Content 

01. News Bites
  • TfL drabbat av cyberattack, vaksamhet rekommenderas medan utredningen fortskrider
  • Cisco åtgärdar kritisk sårbarhet för kommandoinjektion som möjliggör eskalering av root-privilegier
  • Ransomware-gruppen RansomHub har riktat in sig på 210 offer
  • USA stör stor rysk kampanj för att påverka valet 2024 med falska domäner och AI-innehåll
  • Tre män erkänner sig skyldiga till att ha drivit OTP.Agency och lurat brittiska bankkunder på miljonbelopp
02. Conclusion

Quick News Bites

TfL drabbat av cyberattack, vaksamhet rekommenderas medan utredningen fortskrider

Transport for London (TfL) utsätts för närvarande för en cyberattack och har bett National Crime Agency (NCA) och National Cyber Security Centre (NCSC) om hjälp. Trots den pågående incidenten försäkrade TfL allmänheten om att ingen kunddata har äventyrats och att tjänsterna förblir opåverkade. Backoffice-systemen har dock påverkats och personalen har ombetts att arbeta hemifrån.

Vi rekommenderar att kunderna är vaksamma under incidenter som denna och råder resenärer att övervaka sina konton för att se om det förekommer någon ovanlig aktivitet, samt att se till att lösenord och inloggningsuppgifter är säkra. Vårt team betonar vikten av att aktivera tvåfaktorsautentisering på konton som är kopplade till TfL, till exempel Oyster-kort eller onlinetjänster.

Den fulla omfattningen av intrånget är oklar, men TfL arbetar tillsammans med myndigheterna för att begränsa attacken. Allmänheten bör iaktta försiktighet ifall situationen förvärras.

Cisco åtgärdar kritisk sårbarhet för kommandoinjektion som möjliggör eskalering av root-privilegier

Cisco har åtgärdat en sårbarhet för kommandoinjektion, spårad som CVE-2024-20469, vilket gör det möjligt för angripare att eskalera privilegier till root på sårbara system. Bristen, som finns i Ciscos Identity Services Engine (ISE)-lösning, beror på otillräcklig validering av input från användaren. Detta gör att lokala angripare kan utföra skadliga kommandon genom lågkomplexa attacker som inte kräver någon användarinteraktion.

Ett framgångsrikt utnyttjande är dock endast möjligt om angriparna redan har administratörsrättigheter på system som inte har patchats. I ett säkerhetsmeddelande varnade Cisco för att proof-of-concept exploateringskod för denna sårbarhet är allmänt tillgänglig, även om ingen aktiv exploatering i naturen har upptäckts.

Cisco tog också bort ett bakdörrskonto i sin Smart Licensing Utility Windows-programvara, som kunde ge angripare administrativ åtkomst till opatchade system. I april patchades dessutom andra kritiska sårbarheter, bland annat en i Integrated Management Controller (IMC) och en annan som påverkar Security Email Gateway (SEG) enheter, för att förhindra privilegieeskalering och systemkrascher.

Ransomware-gruppen RansomHub har riktat in sig på 210 offer

 Hotaktörer kopplade till ransomware-gruppen RansomHub har krypterat och stulit data från över 210 offer sedan februari 2024, enligt den amerikanska regeringen. RansomHub har riktat in sig på sektorer som hälso- och sjukvård, offentliga tjänster och kritisk infrastruktur, inklusive vatten, IT och räddningstjänster.

RansomHub, en ättling till Cyclops- och Knight-varianterna, fungerar som en plattform för ransomware-as-a-service (RaaS) och lockar samarbetspartners från stora grupper som LockBit och ALPHV. Den använder en dubbel utpressningsmodell, exfiltrerar och krypterar data innan den kräver lösen via en .onion URL.

Väl inne använder RansomHub-medlemmar verktyg som Mimikatz för att eskalera privilegier och förflytta sig genom nätverk. Experter rekommenderar övervakning av ovanlig inloggningsaktivitet och användning av endpoint detection and response (EDR) -lösningar för att identifiera misstänkt aktivitet tidigt.

Allt eftersom ransomware-taktiker utvecklas är det viktigt att använda robusta säkerhetskopieringsstrategier och offline-säkerhetskopior för återhämtning i händelse av en attack.

Vi råder organisationer att prioritera att patcha sårbarheter i viktiga programvaror som Apache ActiveMQ, Atlassian Confluence och Citrix ADC för att begränsa exponeringen. Implementering av nätverkssegmentering och multifaktorautentisering (MFA) är avgörande för att förhindra att angripare rör sig i sidled.

USA stör stor rysk kampanj för att påverka valet 2024 med falska domäner och AI-innehåll

USA:s regering meddelade att man avbrutit en stor rysk kampanj med kodnamnet ”Doppelganger”, som använde cybersquatting-domäner, AI-genererat innehåll, influencers och sociala medieplattformar för att sprida desinformation. Kampanjen, som syftade till att blanda sig i det amerikanska presidentvalet 2024, försökte också minska det internationella stödet för Ukraina och främja prorysk politik.

Justitiedepartementet beslagtog 32 domäner som skapats för att efterlikna legitima nyhetssidor som The Washington Post och sprida falska historier för att vilseleda besökare. AI-genererat innehåll och falska journalistprofiler användes för att driva rysk propaganda, särskilt via sociala medier.

Två ryska medborgare, Kostiantyn Kalashnikov och Elena Afanasyeva, som är kopplade till det statligt kontrollerade mediebolaget RT, har åtalats för sina roller. RT betalade ett Tennessee-baserat företag för att sprida splittrande innehåll på sociala plattformar. Finansdepartementet införde också sanktioner mot 10 personer som var inblandade i operationen, medan utrikesdepartementet erbjöd belöningar för information om associerade grupper som RaHDit.

Tre män erkänner sig skyldiga till att ha drivit OTP.Agency och lurat brittiska bankkunder på miljonbelopp

 Tre män har erkänt sig skyldiga till att ha drivit OTP.Agency, en plattform som hjälpte brottslingar att stjäla engångslösenord (OTP) från brittiska bankkunder. OTP:er är tillfälliga lösenord som används vid multifaktorautentisering för att säkra konton. Kriminella som prenumererade på tjänsten använde dessa koder för att komma åt offrens bankkonton.

Trion, Callum Picari (22), Vijayasidhurshan Vijayanathan (21) och Aza Siddeeque (19), riktade in sig på över 12 500 personer mellan september 2019 och mars 2021, då National Crime Agency (NCA) stängde ner webbplatsen. Picari ägde och utvecklade plattformen, medan Siddeeque marknadsförde den och tillhandahöll teknisk support.

OTP.Agency erbjöd abonnemang från 30 till 380 pund, vilket gav tillgång till OTP:er för över 30 tjänster, inklusive banker som HSBC och Lloyds. Myndigheterna tror att gruppen kan ha tjänat upp till 7,9 miljoner pund. Trion står nu åtalad för konspiration för att begå bedrägeri, tillhandahålla bedrägliga verktyg och penningtvätt, med dom planerad till den 2 november.

Closing Summary

Om du är orolig för några av de hot som nämns i detta meddelande eller behöver hjälp med att avgöra vilka steg du bör ta för att skydda dig mot de mest betydande hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt kontakta oss för att ta reda på hur du kan skydda din organisation.

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.