Taggat med: COVID-19

Så genomför rysk underrättelsetjänst cyberattacker

FBI DHS Cozy Bear

Amerikanska FBI har tillsammans med DHS släppt en publikation om hur IT-system kan skyddas mot cyberattacker från Ryska federationens underrättelsetjänst (SVR).

Rapporten tar upp den skadliga koden WELLMESS som använts för att stjäla information från företag som har med COVID-19 att göra. Bakom WellMess står grupperingen Blue Kitsune som även går under APT 29, Cozy Bear, Yttrium eller the Dukes som attribueras till rysk underrättelsetjänst.

Även påpekar man i rapporten att APT29 sedan 2018 fokuserar på att lågintensivt testa lösenord och angripa Office 365. Även tar man upp CVE-2019-19781 som då var en zero-day sårbarhet i Citrix NetScaler som använts för att ta sig in i nätverk.

Också intressant är att man nämner SolarWinds och hur modus operandi efterliknar SVR. Bland annat följande:

The FBI suspects the actors monitored IT staff to collect useful information about the victim networks, determine if victims had detected the intrusions, and evade eviction actions. 

Några av tipsen från DHS och FBI lyder enligt följande:

  • Granskning av loggfiler för att identifiera försök att få tillgång till certifikat och skapa falska identifieringsleverantörer.
  • Använd programvara för att identifiera misstänkt beteende på system, inklusive körning av kodad PowerShell.
  • Implementera klientmjukvara med möjlighet att övervaka beteendemässiga indikatorer på intrång.
  • Försök att identifiera autentiseringsmissbruk inom molnmiljöer.
  • Konfigurera autentiseringsmekanismer för att bekräfta vissa användaraktiviteter på system, inklusive registrering av nya enheter.

Intressant också att man nämner zero-trust och loggkorrelation som åtgärder som kan försvåra för ryska cyberangripare.

Rapporten går att ladda hem här i sin helhet (pdf):

Hotlandskapet 2020

Den europeiska säkerhetsmyndigheten ENISA har precis släppt rapporten över cyberhotlandskapet 2020, detta är den åttonde gången de släpper Threat Landscape Report (ETL).

Följande infografik tycker jag bra representerar den statistik som är underlag för ENISA:s bedömning av Threat Landscape 2019-2020:

Rapporten pekar på att COVID-19 gjorde att många organisationer snabbt var tvungen att skynda på sin digitala transformering och därmed så förändrades också hotbilden och de utmaningar som många som jobbar med cybersäkerhet ställs inför.

Den största motiveringen bakom cyberattacker är finansiella motiv samt så är det ransomware som kostar organisationer mest pengar. Fler och fler organisationer genomför förebyggande arbete i form av Cyber Threat Intelligence (CTI).

Egentligen så är det inte en enda rapport som ENISA släpper utan sju stycken olika som riktar sig mot olika målgrupper:

  • THE YEAR IN REVIEW
  • CYBER THREAT INTELLIGENCE OVERVIEW
  • SECTORAL AND THEMATIC THREAT ANALYSIS
  • MAIN INCIDENTS IN THE EU AND WORLDWIDE
  • RESEARCH TOPICS
  • EMERGING TRENDS
  • LIST OF TOP 15 THREATS

Här kan du läsa respektive rapport från ENISA: