Nedtagningen av LockBit i februari har banat väg för rivaliserande gäng, med Play som passerar dem efter LockBits åtta månaders dominans. National Crime Agencys (NCA) framgångsrika disruption av LockBit är uppenbar eftersom LockBit för första gången inte toppade attacklistorna under en enskild månad.
Lockbit har varit i topp 3 ransomware-gäng när det gäller antal offer / aktivitet under de senaste 3 åren åtminstone, med de senaste 8 månaderna på plats nummer 1.
För två veckor sedan avslöjades Dmitry Khoroshev, som antas vara LockBits ledare, och det visade sig att LockBits verksamhet nu "körs med begränsad kapacitet" och utgör ett "betydligt mindre" hot. NCC-gruppens resultat, som publicerades tidigare i veckan, tyder på att LockBit har publicerat tidigare attackerade organisationer på nytt för att upprätthålla skenet. I april publicerade LockBit endast 23 organisationer, en minskning med 60% jämfört med antalet före tillslaget.
Nissan har erkänt ytterligare ett dataintrång som påverkat över 50 000 anställdas personuppgifter. Biltillverkarens avslöjande, som lämnades in till den amerikanska delstaten Maine, avslöjar en cyberattack i november 2023. En riktad attack komprometterade Nissans externa VPN, vilket ledde till stöld av 53 038 anställdas socialförsäkringsnummer efter att angriparen stängde av vissa system och krävde betalning.
Till en början trodde Nissan att endast företagsinformation hade stulits. I slutet av februari upptäckte de dock att även anställdas SSN hade blivit åtkomna. Nissan hävdar att det inte finns några bevis för att de anställdas uppgifter har utsatts för riktad eller felaktig användning.
Efter intrånget vidtog Nissan ett flertal säkerhetsåtgärder, bland annat en återställning av lösenord för hela företaget, övervakning med Carbon Black och sårbarhetsskanningar. I mars avslöjade Nissan också att dess Oceanien-division drabbats av ransomware-gänget Akira, vilket innebar att över 100 000 kunders personliga information komprometterades. Kopplingen mellan intrången i Nordamerika och Oceanien är fortfarande oklar och Nissan har ombetts att inkomma med mer information.
På tisdagen släppte Veeam en uppdatering av Backup & Replication för att åtgärda fyra sårbarheter, inklusive ett kritiskt allvarligt fel i Backup Enterprise Manager som möjliggör autentiseringsbypass. Det kritiska felet, CVE-2024-29849, har en CVSS-poäng på 9,8 och tillåter oautentiserade angripare att logga in i webbgränssnittet som vilken användare som helst.
Denna sårbarhet påverkar produktversionerna 5.0 till 12.1 och åtgärdas i Backup Enterprise Manager version 12.1.2.172, som ingår i Backup & Replication version 12.1.2 (build 12.1.2.172). Uppdateringen åtgärdar också ett allvarligt problem (CVE-2024-29850, CVSS-poäng 8,8) som möjliggör kontoövertagande via NTLM-reläattacker och ett annat allvarligt fel (CVE-2024-29851, CVSS-poäng 7,2) som möjliggör NTLM-hashstöld av användare med höga privilegier.
Dessutom löser uppdateringen ett fel med låg allvarlighetsgrad som gör det möjligt för användare med höga privilegier att läsa loggar för säkerhetskopieringssessioner. Instanser på dedikerade servrar kan uppdateras oberoende av Veeam Backup & Replication. Om uppgradering inte är möjlig rekommenderar Veeam att man stoppar Backup Enterprise Manager. Uppdateringen åtgärdar också en allvarlig bugg (CVE-2024-29853) i Veeam Agent för Windows, som påverkar versionerna 2.0 till 6.1, och är åtgärdad i version 6.1.2 (build 6.1.2.134).
Veeam uppmanar användare att uppdatera omedelbart och noterar att det ännu inte finns några bevis för att dessa sårbarheter har utnyttjats i attacker.
Rockwell Automation har utfärdat ett säkerhetsmeddelande där kunder uppmanas att säkerställa att deras industriella styrsystem (ICS) inte är anslutna till internet, vilket belyser de risker som cyberhot utgör. Jätten inom industriell automation understryker behovet av omedelbara åtgärder och uppmanar kunder att kontrollera att enheter som inte är avsedda för offentlig anslutning inte är exponerade för webben.
Företaget uttryckte oro över potentiella attacker på grund av globala geopolitiska spänningar och ökad cyberaktivitet.
"Användare bör aldrig konfigurera sina tillgångar så att de är direktanslutna till internet", säger Rockwell. Att koppla bort dessa enheter kan avsevärt minska exponeringen för obehöriga och skadliga aktiviteter från externa hot. Meddelandet innehåller länkar till resurser, bästa praxis och lyfter fram flera patchade sårbarheter, såsom CVE-2021-22681, CVE-2022-1159, CVE-2023-3595 med flera.
Den amerikanska cybersäkerhetsmyndigheten CISA har också utfärdat en varning angående Rockwells meddelande, vilket understryker vikten av dessa åtgärder.
Ukrainas Computer Emergency Response Team (CERT-UA) har utfärdat en varning om att den finansiellt motiverade cyberkriminella gruppen UAC-0006 har återkommit. Efter en period av inaktivitet har gruppen under våren 2024 lanserat nya phishing-attacker, främst riktade mot ukrainska organisationer. UAC-0006 använder sig av skadlig kod av typen SMOKELOADER, som ofta levererar ytterligare skadliga nyttolaster. Deras senaste kampanjer distribuerar SMOKELOADER via e-postmeddelanden som innehåller ZIP-arkiv med försåtsminerade bilder och Microsoft Access-filer. När de väl har komprometterats distribuerar hackarna annan skadlig kod som TALESHOT och RMS för att kontrollera offrets maskin.
CERT-UA tror att UAC-0006 bygger ett botnät av infekterade datorer, potentiellt hundratals, vilket väcker oro för en våg av bedräglig aktivitet som riktar sig mot Ukrainas fjärrbanksystem. Angriparnas mål är att stjäla känslig finansiell information eller manipulera konton för ekonomisk vinning.
Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, kontakta din kundansvarige eller kontakta oss för att ta reda på hur du kan skydda din organisation.
The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.
If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.
If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.
We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.
Integrity360's flagship conference Security First comes to Stockholm in 2023!
Join leading cybersecurity experts from across the community as we explore the latest threats and industry trends, and learn practical strategies to safeguard your organisation.