Secunor

Would you like to earn millions of dollars?

Posted by Chris Culinaon 2021-08-202021-08-21in Hendelseshåndtering, Sikkerhetsstyring, TrusseletterretningLeave a comment

Sånn starter en melding lagt igjen til brukere hos et nylig LockBit2.0 ransomware-offer.

Would you like to earn millions of dollars? Our company acquire access to networks of various companies, as well as insider information that can help you steal the most valuable data of any company. You can provide us accounting data for the access to any company, for example, login and password to RDP, VPN, corporate email, etc. Open our letter at your email. Launch the provided virus on any computer in your company. Companies pay us the foreclosure for the decryption of files and prevention of data leak. You can communicate with us through the Tox messenger
LockBit2.0, juli 2021

Brukernavn og passord på avveie, passordgjetting basert på tidligere passordlekkasjer (credential stuffing), utnyttelse av kjente sårbarheter, og kjøpt tilgang – det er de vanligste angrepsvektorene som benyttes i dagens ransomware-angrep. Disse angrepsvektorene kan virksomheter motvirke gjennom generell cyberhygiene, som håndheving av en moderne passordpolicy, bruk av 2-faktor ved innlogging, samt tidsriktig installasjon av sikkerhetsoppdateringer. Rekruttering av latente innsidetrusler krever andre tiltak.

Datalekkasje via kommersielle filopplastingstjenester

Posted by Chris Culinaon 2021-08-172021-08-17in Hendelseshåndtering, Sikkerhetsstyring, TrusseletterretningLeave a comment

I dag ble det kjent at en norsk virksomhet med ca 3000 ansatte har blitt offer for HiveLeaks ransomware, som hevder å ha eksfiltrert ca 500 GB data fra virksomhetens systemer. HiveLeaks har en interessant ting til felles med LockBit2.0, som Secunor nylig møtte på i en hendelseshåndtering, og det er eksfiltrasjon via allment tilgjengelige filopplastingstjenester.

Hvordan går man frem for å sikre en virksomhet som driver med alt?

Posted by Chris Culinaon 2021-07-012021-07-07in Sikkerhetsstyring, SlipsLeave a comment

Det finnes drøyt 200 000 virksomheter med ansatte i Norge. 356 av dem er ganske spesielle. De driver barnehager, sykehjem og alt imellom. Primærhelsetjeneste, vaksinasjon, skjenkebevilling, park og idrett. Omfattende bygningsdrift og kritisk infrastruktur. De forvalter store verdier på vegne av mange mennesker, og har både administrativ og politisk ledelse. Kommunene må være noe av det mest utfordrende å holde kontroll på – eller revidere.

Hvor god er reaksjonsevnen din?

Posted by Chris Culinaon 2021-06-222021-07-07in HendelseshåndteringLeave a comment

The DFIR Report skrev nylig en artikkel om en økonomisk motivert trusselaktør, sannsynligvis gruppa/samlingen som kalles TA551. Bruken av malspam, skadevare og andre verktøy er på ingen måte oppsiktsvekkende eller nyhetsverdig, men at det tar én time fra en bruker lures til å åpne et ondsinnet Word-dokument til trusselaktøren har skaffet seg kontroll over infrastrukturen, er definitivt noe å stoppe opp og tenke over. Dersom tilsvarende ikke ble fanget opp av sikringstiltakene i din infrastruktur, og fikk lov til å utfolde seg på samme måten – hva hadde resultatet blitt? Hvor god er reaksjonsevnen din?

Prometheus ransomware

Posted by Chris Culinaon 2021-06-152021-08-19in HendelseshåndteringLeave a comment

I månedsskiftet mai/juni har Secunor håndtert ransomware-hendelser forårsaket av den nokså ukjente gruppa “Prometheus” for to norske virksomheter, og fått betydelig innsikt i hendelser hos andre ofre i Norge og utlandet.

Ny hverdag, nye jaktmarker

Posted by Chris Culinaon 2021-01-172021-01-17in SlipsLeave a comment

Nå er det sikkert noen år siden du vurderte hvorvidt virksomheten var sårbar for tjenestenektangrep. Det er tilfeldigvis også noen år siden tjenestenektangrep var nyhetsstoff. Det er for lengst byttet ut med løsepengevirus for massene og digital spionasje for de utvalgte.

Read More “Ny hverdag, nye jaktmarker”

Lav moral og litt startkapital

Posted by Chris Culinaon 2020-11-132020-11-13in SlipsLeave a comment

Det er alt som trengs for å starte som cyber-kriminell i dag. Angrepsverktøy, adresselister, e-postutsendelser, utpressings- og hvitvaskingstjenester – alt er tilgjengelig for den som mangler moralske sperrer og kan avse litt kryptovaluta. Risikoen for å bli tatt er lav. Så lav at det for noen kan virke legitimt. Enkelhet, tilgjengelighet, høy avkastning og lav risiko gjør at stadig flere kaster seg på bølgen, og profiterer på den lave sikkerhetsbevisstheten i samfunnet.

Datakriminalitet har utviklet seg fra en eksklusiv klubb bestående av eksperter og nasjonalstater til et lovløst lykkeland for opportunister. Denne utviklingen har medført en endring i trusselbildet i retning av det kaotiske. Bredden blant trusselaktørene gjør at motivasjonen er variert. Internetts grenseoverskridende natur gjør at geografisk lokasjon har liten betydning. Kort oppsummert; Alle har digitale verdier som er interessante for noen, og en motivert trusselaktør kan med lav kostnad og risiko ramme verdiene fra hvor som helst i verden, når som helst.

Om trusseletterretning

Posted by Chris Culinaon 2020-11-122020-11-12in TrusseletterretningLeave a comment

Trusseletterretning, threat intelligence, threat intel, cyber threat intel, TI og CTI – uttrykkene brukes om hverandre, ofte med varierende innhold. Noen sidestiller det med IoC, “indicators of compromise”, tekniske indikatorer (også kalt atomiske indikatorer, f.eks. en IP-adresse, et domenenavn eller en filhash) som kan brukes til å identifisere kjent trusselaktivitet. Andre fastholder at trusseletterretning er nettopp etterretning – sammenstilt og nøye vurdert informasjon som gir retning og veiledning når man skal ta stilling til konkrete spørsmål.