Londonråd drabbade av cyberattack som orsakar omfattande tjänstestörningar

Tre kommuner i London har tvingats aktivera nödlägesåtgärder efter att en cyberattack orsakat stora störningar i delade IT-system. Royal Borough of Kensington and Chelsea och Westminster City Council bekräftade att flera interna system påverkades, inklusive telefonlinjer och onlinetjänster, vilket ledde till förebyggande nedstängningar för att begränsa ytterligare skador och skydda invånarnas uppgifter. På grund av delad infrastruktur har även London Borough of Hammersmith and Fulham infört ytterligare skyddsåtgärder, vilket orsakat ytterligare operativa störningar.

Myndigheterna uppger att de arbetar nära specialister på cyberincidenter och National Cyber Security Centre. Utredningar pågår och även om ingen hotgrupp offentligt tagit på sig ansvaret tror säkerhetsexperter att incidenten kan involvera ransomware kopplat till en tredjepartsleverantör. Information Commissioner’s Office har informerats och invånarna hålls uppdaterade medan systemen gradvis återställs.

Shai-Hulud-attack mot leveranskedjan sprider sig från npm till Maven och exponerar tusentals utvecklare

En andra våg av Shai-Hulud-attacken har spridit sig bortom npm och nått Maven-ekosystemet, vilket belyser de växande riskerna för leveranskedjor inom öppen källkod. Forskare identifierade ett skadligt Maven-paket, org.mvnpm:posthog-node:4.18.1, som speglar samma smygande komponenter som tidigare använts i komprometterade npm-bibliotek. Även om paketet inte publicerades direkt av originalprojektet genererades det automatiskt av ett system som paketerar om npm-moduler till Maven-artefakter. Alla kända infekterade kopior har tagits bort.

Attacken är utformad för att stjäla känsliga uppgifter, inklusive molnuppgifter, API-nycklar och GitHub- och npm-token, samt möjliggöra djupare kompromettering av utvecklingsmiljöer. Över 28 000 repositorier har påverkats och tusentals hemligheter har exponerats. Skadeprogrammet använder avancerade undandragningstekniker, skadliga CI-arbetsflöden och självreplikering för att spridas snabbt. Säkerhetsteam uppmanar till omedelbar nyckelrotation, beroendegranskningar och förstärkning av CI/CD-miljöer.

Cyberattack mot CodeRED-leverantör lämnar amerikanska städer utan krislarmsystem

Städer och samhällen över hela USA förlorade tillgången till CodeRED:s nödlarmssystem efter en cyberattack mot leverantören Crisis24. Plattformen används för att skicka säkerhetsmeddelanden i realtid, inklusive vädervarningar, efterlysningar av försvunna personer och säkerhetsincidenter. Flera kommuner utfärdade nästan identiska meddelanden som bekräftade störningar efter intrånget.

Douglas County i Colorado har avslutat sitt avtal och söker en alternativ leverantör, medan andra myndigheter väntar på att Crisis24 ska slutföra arbetet med en ny plattform som uppges köra i en separat, icke komprometterad miljö. Flera regioner har tillfälligt gått över till notifieringar via sociala medier eller dörr-till-dörr-kommunikation.

Crisis24 bekräftade att personuppgifter, inklusive namn, adresser, e-postuppgifter, telefonnummer och lösenord, har åtkommits. Invånare uppmanas att byta lösenord, särskilt om de återanvänts. Ransomware-gruppen INC har tagit på sig ansvaret, publicerat exempel på stulna data och hotat att sälja återstående information efter misslyckade lösensummförhandlingar.

CISA varnar för spionagekampanjer som riktar sig mot meddelandeappar med spionprogram

USA:s Cybersecurity and Infrastructure Security Agency har utfärdat en varning om att hotaktörer aktivt använder kommersiell spionprogramvara och fjärråtkomsttrojaner för att angripa användare av populära mobilappar för meddelanden. Enligt myndigheten använder angripare starkt riktad social ingenjörskonst för att kapa konton och få tillgång till privata kommunikationer, innan ytterligare skadlig kod distribueras för att helt kompromettera offrens enheter.

Nya kampanjer inkluderar försök att ta över Signal-konton via funktionen för länkade enheter, Android-spionprogram som ProSpy, ToSpy och ClayRat samt riktat utnyttjande av tidigare okända sårbarheter i iOS-, WhatsApp- och Samsung-enheter. Dessa attacker förlitar sig ofta på QR-koder för enhetslänkning, så kallade nollklicks-exploiter och falska versioner av betrodda appar.

Aktiviteten riktar sig främst mot högt värderade individer, inklusive statliga tjänstemän, militär personal och civilsamhällesaktörer i USA, Europa och Mellanöstern. CISA har uppmanat riskutsatta användare att införa starkare autentisering, säkra mobila konton och regelbundet uppdatera sina enheter för att minska exponeringen.

FBI varnar för kraftig ökning av kontokapningsbedrägerier kopplade till bankimitationer

FBI har rapporterat en betydande ökning av bedrägerier genom kontokapning, där brottslingar har stulit över 262 miljoner dollar sedan årets början genom att utge sig för att vara finansinstitut. Internet Crime Complaint Center har mottagit över 5 100 rapporter om dessa attacker, som påverkat privatpersoner, företag och organisationer inom flera sektorer.

I dessa upplägg använder hotaktörer nätfiske, falska webbplatser och social ingenjörskonst för att lura offer att lämna ut inloggningsuppgifter och engångskoder. När åtkomst väl uppnåtts överför brottslingarna snabbt medel till konton kopplade till kryptoplånböcker och ändrar sedan lösenord för att låsa ute legitima kontoinnehavare. Återvinning är ofta mycket svår på grund av överföringarnas hastighet och användningen av kryptovaluta.

FBI har uppmanat användare att noggrant övervaka sina finansiella konton, använda starka och unika lösenord, aktivera multifaktorautentisering och endast besöka bankwebbplatser via betrodda bokmärken. Offer rekommenderas att omedelbart kontakta sin bank, begära återkallelse av överförda medel och rapportera incidenter via officiella kanaler.

Om du är orolig för något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig från de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt hör av dig för att ta reda på hur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar dem, aktuella per publiceringsdatum. Det ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Eventuella rekommendationer bör beaktas i kontexten av din egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom behöver de uttryckta åsikterna inte nödvändigtvis vara Integrity360:s åsikter.