Weekly Cyber News Roundup

19 -23 juni 2023

Quick News Bites

Välkommen till vår veckosammanfattning av cybernyheter, där vi ger dig de senaste och viktigaste uppdateringarna från cybersäkerhetsvärlden.

Fler MOVEIT- offer avslöjades inklusive amerikanska energidepartementet, PwC, EY och många fler

Antalet MOVEIT-offer fortsätter att växa, och nya fall dyker upp varje dag. De senaste involverar det amerikanska energidepartementet och de stora finansiella företagen PwC och EY. Detta kommer som särskilt negativa nyheter för PwC, som för närvarande strävar efter att återställa statligt förtroende efter en tidigare läcka av konfidentiella skatteuppgifter.

 Eftersom nya studier tyder på att ransomeware-gruppen C10P identifierade och började testa sårbarheten för över ett år sedan förväntas det att ytterligare offer kommer att avslöjas under de kommande veckorna och månaderna.

 I mer än tjugo år har alla typer av stora organisationer gynnat MOVEit på grund av dess pålitliga service och robusta filkrypteringsmöjligheter. Därför kan vad vi för närvarande bevittnar vara bara toppen av ett isberg.

Cl0p har uppgett att offerlistan är betydande, men den har ännu inte avslöjat den fulla graden av skadan. Ändå har information som den har avslöjat fram till nu varit betydande nog för att motivera ett uttalande om en nödsituation för cybersäkerhet.

Europeiska investeringsbanken attackerades av Killnet när ryska hackare lovar att förstöra västerländska finansiella system

Europeiska investeringsbanken (EIB) är det senaste offret för ryska hackare, bara dagar efter det att hot om att destabilisera det västerländska finansiella systemet framfördes.

En representant från EIB bekräftade att banken ”för närvarande var under en cyberattack”, vilket påverkade tillgängligheten till flera av dess webbplatser. Denna attack följer ett nyligen framfört hot från rysktalande hackare som lovade att inleda cyberangrepp på västerländska finansinstitutioner som vedergällning för deras stöd till Ukraina.

Killnett- gruppen, som tar på sig ansvaret för de förestående attackerna, uttalade på Telegram förra veckan att de skulle ”motverka galningarna enligt mantrat ”inga pengar- inga vapen – ingen Kiev-regim.” ”

Denna grupp är främst kända för att distribuera så kallade ”distributed denial of service” (DDoS) attacker som överbelastar en webbplats med en så enorm trafikvolym att den faller sönder.

En EIB- talesperson bekräftade att banken arbetar med att ta itu med attacken. De tillade ”trots att olika grupper tar på sig ansvaret för denna incident kommer vi inte att ägna oss åt spekulationer i detta skede”.

EIB, som ägs av medlemsstaterna, fungerar som Europeiska unionens utvecklingsbank och förvaltar över 500 miljarder euro på sin balansräkning.

Cybersäkerhetsexperter tror att Killnet-gruppen kan vara en kader av ryska hackare med potentiella kopplingar till landets myndigheter.

Breach av University of Manchester – Studenter och personal skickade lösenkrav

Universitetsstudenter och personal har fått e-postmeddelanden som varnar dem för en förestående dataläcka, enligt uppgift från hackare som är ansvariga för en nyligen genomförd cyberattack.

Den 6 juni infiltrerades vissa system vid University of Manchester av en obehörig enhet.

Enligt BBC har den sett ett meddelande som fungerade som en ”sista varning” för exponering av personuppgifter, med hänvisning till universitetets misslyckande med att möta hackarnas krav.

Universitetet, som är hem för cirka 40 000 studenter och 12 000 anställda, har kommunicerat att det arbetar obevekligt för att åtgärda problemet men har ännu inte verifierat omfattningen av personer som påverkats av händelsen.

Det mottagna mejlet varnar studenter och personal för att deras personuppgifter skulle handlas på den svarta marknaden om inte universitetet betalar en lösensumma.

En universitetsrepresentant sa: ”I kölvattnet av cyberincidenten som vi rapporterade tidigare den här månaden är vi medvetna om att vissa anställda och studenter har fått e-postmeddelanden som påstår sig vara från de ansvariga.”

Representanten betonade att all personal och studenter bör vara försiktiga när de öppnar misstänkta eller nätfiske e-postmeddelanden och bör rapportera dem till universitetets IT- avdelning.

Hon nämnde vidare att universitetet ”arbetar dygnet runt” för att ”avgöra vilken data som har nåtts” och ”riktar alla tillgängliga resurser” mot att lösa problemet. Hon tillade att alla som berörs av händelsen ska kontaktas via officiella universitets kanaler.

Universitetet samarbetar med Information Commissioner’s Office, Nort West Organized Crime Unit och National Cyber Security Center som svar på cyberattcken.

Undersökningar visar att många brittiska myndigheter är mycket sårbara för cyberattacker

En utredning av TaxPayers Alliance har väckt oro över cybersäkerhetsställningen hos viktiga brittiska regeringsdepartement, inklusive de som hanterar hälsovård, socialvård och skatteindrivning. Enligt Freedom of Information (FoI) förfrågningar har dessa departement visat sig förlita sig på föråldrad programvara som kan göra dem mottagliga för cyberhot och att ”äldre” servrar och databaser användes. Många av dessa system i Whitehall är så ålderdomliga att de saknar Microsofts stöd och skulle kräva betydande utgifter för att uppgradera eller ersätta.

Endast tre departement svarade på FoI- förfrågningarna som gjordes. Data från HM Revenue and Customs (HMRC) avslöjade användningen av ett stort antal sårbara servrar och databaser. Department of Health and Social Care (DHSC) och UK Aotmic Energy Authority visade sig också använda föråldrad programvara.

Avslöjandena ställer tvivel om DHSC:s förmåga att effektivt svara på stora hälsokriser, som den senaste pandemin, med tanke på deras beroende av föråldrade system. Det väcker också frågar om HMRC:s mål om ett digitaliserat skattesystem.

En före detta tjänsteman och cybersäkerhetsarbetare som blev visselblåsare i Whitehall sa till tidningen Guardian: ”Den kontinuerliga användningen av äldre system i regeringen är helt oförsvarlig och skamlig… Allmänheten kan inte tro att deras personuppgifter skyddas av regeringen på grund av dessa föråldrade system… Sårbarheterna i dessa system är allmänt kända, och skadlig programvara från hyllan är lättillgänglig. Bristen på grundläggande säkerhetsåtgärder är en anledning till oro i ljuset av högt specialiserade cyberattacker från skickliga hackare i länder som Ryssland och Kina. Som skattebetalare har vi rätt till bättre.”

Alphv/BlackCat ransomeware-gäng tar på sig ansvaret för hackning av Reddit i februari

Alph/BlackCat ransomeware-gänget har erkänt att de orkestrerat cyberintrånget i februari 2023 mot den populära sociala nätverkssajten Reddit. De påstår sig ha stulit 80 gigabyte information under attacken.

Reddit erkände säkerhetsöverträdelsen strax efter att den inträffade tidigare under året och karakteriserade den som en noggrant planerad och mycket fokuserad nätfiskeoperation. Angriparna ska ha beslagtagit en anställds inloggningsuppgifter och autentiseringstokens på andra lagret.

Gärningsmannen ska ha fått tillgång till en rad data, inklusive intern dokumentation, affärssystem, källkod, hundratals kontakter och personalinformation och till och med annonsörsinformation. Reddit försäkrade dock användarna om att inga bevis tydde på att produktionssystem, användarlösenord eller konton hade äventyrats.

Förra helgen inkluderade Alphv/BlackCat ransomeware-gruppen hacket av Reddit på sin webbplats som skryter om 80 GB stulen data. Gruppen har krävt en lösensumma på 4,5 miljoner dollar och insisterar på att den ska betalas i utbyte mot att de stulna uppgifterna ska utplånas. Dessutom vill de också att Reddit ska stoppa de förestående API- prisändringarna.

Efter att ha dykt upp i november 2021, arbetar Alphv/BlackCat på en Ransomeware-as-a-Service (RaaS) affärsmodell. Gruppen är ökända inte bara för att ha distribuera filkrypterande ransomeware utan också för ytterligare tvångsstrategier som datastöd och offentliga exponeringshot, lanserar DDoS-angrepp (Distributed Denial of Service) och plågar offrens partners, anställda och klienter.

Avslutande sammanfattning

Om du är orolig för något av hoten som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten som din organisation står inför, kontakta din kontoansvarige alternativt ta kontakt för att ta reda på hur du kan skydda din organisation.

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.

Need advice?

If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.

More detailed threat intelligence news?

If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.

We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.

Security-first-stacked-logo4-No-Padding

Cyber Security Conference

LONDON | 28 April 2022
DUBLIN | 11 May 2022

Join us in Dublin or London for the Security First 2022 conference.  We'll be bringing together industry professionals and specialist experts to discuss the latest cyber security trends and offer actionable advice on preparing your business to put security first in 2022.