Ransomware-attack stör tjänster hos California Credit Union, återhämtning kan ta veckor

 En Kalifornien-baserad kreditförening med över 450 000 medlemmar utsattes för en ransomware-attack, vilket störde kontotjänster och kan potentiellt ta veckor att återhämta sig från. Patelco Credit Unions VD Erin Mendez informerade medlemmarna den 1 juli om att attacken den 29 juni orsakat begränsad funktionalitet i internetbanken och flera andra tjänster. Patelco stängde proaktivt av dagliga banksystem för att begränsa problemet, vilket påverkade transaktioner, överföringar, betalningar och insättningar. Trots dessa utmaningar fungerar betalkort och kreditkort fortfarande med begränsad kapacitet.

Patelco, ett icke-vinstdrivande kooperativ med tillgångar på 9 miljarder USD, prioriterar en säker återställning av sina system och samarbetar med experter på cybersäkerhet samt med tillsynsmyndigheter och brottsbekämpande myndigheter. Medlemmar har rapporterat svårigheter.

Patelco avstår från avgifter, varnar för fler avbrott och har ett diagram som visar vilka tjänster som inte är tillgängliga. Kreditföreningen undersöker incidentens omfattning och potentiella risker för personlig information.

Europols operation Morpheus tar ner nästan 600 IP-adresser kopplade till illegala kopior av Cobalt Strike

Europol meddelade att en veckolång operation i slutet av juni tog ner nästan 600 IP-adresser som stöder olagliga kopior av Cobalt Strike. Fortras red-teaming-verktyg missbrukas ofta av cyberbrottslingar i ransomware-operationer som Ryuk, Trickbot och Conti. Operation Morpheus, som genomfördes mellan den 24 och 28 juni, involverade brottsbekämpande myndigheter från flera länder, däribland Storbritannien, USA, Kanada och Tyskland, och samordnades av Europol.

Under operationen flaggades 690 IP-adresser kopplade till kriminell verksamhet till leverantörer av onlinetjänster, vilket resulterade i att 593 adresser togs ned. Partners från den privata sektorn som BAE Systems, Trellix och Spamhaus stödde insatsen med hjälp av Europols plattform för informationsutbyte om malware och bidrog med över 730 hotunderrättelser och nästan 1,2 miljoner indikatorer på kompromettering.

Forskarna lyfte fram Cobalt Strikes utbredning bland cyberbrottslingar och nationalstatliga aktörer, vilket understryker operationens betydelse. Trots framgången är Kinas betydande andel av Cobalt Strikes resurser fortfarande orörda.

Kritiskt RCE-fel i OpenSSH exponerar miljontals Linux-system för potentiell fullständig systemkompromittering

Ett oautentiserat RCE-fel (Remote Code Execution) i OpenSSH:s server på glibc-baserade Linux-system, identifierat som CVE-2024-6387, har upptäckts, vilket potentiellt kan leda till att hela systemet äventyras utan användarinteraktion. Qualys Threat Research Unit lyfte fram detta i ett blogginlägg den 1 juli och noterade att felet kan göra det möjligt för angripare att köra godtycklig kod med de högsta privilegierna, vilket kan leda till installation av skadlig kod, datamanipulation och att skapa bakdörrar för ihållande åtkomst.

Forskarna identifierade över 14 miljoner potentiellt sårbara OpenSSH-serverinstanser som exponeras online, med cirka 700 000 externa internetvända instanser som är sårbara i Qualys globala kundbas. Felet, som kallas regreSSHion, är en regression av CVE-2006-5051, som återinfördes i oktober 2020. Forskarna betonade allvaret, eftersom det påverkar OpenSSH:s standardkonfiguration och inte kräver användarinteraktion.

Vi rekommenderar omedelbar patchhantering, förbättrad åtkomstkontroll, nätverkssegmentering och tillfälliga åtgärder för att förhindra exploatering och fullständiga komprometteringar av systemen.

Ökning av ransomware: Över 4 000 nya offer registrerade under förra året, småföretag mest drabbade

Under de senaste 12 månaderna har mer än 4 000 nya offer för ransomware registrerats, vilket innebär en ökning med 77% från 2023, med 4 374 nya fall upptäckta i 75 länder. Enbart under Q1 2024 drabbades 1 046 offer av 43 olika hotaktörer, enligt cybersäkerhetsforskare.

Vid lanseringen av Cy-Xplorer 2024-rapporten i Antwerpen förklarades att offren övervakas via läcksidor på dark web och ofta listas för att de inte betalar lösensummor. Opportunistiska hotgrupper riktar i allt högre grad in sig på småföretag, som löper fyra gånger större risk att drabbas än större företag på grund av svagare cybersäkerhetsåtgärder.

Forskningen identifierade också över 200 fall av "re-victimisation", där offren attackerades flera gånger, med 39 fall upptäckta under Q1 2024. Diana Selck-Paulsson, global lead security researcher, konstaterade att hälften av dessa nya angrepp inträffade inom 80 till 302 dagar, ofta på grund av att angriparna bytte mellan olika ransomware-grupper, vilket förvärrade offrets situation.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.