Content 

01. News Bites
  • Microsoft bekräftar att ett nio timmar långt globalt avbrott orsakades av en DDoS-attack
  • Fortune 50-företag betalar en rekordstor lösensumma om 75 miljoner dollar till Dark Angels ransomware-gänget

  • CrowdStrike ställs inför rättsliga åtgärder och marknadsförluster efter globalt avbrott, men kan skyddas från större finansiell påverkan

  • Nordkoreansk malware-kampanj utökas till att omfatta Windows-, Linux- och macOS-system med avancerad taktik

  • Kinesiska APT10 riktar in sig på japanska organisationer med dold malware-kampanj och förblir oupptäckt under flera år

02. Conclusion

Quick News Bites

Microsoft bekräftar att ett nio timmar långt globalt avbrott orsakades av en DDoS-attack

Microsoft bekräftade att ett nio timmar långt avbrott under tisdagen, som påverkade Microsoft 365- och Azure-tjänster över hela världen, orsakades av en DDoS-attack (distributed denial-of-service). Avbrottet påverkade Microsoft Entra, olika Microsoft 365-tjänster och flera Azure-tjänster, inklusive App Services, Azure IoT Central och Azure-portalen.

I ett uttalande förklarade Microsoft att DDoS-attacken utlöste deras skyddsmekanismer, men att ett fel i implementeringen förvärrade effekterna istället för att mildra dem. Efter att ha identifierat problemet gjorde Microsoft ändringar i nätverkskonfigurationen och utförde failovers för att återställa tjänsten.

Microsoft lovade att publicera en preliminär granskning efter incidenten inom 72 timmar och en slutlig utvärdering inom två veckor. Denna incident följer flera andra stora avbrott som påverkat Microsofts tjänster, inklusive attacker kopplade till Anonymous Sudan och problem som orsakats av konfigurationsändringar.

Fortune 50-företag betalar en rekordstor lösensumma om 75 miljoner dollar till Dark Angels ransomware-gänget

 Ett Fortune 50-företag betalade enligt uppgift en rekordstor lösensumma på 75 miljoner dollar till Dark Angels ransomware-gänget, enligt Zscaler ThreatLabz. Detta är den högsta kända lösenbetalningen och överträffar de tidigare 40 miljoner dollar som betalats av försäkringsjätten CNA efter en ransomware-attack av Evil Corp.

Zscaler avslöjade inte namnet på företaget men nämnde att det var ett Fortune 50-företag som utsattes i början av 2024. Läkemedelsjätten Cencora, rankad som nummer 10 på Fortune 50-listan, utsattes för en cyberattack i februari 2024, men ingen ransomware-grupp tog på sig ansvaret, vilket tyder på att en lösensumma kan ha betalats.

Dark Angels, en ransomware-grupp som varit aktiv sedan maj 2022, använder en ”Big Game Hunting”-strategi och riktar in sig på stora företag för betydande utbetalningar. De använder avancerad taktik, inklusive Linux-krypterare, för att bryta sig in i nätverk och kryptera enheter och kräva stora lösensummor. Detta tillvägagångssätt står i kontrast till andra ransomware-grupper som attackerar urskillningslöst.

CrowdStrike ställs inför rättsliga åtgärder och marknadsförluster efter globalt avbrott, men kan skyddas från större finansiell påverkan

 CrowdStrike står inför stämningar från både investerare och kunder efter den betydande incidenten som orsakade globala avbrott, även om företaget kan skyddas från juridiska konsekvenser. Den 19 juli ledde en uppdatering från CrowdStrike till att cirka 8,5 miljoner Windows-enheter gick in i en BSOD-loop (Blue Screen of Death), vilket påverkade sektorer som flyg, finans, sjukvård och utbildning.

Försäkringsbolaget Parametrix uppskattar den totala direkta ekonomiska förlusten för amerikanska Fortune 500-företag, exklusive Microsoft, till 5,4 miljarder dollar, och den totala förlusten till 15 miljarder dollar. Flygbolagen drabbades hårdast och Delta förlorade uppskattningsvis mellan 350 och 500 miljoner dollar.

Trots dessa juridiska utmaningar kan CrowdStrike undvika större ekonomiska konsekvenser på grund av ansvarsbegränsningar och försäkringar. Företagets aktier har sjunkit med 25%, vilket minskar dess marknadsvärde med över 20 miljarder dollar.

Nordkoreansk malware-kampanj utökas till att omfatta Windows-, Linux- och macOS-system med avancerad taktik

 Hotaktörerna bakom en pågående kampanj med malware riktad mot mjukvaruutvecklare har utökat sitt fokus till att omfatta Windows-, Linux- och macOS-system och avslöjar nya taktiker och varianter av malware. Kampanjen, känd som DEV#POPPER och kopplad till Nordkorea, har riktat in sig på offer i Sydkorea, Nordamerika, Europa och Mellanöstern.

Säkerhetsforskare rapporterade att denna avancerade social engineering-attack manipulerar utvecklare till att ladda ner skadlig programvara förklädd till en jobbintervjuuppgift. Kampanjen lurar offer att installera skadlig programvara från GitHub, inklusive ett obfuskerat JavaScript som heter BeaverTail, vilken bestämmer operativsystemet och exfiltrerar data.

Attackkedjan använder också en Python-bakdörr vid namn InvisibleFerret, som samlar in systemmetadata, webbläsarkakor med mera. De senaste uppdateringarna av den skadliga programvaran inkluderar förbättrad fördunkling, programvara för fjärrövervakning för persistens och förbättrade mekanismer för dataexfiltrering, vilket visar att DEV#POPPER-kampanjen blir alltmer sofistikerad.

Kinesiska APT10 riktar in sig på japanska organisationer med dold malware-kampanj och förblir oupptäckt under flera år

Japanska organisationer har blivit måltavla för en kinesisk nationalstatlig hotaktör, identifierad som APT10 (även känd som Bronze Riverside, ChessMaster och andra alias), som utnyttjar malware-familjer som LODEINFO och NOOPDOOR för att stjäla känslig information. Denna pågående cyberkampanj, som spårats av det israeliska cybersäkerhetsföretaget Cybereason under namnet Cuckoo Spear, har varit aktiv i upp till tre år och ofta förblivit oupptäckt.

Kampanjen använder främst spear-phishing-mejl för att distribuera dessa malware-stammar. LODEINFO fungerar som en primär bakdörr som kan exekvera skalkod, logga tangenttryckningar och exfiltrera filer, medan NOOPDOOR fungerar som en sekundär bakdörr som upprätthåller uthållighet genom att utnyttja offentliga applikationer med ouppdaterade sårbarheter.

Denna sofistikerade attack har riktats mot japanska enheter inom olika sektorer. Tidigare varningar från JPCERT/CC och avslöjanden från ITOCHU Cyber & Intelligence belyser den föränderliga karaktären hos dessa hot och understryker behovet av ökade cybersäkerhetsåtgärder inom de drabbade organisationerna.

Closing Summary

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.