Rivaliserande gäng stiger när LockBit faller
Nedtagningen av LockBit i februari har banat väg för rivaliserande gäng, med Play som passerar dem efter LockBits åtta månaders dominans. National Crime Agencys (NCA) framgångsrika disruption av LockBit är uppenbar eftersom LockBit för första gången inte toppade attacklistorna under en enskild månad.
Lockbit har varit i topp 3 ransomware-gäng när det gäller antal offer / aktivitet under de senaste 3 åren åtminstone, med de senaste 8 månaderna på plats nummer 1.
För två veckor sedan avslöjades Dmitry Khoroshev, som antas vara LockBits ledare, och det visade sig att LockBits verksamhet nu "körs med begränsad kapacitet" och utgör ett "betydligt mindre" hot. NCC-gruppens resultat, som publicerades tidigare i veckan, tyder på att LockBit har publicerat tidigare attackerade organisationer på nytt för att upprätthålla skenet. I april publicerade LockBit endast 23 organisationer, en minskning med 60% jämfört med antalet före tillslaget.
Nissan bekräftar dataintrång med över 50.000 anställdas personuppgifter stulna i cyberattack
Nissan har erkänt ytterligare ett dataintrång som påverkat över 50 000 anställdas personuppgifter. Biltillverkarens avslöjande, som lämnades in till den amerikanska delstaten Maine, avslöjar en cyberattack i november 2023. En riktad attack komprometterade Nissans externa VPN, vilket ledde till stöld av 53 038 anställdas socialförsäkringsnummer efter att angriparen stängde av vissa system och krävde betalning.
Till en början trodde Nissan att endast företagsinformation hade stulits. I slutet av februari upptäckte de dock att även anställdas SSN hade blivit åtkomna. Nissan hävdar att det inte finns några bevis för att de anställdas uppgifter har utsatts för riktad eller felaktig användning.
Efter intrånget vidtog Nissan ett flertal säkerhetsåtgärder, bland annat en återställning av lösenord för hela företaget, övervakning med Carbon Black och sårbarhetsskanningar. I mars avslöjade Nissan också att dess Oceanien-division drabbats av ransomware-gänget Akira, vilket innebar att över 100 000 kunders personliga information komprometterades. Kopplingen mellan intrången i Nordamerika och Oceanien är fortfarande oklar och Nissan har ombetts att inkomma med mer information.
Veeam släpper kritisk uppdatering för att åtgärda allvarliga sårbarheter i programvara för säkerhetskopiering och replikering
På tisdagen släppte Veeam en uppdatering av Backup & Replication för att åtgärda fyra sårbarheter, inklusive ett kritiskt allvarligt fel i Backup Enterprise Manager som möjliggör autentiseringsbypass. Det kritiska felet, CVE-2024-29849, har en CVSS-poäng på 9,8 och tillåter oautentiserade angripare att logga in i webbgränssnittet som vilken användare som helst.
Denna sårbarhet påverkar produktversionerna 5.0 till 12.1 och åtgärdas i Backup Enterprise Manager version 12.1.2.172, som ingår i Backup & Replication version 12.1.2 (build 12.1.2.172). Uppdateringen åtgärdar också ett allvarligt problem (CVE-2024-29850, CVSS-poäng 8,8) som möjliggör kontoövertagande via NTLM-reläattacker och ett annat allvarligt fel (CVE-2024-29851, CVSS-poäng 7,2) som möjliggör NTLM-hashstöld av användare med höga privilegier.
Dessutom löser uppdateringen ett fel med låg allvarlighetsgrad som gör det möjligt för användare med höga privilegier att läsa loggar för säkerhetskopieringssessioner. Instanser på dedikerade servrar kan uppdateras oberoende av Veeam Backup & Replication. Om uppgradering inte är möjlig rekommenderar Veeam att man stoppar Backup Enterprise Manager. Uppdateringen åtgärdar också en allvarlig bugg (CVE-2024-29853) i Veeam Agent för Windows, som påverkar versionerna 2.0 till 6.1, och är åtgärdad i version 6.1.2 (build 6.1.2.134).
Veeam uppmanar användare att uppdatera omedelbart och noterar att det ännu inte finns några bevis för att dessa sårbarheter har utnyttjats i attacker.
Rockwell Automation uppmanar till omedelbar bortkoppling av ICS från Internet mot bakgrund av ökande cyberhot
Rockwell Automation har utfärdat ett säkerhetsmeddelande där kunder uppmanas att säkerställa att deras industriella styrsystem (ICS) inte är anslutna till internet, vilket belyser de risker som cyberhot utgör. Jätten inom industriell automation understryker behovet av omedelbara åtgärder och uppmanar kunder att kontrollera att enheter som inte är avsedda för offentlig anslutning inte är exponerade för webben.
Företaget uttryckte oro över potentiella attacker på grund av globala geopolitiska spänningar och ökad cyberaktivitet.
"Användare bör aldrig konfigurera sina tillgångar så att de är direktanslutna till internet", säger Rockwell. Att koppla bort dessa enheter kan avsevärt minska exponeringen för obehöriga och skadliga aktiviteter från externa hot. Meddelandet innehåller länkar till resurser, bästa praxis och lyfter fram flera patchade sårbarheter, såsom CVE-2021-22681, CVE-2022-1159, CVE-2023-3595 med flera.
Den amerikanska cybersäkerhetsmyndigheten CISA har också utfärdat en varning angående Rockwells meddelande, vilket understryker vikten av dessa åtgärder.
Ukrainas CERT-UA varnar för återkomst av UAC-0006 och uppmanar till ökade åtgärder för cybersäkerhet
Ukrainas Computer Emergency Response Team (CERT-UA) har utfärdat en varning om att den finansiellt motiverade cyberkriminella gruppen UAC-0006 har återkommit. Efter en period av inaktivitet har gruppen under våren 2024 lanserat nya phishing-attacker, främst riktade mot ukrainska organisationer. UAC-0006 använder sig av skadlig kod av typen SMOKELOADER, som ofta levererar ytterligare skadliga nyttolaster. Deras senaste kampanjer distribuerar SMOKELOADER via e-postmeddelanden som innehåller ZIP-arkiv med försåtsminerade bilder och Microsoft Access-filer. När de väl har komprometterats distribuerar hackarna annan skadlig kod som TALESHOT och RMS för att kontrollera offrets maskin.
CERT-UA tror att UAC-0006 bygger ett botnät av infekterade datorer, potentiellt hundratals, vilket väcker oro för en våg av bedräglig aktivitet som riktar sig mot Ukrainas fjärrbanksystem. Angriparnas mål är att stjäla känslig finansiell information eller manipulera konton för ekonomisk vinning.
