profit hälso- och sjukvårdssystem, bekräftade att dess elektroniska patientjournalsystem (EHR) låg nere efter en ransomware-incident den 8 maj 2024. I en cybersäkerhetsuppdatering den 13 maj uppgav Ascension att dess sjukhus och anläggningar förblev öppna, men att dess EHR och system för beställning av tester, procedurer och mediciner inte var i drift.
Kliniska team använder manuella processer och pappersjournaler för medicinutdelning, medicinska journaler och diagnostiska tester. Flera av de 140 sjukhusen är i beredskapsläge och avleder fall för omedelbar triage till räddningstjänsten. Ascension arbetar med cybersäkerhetsexperter för att återställa systemen på ett säkert sätt, men är medvetna om att det kommer att ta tid.
Cyberattacken, som först tillkännagavs den 9 maj, involverade ovanlig aktivitet i ett nätverkssystem. Informationssäkerhetsföretaget Mandiant bistår med utredningen. Ascension har underrättat brottsbekämpande myndigheter och statliga organ, inklusive FBI och CISA. Attacken följer i spåren av liknande incidenter och belyser hur sårbara vårddata är för cyberattacker.
Ekonomiskt motiverade cyberbrottslingar utnyttjar Windows Quick Assist-funktionen i social engineering-attacker för att distribuera Black Basta ransomware. Microsoft har undersökt den här kampanjen, som spåras som Storm-1811, sedan mitten av april 2024. Angriparna börjar med att e-postbomba målet med skräppost och ringer sedan offren sär de utger sig för att vara Microsoft eller företagets IT-support. De lurar offren att bevilja åtkomst via Quick Assist-verktyget.
När åtkomst har beviljats laddar angriparna ner skadliga payloads. Microsoft identifierade nedladdningar av Qakbot, fjärrhanteringsverktyg och Cobalt Strike. Efter att ha installerat dessa verktyg rör sig Storm-1811 lateralt genom nätverket och distribuerar Black Basta ransomware med PsExec. De skördar också autentiseringsuppgifter med PowerShell och exfiltrerar dem via Secure Copy (SCP).
Microsoft rekommenderar att Quick Assist blockeras eller avinstalleras om det inte används och att anställda utbildas i att känna igen bedrägerier inom teknisk support. Black Basta, en Ransomware-as-a-Service (RaaS)-verksamhet, har gjort intrång i över 500 organisationer och samlat in minst 100 miljoner dollar i lösensummor.
Vissa kunder hos Santander kan ha fått sina uppgifter stulna efter en supply chain-attack riktad mot en av bankens tredjepartsleverantörer. Företaget bekräftade intrånget i ett informationsbrev där det stod: "Vi blev nyligen medvetna om obehörig åtkomst till en Santander-databas som finns hos en tredjepartsleverantör."
Santander vidtog åtgärder för att begränsa incidenten, blockerade den komprometterade åtkomsten och införde bedrägeriförebyggande kontroller. Intrånget påverkade kunder i Chile, Spanien och Uruguay, även om lokala Twitter-konton i Spanien och Chile inte hade några varningar. På Chiles webbplats fanns dock en varning.
De stulna uppgifterna innehåller information om vissa nuvarande och tidigare anställda. Santander bekräftar att kunder på andra marknader inte har påverkats. Företaget försäkrade att transaktionsdata och användaruppgifter var säkra och att verksamheten inte påverkades.
Santander bad om ursäkt för olägenheten och bekräftade att berörda personer kommer att meddelas. De rapporterade också händelsen till tillsynsmyndigheter och brottsbekämpande myndigheter och har ett nära samarbete med dem.
En ransomware-attack mot det svenska logistikföretaget Skanlog har lett till varningar från Systembolaget, landets enda återförsäljare av spritdrycker, om att butikshyllorna kan vara tomma i slutet av veckan. Skanlog, som är en kritisk distributör för Systembolaget, attackerades av en grupp som enligt vd Mona Zuko påstås vara baserad i Nordkorea, även om grunden för denna tillskrivning är oklar.
Systembolagets presschef Teodor Almqvist varnade för att olika ölsorter, viner, spritdrycker och till och med papperspåsar kan sälja slut inom några dagar. Även om det inte finns någon risk för en "total uttorkning" kan vissa varumärken försvinna tills leveranserna återupptas.
Skanlog har inte angett när verksamheten kan komma att återgå till det normala. Systembolaget har en reservplan om leveranserna skulle förbli störda. Skanlog har inte angett när verksamheten kan komma att återgå till det normala. Systembolaget har en reservplan om leveranserna skulle förbli störda. Denna incident sammanfaller med Sveriges reform av sitt nationella cybersäkerhetscenter efter prestationsbekymmer. Tidigare i år drabbades ett stort antal svenska kunder av en ransomware-attack mot Tietoevry, vilket tvingade fram stängningar av butiker över hela landet.
Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, kontakta din kundansvarige eller kontakta oss för att ta reda på hur du kan skydda din organisation.
The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.
If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.
If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.
We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.
Integrity360's flagship conference Security First comes to Stockholm in 2023!
Join leading cybersecurity experts from across the community as we explore the latest threats and industry trends, and learn practical strategies to safeguard your organisation.