Perspektivet - April 2024

Cisco har hatt en dårlig måned, VPN-bokser er fortsatt sårbare, og jeg har lest en bok om blockchain.

Mye VPN denne måneden.

April måned markeres av en rekke sårbarheter og angrep mot VPN-enheter. Måneden startet med Palo Alto og en kritisk sårbarhet i deres PanOS-programvare. Mange hadde en hektisk dag, da svært mange brannmurer ble påvirket. Men Palo Alto var på ballen og ga informasjon fortløpende.

Denne hendelsen ble etterfulgt av et Cisco-varsel om en pågående kampanje mot VPN-enheter. Der prøvde en trusselaktør å bruke brute force på brukernavn og passord på en rekke populære produkter fra flere leverandører. Kampanjen sees i sammenheng med et liknende angrep mot Cisco-brannmurer i slutten av mars. Mars-angrepene var knyttet til "Brutus" botnettet.

Vi avsluttet måneden med en statsstøttet trusselaktør som utnyttet to null-dag sårbarheter i Cisco ASA- og FTD-produkter. Ifølge Cisco Talos har de indikasjoner på at trusselaktøren drev med utvikling og testing i juli 2023, måneder før de ser de første tegnene på kompromittering i januar 2024.

Ifølge Coalitions "2024 Cyber Claims Report" [1], som analyserer cyberforsikringsmarkedet, var det fem ganger mer sannsynlig at organisasjoner med internett-eksponerte Cisco ASA-enheter opplevde et krav i 2023 sammenlignet med året før. Dette tydeliggjør behovet for å ta grep for å sikre VPN-tilkoblinger. Tiden er overmoden for at organisasjoner investerer i utfasingen av gamle VPN-enheter. Om VPN-enheten er "end of life" eller ikke støtter multifaktor autentisering, så bør den avvikles i dag.

Dette er ikke for å henge ut Cisco (ikke mye mer enn Fortinet eller Ivanti), men dette viser at disse enhetene er en risiko for de organisasjonene som benytter seg av denne typen eksponerte VPN-bokser.

[1] 2024 Cyber Claims Report - Coalition

Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400) - Volexity
Large-scale brute-force activity targeting VPNs, SSH services with commonly used login credentials - Cisco Talos
ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices - Cisco Talos
Exploitation of vulnerabilities affecting Cisco Firewall Platforms - NCSC UK

2024 Cyber Claims Report - Coalition

Spennende rapport om cyberforsikringer og de meldte skadene i løpet av 2023. Rapporten viser en økning i meldte skader på 13% sammenlignet med året før og en økning på 10% i alvorlighetsgraden. Overraskende nok kom 56% av alle krav fra svindel (Business Email Compromise eller “direktørsvindel”), kun 19% av de rapporterte skadene kom fra løsepengevirus.

Det har vært mange meninger om cyberforsikringer, om det faktisk er verdt det eller ikke. Jeg vet rett og slett ikke nok til å ha en mening. Men rapporten gir oss en pekepinn på at organisasjoner bør vekte dekning for svindel noe høyere når de vurderer leverandør av cyberforsikringer.

Anbefalt nyhetsbrev

Ingen denne måneden

Anbefalt bok

Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency - Andy Greenberg

Jeg har nesten lest ferdig denne boken i løpet av april og den fanget meg mye mer enn jeg forventet. Jeg forventet ikke mindre av Andy Greenberg, mannen bak boken «Sandworm». «Tracers in the Dark» gir oss et godt innblikk i hvordan kriminelle, påtalemyndigheter og private selskaper har vært involvert i de store Bitcoin sakene (f.eks Mt. Gox, Silk Road og AlphaBay).

Anbefalt podcast

Search Engine

PJ Vogt svarer på de merkeligste spørsmålene. Fra hvorfor vi ikke har flyvende biler til hvem som står bak meldingene i “pig butcherings” svindel. PJ Vogt er også mannen som en gang dro til India for å finne ut hvem som sto bak en svindelsamtale han mottok.
Who's behind these scammy text messages we've all been getting?

Anbefalt lesing

Jeg satt sammen en liste over anbefalt lesestoff, som også inkluderer videoer, for eksempel foredrag og lignende.

AI-enabled Crime - Mikko Hyppönen (video)

Spennende foredrag fra Mikko om AI (KI), cyberkriminalitet og en floppy disk.
https://www.youtube.com/live/Wc1yCYgwjfg?si=ZR9DFhIoNDxow-5J

Health care giant comes clean about recent hack and paid ransom

Change Healthcare er et godt eksempel på hvordan du ikke skal håndtere en it-sikkerhetshendelse. Angrepet påvirket et stort antall helseinstitusjoner i USA og har kostet store summer. I mars rapporterte Wired at Change Healthcare hadde betalt løspengene, men det var ikke bekreftet inntil nå. Bekreftelsen kom under en høring i kongressen.

SECURITY REVELATIONS: Messages between Chinese hackers show Australian Strategic Policy Institute is a target - The Nightly

Artikkelen gir litt mer innsikt i forholdet mellom den kinesiske stat og private sikkerhetsselskaper i Kina. Den koblinger har vært kjent lenge, men det er sjelden offentligheten får se noe av dokumentasjonen.

Intrusion Truth Methods: How Can They Get It Right Again and Again? -Natto Thoughts

Natto Thoughts har publisert en artikkel om de antatte metodene til "Intrusion Truth". "Intrusion Truth" er en anonym gruppe som publiserer bloggposter som avdekker identiteten til kinesiske trusselaktører.

My hell in Myanmar cyber slavery camp - BBC

Jeg tror de fleste har hørt om “pig butchering” svindel (i Norge har vi også brukt “kjærlighetssvindel”), der ofrene blir “feitet” opp i flere måneder før svindlerne slår til. Dessverre er det flere ofre enn bare de som blir svindlet for penger, også de som blir tvunget til å gjennomføre svindelen er ofre. Dette er historien til en av dem.

John Oliver hadde et innslag om "pig butchering" svindel.
Pig Butchering Scams: Last Week Tonight with John Oliver (HBO) - Youtube

Verktøy

VolWeb

VolWeb er en digital plattform for analyse av minne som benytter seg av Volatility 3 rammeverket.
https://github.com/k1nd0ne/VolWeb

LM Studio

Med LM Studio kan du både laste ned og kjøre LLM lokalt i din datamaskin. Finnes for Mac, Windows og Linux. Jeg har benyttet meg av LM Studio i noen uker nå og funnet den veldig nyttig.

Subscribe to Perspektivet

Sign up now to get access to the library of members-only issues.
Jamie Larson
Subscribe