Tietoturvauutiset 15.12.2020

Sunburst-kyberhyökkäykset

Amerikkalaisen IT-tuoteyhtiö SolarWindsin Orion-verkonhallintatuotetta käytettiin apuna erittäin hienostuneessa toimitusketjuhyökkäyksessä, jolla murtautuduttiin useiden amerikkalaisten virastojen, tietoturvayhtiö FireEyen ja monien muiden yritysten verkkoihin. Hyökkäys on kestänyt useita kuukausia maaliskuusta 2020 asti, ja sen takana epäillään olevan Venäjän valtion Cozy Bear (APT29)-ryhmittymä. Hyökkäys toteutettiin lisäämällä haitallinen .dll-tiedosto SolarWindsin ohjelmistojakeluun. Haitallisen tiedoston ladanneita organisaatioita on noin 18 000.

https://www.reuters.com/article/us-usa-solarwinds-cyber-idUSKBN28N0Y7

https://www.zdnet.com/article/fireeye-one-of-the-worlds-largest-security-firms-discloses-security-breach/

https://www.wsj.com/articles/u-s-cyber-firm-fireeye-says-it-was-breached-by-nation-state-hackers-11607461408

https://www.cnn.com/2020/12/13/politics/us-agencies-investigating-hacking-data-breach/index.html

https://www.washingtonpost.com/national-security/russian-government-spies-are-behind-a-broad-hacking-campaign-that-has-breached-us-agencies-and-a-top-cyber-firm/2020/12/13/d5a53b88-3d7d-11eb-9453-fc36ba051781_story.html

https://www.reuters.com/article/us-usa-cyber-treasury-exclsuive-idUSKBN28N0PG

https://www.wsj.com/articles/agencies-hacked-in-foreign-cyber-espionage-campaign-11607897866

Kiristyshaittaohjelmat 

Kiristyshaittaohjelmahyökkäykset sairaaloihin ovat vaatineet Saksassa niin ihmishengen, kuin taloudellisia tappioita. Suurien lunnaiden maksamisesta uutisointi on antanut hyökkääjille entistä enemmän motivaatiota hyökätä terveydenhuoltoa vastaan. 

Maailman suurimman elektroniikkavalmistajan Foxconnin Meksikon tehtaaseen hyökättiin DoppelPaymer-kiristyshaittaohjelmalla. Hyökkääjät vaativat 34 miljoonan dollarin lunnaita. Hyökkääjien tähän mennessä julkaisemat varastetut tiedostot eivät sisältäneet taloustietoja tai työntekijöiden henkilötietoja.

https://www.bleepingcomputer.com/news/security/foxconn-electronics-giant-hit-by-ransomware-34-million-ransom/

IT- ja ylläpitopalveluiden tarjoaja Netgain on joutunut sulkemaan konesalejaan eristääkseen kiristyshaittaohjelmahyökkäyksen. 

https://www.bleepingcomputer.com/news/security/ransomware-forces-hosting-provider-netgain-to-take-down-data-centers/

Please_Read_Me-hyökkäyskampanja on tänä vuonna kaapannut yli 85 000 MySQL-palvelinta bruteforce-hyökkäyksillä. Yhteensä palvelimet sisältävät 250 000 tietokantaa, joita hyökkääjät kauppaavat nyt verkossa.

https://www.darkreading.com/threat-intelligence/85000-mysql-servers-hit-in-active-ransomware-campaign/d/d-id/1339673

Muut kyberhyökkäykset 

Euroopan lääkevirasto on joutunut hyökkäyksen kohteeksi, ja hyökkääjät ovat päässeet urkkimaan esimerkiksi Pfizerin rokotteeseen liittyviä tiedostoja.

https://www.bbc.com/news/technology-55249353

https://www.zdnet.com/article/eu-agency-in-charge-of-covid-19-vaccine-approval-says-it-was-hacked/

Subwayn markkinointijärjestelmä murrettiin ja sitä käytettiin lähettämään TrickBot-haittaohjelman sisältäviä sähköpostiviestejä Isossa-Britanniassa. 

https://www.bleepingcomputer.com/news/security/subway-marketing-system-hacked-to-send-trickbot-malware-emails/

Norjan poliisin mukaan venäläinen valtiollinen Fancy Bear (APT28)-ryhmä on luultavasti takana Norjan parlamenttiin kohdistuneen hyökkäyksen takana. Hyökkääjät pääsivät käsiksi eräiden edustajien ja työntekijöiden sähköpostitileihin. 

https://www.bleepingcomputer.com/news/security/norway-russian-apt28-state-hackers-likely-behind-parliament-attack/

Haavoittuvuudet 

Venäjän valtion tukemat hyökkääjät ovat käyttäneet VMware-tuotteissa esiintyvää haavoittuvuutta päästäkseen käsiksi suojattuihin tietoihin. 

https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2434988/russian-state-sponsored-malicious-cyber-actors-exploit-known-vulnerability-in-v/

D-Linkin VPN-reitittimet ovat saaneet päivityksen haavoittuvuuteen, joka estää hyökkääjiltä laitteiden etänä tapahtuvan haltuunoton. 

https://www.bleepingcomputer.com/news/security/d-link-vpn-routers-get-patch-for-remote-command-injection-bugs/

Kaikki Kuberneteksen versiot ovat haavoittuvaisia MiTM -haavoittuvuudelle CVE-2020-8554. Haavoittuvuuden uskotaan kuitenkin koskevan vain pientä osaa olemassaolevista asennuksista, sillä se vaatii konfiguraation joka ei ole yleinen ja jota ei suositella.

https://www.bleepingcomputer.com/news/security/all-kubernetes-versions-affected-by-unpatched-mitm-vulnerability/

Muut tietoturvauutiset 

68 % kyberhyökkäyksen uhreista joutuvat toisen hyökkäyksen uhriksi vuoden sisällä ensimmäisestä. 

https://www.infosecurity-magazine.com/news/victim-organizations-suffer-second/

Suomen Tulli sulki Sipulimarket –nimisen esimerkiksi huumeita myyneen sivuston pimeästä verkosta Europolin tuella. 

https://www.europol.europa.eu/newsroom/news/finnish-customs-take-down-sipulimarket-dark-web-europol-support

Saksalainen suojattujen sähköpostien tarjoaja Tutanota on pakotettu alueellisen oikeuden määräyksellä tuottamaan palveluunsa takaovi jolla yksittäisen sähköpostitilin tietoliikennettä voidaan seurata.  

https://techcrunch.com/2020/12/08/german-secure-email-provider-tutanota-forced-to-monitor-an-account-after-regional-court-ruling/

Voit helposti varata ajan keskustellaksesi asiantuntijamme kanssa

Jätä yhteydenottopyyntö ja palaamme sinulle puhelimitse tai sähköpostitse

Kategoria Ajankohtaista