Globalt botnät avslöjat: NCSC och allierade uppmanar till åtgärder mot cyberhot med koppling till Kina 

 Storbritanniens National Cyber Security Centre (NCSC) har tillsammans med internationella allierade som FBI och NSA utfärdat en varning som uppmanar individer och organisationer att vidta omedelbara skyddsåtgärder efter avslöjandet av ett globalt botnät som drivs av ett Kina-anknutet företag.

Varningen, som utfärdats i samarbete med USA, Australien, Kanada och Nya Zeeland, avslöjar att ett Kinabaserat företag, är ansvarigt för att hantera ett botnät med över 260 000 komprometterade enheter världen över. Dessa komprometterade enheter inkluderar routrar, brandväggar och IoT-enheter (Internet of Things) som webbkameror och CCTV-kameror, som har använts för skadliga ändamål, inklusive distribution av skadlig kod och DDoS-attacker (distributed denial of service).

I meddelandet identifieras Group som den enhet som ligger bakom botnätet, i drift sedan mitten av 2021, och som utnyttjas av den hotaktör som kallas Flax Typhoon. Komprometterade enheter har upptäckts i Nord- och Sydamerika, Europa, Afrika, Sydostasien och Australien.

Europol och en global arbetsgrupp demonterar den krypterade plattformen ”Ghost” som används av organiserad brottslighet

Europol har tillsammans med brottsbekämpande myndigheter från nio länder framgångsrikt demonterat en krypterad kommunikationsplattform kallad ”Ghost”, som användes av organiserad brottslighet för narkotikahandel och penningtvätt.

Ghost skröt med avancerade säkerhetsfunktioner, inklusive kryptovalutabaserade abonnemang, trippelskiktskryptering och självförstörande meddelanden som raderade bevis från enheter. Den hade en global användarbas som utbytte cirka 1 000 meddelanden dagligen, med återförsäljare som marknadsförde plattformen. Abonnemangen kostade 2 350 USD för sex månader, vilket inkluderade en modifierad smartphone och teknisk support.

Utredningen, som leddes av Europols Operational Taskforce (OTF), inleddes i mars 2022 och involverade agenter från USA, Kanada, Australien och flera europeiska länder. Myndigheterna spårade Ghosts servrar till Frankrike och Island och kopplade dess operatörer till Australien och tillgångar i USA.

Operationen ledde till 51 gripanden globalt, med stora tillslag i Australien, Irland, Kanada och Italien. Myndigheterna demonterade också ett droglabb och beslagtog vapen, droger och över 1 miljon euro.

Cencora betalar rekordhöga 75 miljoner dollar i lösensumma i den största cyberutpressningsattacken hittills

Cencora Inc, tidigare AmerisourceBergen, föll offer för en stor cyberattack och betalade en rekordstor lösensumma på 75 miljoner dollar, den största kända cyberutpressningsbetalningen hittills. Lösensumman, som ursprungligen var satt till 150 miljoner dollar, betalades i Bitcoin i tre delbetalningar i mars, efter det att intrånget upptäcktes i februari. Känsliga data stals, men Cencora har tillhandahållit begränsade detaljer utöver lagstadgade anmälningar.

I sin julirapport avslöjade företaget 31,4 miljoner dollar i ”andra” utgifter för de nio månader som slutade den 30 juni, främst relaterade till cyberincidenten, som täcker utrednings- och mitigeringsinsatser. Trots den betydande betalningen erkände Cencora att de stulna uppgifterna fortfarande kan komma att avslöjas.

Denna attack belyser en växande trend där cyberbrottslingar riktar in sig på sektorer med högt värde som hälso- och sjukvård, och Cencoras betalning överträffar det tidigare rekordet på 40 miljoner dollar som betalades av CNA Financial 2021. Experter varnar för att göra betalningar och att sådana utbetalningar uppmuntrar ytterligare attacker.

SolarWinds utfärdar kritisk hotfix för Web Help Desk-sårbarhet som tillåter obehörig åtkomst

SolarWinds har släppt en hotfix för att åtgärda en kritisk sårbarhet (CVE-2024-28987) i sin programvara Web Help Desk (WHD), som gjorde det möjligt för angripare att komma åt system med hjälp av hårdkodade referenser. Web Help Desk används ofta av myndigheter, företag och vård- och utbildningsinstitutioner för att hantera IT-helpdeskuppgifter. Sårbarheten gjorde det möjligt för oautentiserade angripare att modifiera data och få tillgång till interna funktioner.

SolarWinds har ännu inte utfärdat någon offentlig information om sårbarheten och har inte bekräftat om den har utnyttjats i naturen. Hotfixen, som släpptes den här veckan, måste installeras efter uppdatering till Web Help Desk version 12.8.3.1813 eller 12.8.3 HF1. Administratörer rekommenderas att skapa säkerhetskopior innan de tillämpar hotfixen.

Samma uppdatering åtgärdar även ett kritiskt fel för fjärrstyrd kodkörning (CVE-2024-28986), som utnyttjades i attacker tidigare i år och som finns med i CISA:s KEV-katalog (Known Exploited Vulnerabilities).

Om du är orolig för några av de hot som nämns i detta meddelande eller behöver hjälp med att avgöra vilka steg du bör ta för att skydda dig mot de mest betydande hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt kontakta oss för att ta reda på hur du kan skydda din organisation.

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.