Läkare i London fortsätter att ha problem efter att cyberattack stoppat patologitjänster

 Läkarmottagningar i London brottas fortfarande med efterdyningarna av en cyberattack som störde patologitjänsterna. Synnovis, som hanterar laboratorier för NHS-truster och allmänläkare i sydöstra London, hackades den 3 juni, vilket ledde till tusentals inställda operationer och möten. Blodprovstagningen är kraftigt begränsad, vilket påverkar den rutinmässiga patientvården.

 NHS England uppgav att återhämtningen skulle ta veckor trots betydande investeringar i cybersäkerhet. Över 1000 operationer och 3000 möten har skjutits upp. Berörda NHS-förvaltningar hanterar situationen som en "kritisk incident", och högre tjänstemän berömmer personalens insatser under pågående utmaningar.

 Europeiska utredare avslöjade att de ryska hackare som låg bakom attacken är en del av en bredare cyberarmé bestående av mer än 100 grupper. Även om denna cyberarmé inte står under den ryska regeringens direkta kontroll fungerar den som ett verktyg för globala störningar, och Kreml ser mellan fingrarna med deras aktiviteter.

Internationella multimediakonglomeratet Kadokawa Group drabbat av omfattande cyberattack

 Kadokawa Group, ett multinationellt mediekonglomerat som äger dataspelsutvecklaren FromSoftware och Anime News Network, bekräftade en "betydande cyberattack" på torsdagen och uppgav att man arbetar på "lösningar och workarounds" för sina system.

 I en detaljerad uppdatering avslöjade Kadokawa Group att Niconico, en populär japansk videodelningssajt, var bland de hårdast drabbade, med alla tjänster avstängda sedan den 8 juni. Effekten på Elden Ring-utvecklaren FromSoftware är fortfarande oklar. Den ansvariga ransomware-gruppen påstod sig ha laddat ner konfidentiell information, inklusive anställdas personuppgifter. Kadokawa Group undersöker omfattningen av dataintrånget tillsammans med externa organisationer.

 Spelindustrin har blivit alltmer sårbar för cyberattacker. Studios som Rockstar Games och Insomniac har utsatts för betydande ransomware-attacker, vilket har lett till att omfattande konfidentiella uppgifter har läckt ut. En nyligen publicerad Wired-rapport belyste den ökande allvarlighetsgraden av ransomware-attacker 2024 och beskrev dem som "mer brutala än någonsin".

Lockbit 3.0 hävdar stor cyberattack mot US Federal Reserve, exfiltrerar 33 TB data

 Den ökända ryskbaserade ransomware-ligan Lockbit 3.0 har tagit på sig ansvaret för en cyberattack mot den amerikanska centralbanken Federal Reserve. Attacken tillkännagavs den 23 juni och gänget påstod att de infiltrerat Federal Reserves system och exfiltrerat 33 TB känslig bankinformation.

 I sitt inlägg med titeln "federalreserve.gov" beskrev Lockbit 3.0 Federal Reserves struktur och roll när det gäller att distribuera pengar mellan de 12 amerikanska bankdistrikten. De utfärdade ett 48-timmars ultimatum för Federal Reserve att ersätta sin förhandlare, som de nedvärderade som en "klinisk idiot" för att ha värderat Amerikas banksekretess till 50 000 USD. Lockbit 3.0 är ökända för sin aggressiva förhandlingstaktik och för att rikta in sig på högprofilerade organisationer. De senaste offren inkluderar den kanadensiska apotekskedjan London Drugs, staden Wichita och Hôpital de Cannes - Simone Veil.

 Denna attack följer på det amerikanska rättsväsendets avslöjande av den ryske medborgaren Dmitry Khoroshev som utvecklare, skapare och administratör av ransomware-gänget.

Kritiskt fel i MOVEit transfer utnyttjades inom en dag efter offentliggörandet, brådskande korrigeringar lanserade

 Hotaktörer utnyttjar ett kritiskt fel i Progress MOVEit Transfer för att kringgå autentisering, bara en dag efter att det avslöjats. MOVEit Transfer, som används för säker filöverföring i företagsmiljöer, har en ny sårbarhet som identifierats som CVE-2024-5806. Denna brist gör det möjligt för angripare att kringgå autentisering i SFTP-modulen, vilket potentiellt gör att de kan komma åt och manipulera känslig data på servern.

Shadowserver Foundation rapporterade exploateringsförsök kort efter Progress bulletin om CVE-2024-5806. Cirka 2 700 MOVEit Transfer-instanser är exponerade online, främst i USA, Storbritannien, Tyskland, Kanada och Nederländerna. Sårbarheten gör det möjligt för angripare att manipulera SSH-vägar för offentliga nycklar, vilket potentiellt kan exponera Net-NTLMv2-hashar.

Exploit-kod och tekniska detaljer är allmänt tillgängliga. Organisationer uppmanas att tillämpa säkerhetsuppdateringarna och begränsningarna omedelbart. Patchar för påverkade versioner (2023.0.11, 2023.1.6 och 2024.0.2) finns tillgängliga på Progress Community-portalen.

Snowblind Malware utnyttjar säkerhetsfunktion i Android för att kringgå skydd mot manipulering

En ny Android-attackvektor från skadlig kod som kallas Snowblind utnyttjar en säkerhetsfunktion för att kringgå skydd mot manipulering i appar som hanterar känslig användardata. Snowblind paketerar om målapparna så att de inte kan upptäcka missbruk av tillgänglighetstjänster, vilket används för att fånga upp användarinmatningar som inloggningsuppgifter eller få fjärrkontroll för skadliga åtgärder.

Till skillnad från andra malware i Android utnyttjar Snowblind "seccomp" (secure computing), en funktion i Linux-kärnan för kontroll av applikationsintegritet, som är utformad för att blockera skadliga systemanrop. Promon, ett säkerhetsföretag för mobilappar, analyserade Snowblinds verksamhet efter att ha fått ett prov från i-Sprint, en partner som specialiserar sig på systemskydd för åtkomst och identitet.

Seccomp begränsar systemanrop för att minska attackytor, men Snowblinds teknik verkar vara underskattad, vilket gör att många appar är sårbara. Promons forskare säger att Snowblind kan inaktivera säkerhetsfunktioner som tvåfaktorsautentisering eller biometrisk verifiering, vilket gör det möjligt för angripare att läsa känslig skärminformation, kontrollera appar och exfiltrera personligt identifierbar information och transaktionsdata.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.