Perspektivet - April 2024
Cisco har hatt en dårlig måned, VPN-bokser er fortsatt sårbare, og jeg har lest en bok om blockchain.
Mye VPN denne måneden.
April måned markeres av en rekke sårbarheter og angrep mot VPN-enheter. Måneden startet med Palo Alto og en kritisk sårbarhet i deres PanOS-programvare. Mange hadde en hektisk dag, da svært mange brannmurer ble påvirket. Men Palo Alto var på ballen og ga informasjon fortløpende.
Denne hendelsen ble etterfulgt av et Cisco-varsel om en pågående kampanje mot VPN-enheter. Der prøvde en trusselaktør å bruke brute force på brukernavn og passord på en rekke populære produkter fra flere leverandører. Kampanjen sees i sammenheng med et liknende angrep mot Cisco-brannmurer i slutten av mars. Mars-angrepene var knyttet til "Brutus" botnettet.
Vi avsluttet måneden med en statsstøttet trusselaktør som utnyttet to null-dag sårbarheter i Cisco ASA- og FTD-produkter. Ifølge Cisco Talos har de indikasjoner på at trusselaktøren drev med utvikling og testing i juli 2023, måneder før de ser de første tegnene på kompromittering i januar 2024.
Ifølge Coalitions "2024 Cyber Claims Report" [1], som analyserer cyberforsikringsmarkedet, var det fem ganger mer sannsynlig at organisasjoner med internett-eksponerte Cisco ASA-enheter opplevde et krav i 2023 sammenlignet med året før. Dette tydeliggjør behovet for å ta grep for å sikre VPN-tilkoblinger. Tiden er overmoden for at organisasjoner investerer i utfasingen av gamle VPN-enheter. Om VPN-enheten er "end of life" eller ikke støtter multifaktor autentisering, så bør den avvikles i dag.
Dette er ikke for å henge ut Cisco (ikke mye mer enn Fortinet eller Ivanti), men dette viser at disse enhetene er en risiko for de organisasjonene som benytter seg av denne typen eksponerte VPN-bokser.
[1] 2024 Cyber Claims Report - Coalition
Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400) - Volexity
Large-scale brute-force activity targeting VPNs, SSH services with commonly used login credentials - Cisco Talos
ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices - Cisco Talos
Exploitation of vulnerabilities affecting Cisco Firewall Platforms - NCSC UK
2024 Cyber Claims Report - Coalition
Spennende rapport om cyberforsikringer og de meldte skadene i løpet av 2023. Rapporten viser en økning i meldte skader på 13% sammenlignet med året før og en økning på 10% i alvorlighetsgraden. Overraskende nok kom 56% av alle krav fra svindel (Business Email Compromise eller “direktørsvindel”), kun 19% av de rapporterte skadene kom fra løsepengevirus.
Det har vært mange meninger om cyberforsikringer, om det faktisk er verdt det eller ikke. Jeg vet rett og slett ikke nok til å ha en mening. Men rapporten gir oss en pekepinn på at organisasjoner bør vekte dekning for svindel noe høyere når de vurderer leverandør av cyberforsikringer.
Anbefalt nyhetsbrev
Ingen denne måneden
Anbefalt bok
Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency - Andy Greenberg
Jeg har nesten lest ferdig denne boken i løpet av april og den fanget meg mye mer enn jeg forventet. Jeg forventet ikke mindre av Andy Greenberg, mannen bak boken «Sandworm». «Tracers in the Dark» gir oss et godt innblikk i hvordan kriminelle, påtalemyndigheter og private selskaper har vært involvert i de store Bitcoin sakene (f.eks Mt. Gox, Silk Road og AlphaBay).
Anbefalt podcast
Search Engine
PJ Vogt svarer på de merkeligste spørsmålene. Fra hvorfor vi ikke har flyvende biler til hvem som står bak meldingene i “pig butcherings” svindel. PJ Vogt er også mannen som en gang dro til India for å finne ut hvem som sto bak en svindelsamtale han mottok.
Who's behind these scammy text messages we've all been getting?
Anbefalt lesing
Jeg satt sammen en liste over anbefalt lesestoff, som også inkluderer videoer, for eksempel foredrag og lignende.
AI-enabled Crime - Mikko Hyppönen (video)
Spennende foredrag fra Mikko om AI (KI), cyberkriminalitet og en floppy disk.
https://www.youtube.com/live/Wc1yCYgwjfg?si=ZR9DFhIoNDxow-5J
Health care giant comes clean about recent hack and paid ransom
Change Healthcare er et godt eksempel på hvordan du ikke skal håndtere en it-sikkerhetshendelse. Angrepet påvirket et stort antall helseinstitusjoner i USA og har kostet store summer. I mars rapporterte Wired at Change Healthcare hadde betalt løspengene, men det var ikke bekreftet inntil nå. Bekreftelsen kom under en høring i kongressen.
SECURITY REVELATIONS: Messages between Chinese hackers show Australian Strategic Policy Institute is a target - The Nightly
Artikkelen gir litt mer innsikt i forholdet mellom den kinesiske stat og private sikkerhetsselskaper i Kina. Den koblinger har vært kjent lenge, men det er sjelden offentligheten får se noe av dokumentasjonen.
Intrusion Truth Methods: How Can They Get It Right Again and Again? -Natto Thoughts
Natto Thoughts har publisert en artikkel om de antatte metodene til "Intrusion Truth". "Intrusion Truth" er en anonym gruppe som publiserer bloggposter som avdekker identiteten til kinesiske trusselaktører.
My hell in Myanmar cyber slavery camp - BBC
Jeg tror de fleste har hørt om “pig butchering” svindel (i Norge har vi også brukt “kjærlighetssvindel”), der ofrene blir “feitet” opp i flere måneder før svindlerne slår til. Dessverre er det flere ofre enn bare de som blir svindlet for penger, også de som blir tvunget til å gjennomføre svindelen er ofre. Dette er historien til en av dem.
John Oliver hadde et innslag om "pig butchering" svindel.
Pig Butchering Scams: Last Week Tonight with John Oliver (HBO) - Youtube
Verktøy
VolWeb
VolWeb er en digital plattform for analyse av minne som benytter seg av Volatility 3 rammeverket.
https://github.com/k1nd0ne/VolWeb
LM Studio
Med LM Studio kan du både laste ned og kjøre LLM lokalt i din datamaskin. Finnes for Mac, Windows og Linux. Jeg har benyttet meg av LM Studio i noen uker nå og funnet den veldig nyttig.