Cyber security news May 2023

This posting is here to collect cyber security news in May 2023.

I post links to security vulnerability news to comments of this article.

You are also free to post related links to comments.

379 Comments

  1. Tomi Engdahl says:

    New Russian-linked CosmicEnergy malware targets industrial systems https://www.bleepingcomputer.com/news/security/new-russian-linked-cosmicenergy-malware-targets-industrial-systems/
    Mandiant security researchers have discovered a new malware called CosmicEnergy designed to disrupt industrial systems and linked to Russian cybersecurity outfit Rostelecom-Solar (formerly Solar Security). The malware specifically targets IEC-104-compliant remote terminal units (RTUs) commonly used in electric transmission and distribution operations across Europe, the Middle East, and Asia

    Reply
  2. Tomi Engdahl says:

    European Cybersecurity Firm Sekoia.io Raises $37.5 Million
    https://www.securityweek.com/european-cybersecurity-firm-sekoia-io-raises-37-5-million/

    European XDR and threat intelligence provider Sekoia.io has raised €35 million ($37.5 million) in Series A funding.

    Reply
  3. Tomi Engdahl says:

    Major Massachusetts Health Insurer Hit by Ransomware Attack, Member Data May Be Compromised
    https://www.securityweek.com/major-massachusetts-health-insurer-hit-by-ransomware-attack-member-data-may-be-compromised/

    The second-largest health insurer in Massachusetts was the victim of a ransomware attack in which sensitive personal information as well as health information of current and past members may have been compromised.

    Reply
  4. Tomi Engdahl says:

    Memcyco Raises $10 Million in Seed Funding to Prevent Website Impersonation
    https://www.securityweek.com/memcyco-raises-10-million-in-seed-funding-to-prevent-website-impersonation/

    Website impersonation detection and prevention company Memcyco raises $10 million in seed funding.

    Website impersonation detection and prevention company Memcyco on Wednesday announced that it has raised $10 million in a seed funding round led by Capri Ventures and Venture Guides.

    Founded in 2021, the Tel Aviv, Israel-based company provides an authenticity platform that keeps organizations and their users safe from phishing attacks.

    Also referred to as brandjacking, website impersonation involves directing users to fraudulent copies of a website to trick them into revealing their financial and personal information.

    Memcyco’s proof of source authenticity (PoSA) solution relies on artificial intelligence to analyze behavioral patterns and deliver real-time detection capabilities. In addition to providing brands with details on identified attacks, it warns users to keep them protected.

    Reply
  5. Tomi Engdahl says:

    Helsingin kaupunki ilmoitti tietoturvaloukkauksesta – suositun nettipalvelun käyttäjien tietoja päätynyt verkkoon
    Samuli Leppälä26.5.202312:50|päivitetty26.5.202312:50TIETOTURVAYKSITYISYYSGDPR
    Kaikki käyttäjäprofiilit on poistettu OmaStadi-sivustolta.
    https://www.tivi.fi/uutiset/helsingin-kaupunki-ilmoitti-tietoturvaloukkauksesta-suositun-nettipalvelun-kayttajien-tietoja-paatynyt-verkkoon/c3b39ea1-3e49-4111-8b16-d9c3b77584b1

    Reply
  6. Tomi Engdahl says:

    Uutta nettiuhkaa on vaikea tunnistaa – näin viaton tekstin­pätkä muuttuu vaaralliseksi https://www.is.fi/digitoday/tietoturva/art-2000009602884.html

    GOOGLE on tuonut internetiin käyttöön uusia ylätason verkkotunnuksia, eli verkko-osoitteen päätteitä, jollaisia ovat vanhastaan esimerkiksi .fi, .com, .biz, .jobs tai .travel. Uusien tunnusten, kuten .dad, .nexus ja .foo, joukossa ovat .zip ja .mov. Ars Technican mukaan tämä voi olla onnenpotku rikollisille.

    Vaara piilee siinä, että sopivia verkko-osoitteita rekisteröimällä rikollisen ei tarvitse tehdä muuta kuin odotella vierailijoita, joilta voi sitten onkia tietoja tai joille voi syöttää haittaohjelmia. Tämä on mahdollista, koska monet sosiaalisen median sovellukset tai sähköpostiohjelmat muuntavat viestikenttään kirjoitetut osoitteet automaattisesti klikattaviksi linkeiksi.

    Jos siis joku jatkossa lähettää kaverilleen viestin, jossa on vaikkapa saatteena teksti photos.zip, teksti voi muuttua automaattisesti linkiksi, joka vie rikollisen hallussa olevalle verkkosivulle osoitteessa photos.zip. Viestin vastaanottajalla ei ole mitään syytä epäillä vaaraa, koska viesti tulee luotetulta henkilöltä. Myös lähettäjää on vaikea moittia mistään.

    INTERNETIN ylätason verkkopäätteiden tiukasta sääntelystä luovuttiin vuonna 2011,

    SUOMALAISIA käyttäjiä suojannee jonkin verran se, että kotimaisia tiedostonimiä, kuten valokuvat.zip, tuskin rekisteröidään haitallisiksi verkkosivuiksi yhtä ahkerasti. Lisäksi Googlen mielestä uhkaa ei pitäisi muutenkaan olla, koska yhtiö aikoo valvoa näiden verkkotunnusten käyttöä uhkien varalta.

    Google myös luottaa Google Safe Browsing palveluunsa, jonka avulla eri selaimet – ei vain Chrome – tunnistavat vaarallisia verkkosivuja.

    Zip-tiedostot ovat itsessään olleet houkuttelevia rikollisille. Tiedostoihin on pakattu haittaohjelmia ja niitä on tarjottu erilaisilla verukkeilla pahaa aavistamattomille käyttäjille. Historiallisesti zip-paketteihin piilotetut sähköpostitse lähetetyt haittaohjelmat ovat onnistuneet pitkältä välttämään automaattiset virustarkistukset.

    Reply
  7. Tomi Engdahl says:

    Microsoft’s Surface Pro X cameras have stopped working for everyone / Owners of Microsoft’s flagship Arm-powered tablet are struggling to dial in to video calls this week.
    https://www.theverge.com/2023/5/24/23735639/microsoft-surface-pro-x-camera-not-working-error-fix

    Reply
  8. Tomi Engdahl says:

    Helsingin kaupunki ilmoitti tietoturvaloukkauksesta suositun nettipalvelun käyttäjien
    https://www.tivi.fi/uutiset/tv/c3b39ea1-3e49-4111-8b16-d9c3b77584b1
    tietoja päätynyt verkkoon. Helsingin kaupungin julkaiseman tiedotteen mukaan OmaStadi.hel.fi-sivustolla on. tapahtunut henkilötietojen tietoturvaloukkaus. Kaupunkilaiset ovat voineet käyttää OmaStadi-palvelua ideoidakseen ja äänestääkseen,. miten kaupunki käyttää 8, 8 miljoonaa euroa. Palvelussa ei ole kuitenkaan kuvattu.
    tarpeeksi selvästi sitä, että OmaStadiin luodut profiilit ovat julkisesti. tarkasteltavissa.

    Reply
  9. Tomi Engdahl says:

    S-ryhmä varoitti 600 000 asiakasta näin tilitietoja yritetään kalastella nyt https://www.tivi.fi/uutiset/tv/f5290827-caa8-46f6-8aa0-6c136cb4969e
    S-ryhmään kuuluvan S-Pankin tietoon on tullut huijauspuheluita, joissa S-Pankin. edustajaksi esittäytyvä soittaja on koettanut saada asiakkaalta varoja tai. pankkitunnukset. “Pankilla on tiedossa toistaiseksi vain muutama tapaus, mutta haluamme varoittaa.
    asiakkaitamme ilmiöstä”, kertoo fraud-kehityspäällikkö Jouni Määttä S-Pankin sivustolla.

    Reply
  10. Tomi Engdahl says:

    Teollisuuskonserni ABB on joutunut tietomurron kohteeksi – myös henkilötietoja on vuotanut
    https://yle.fi/a/74-20033795
    Teollisuuskonserni ABB ilmoittaa joutuneensa tietomurron kohteeksi.
    ABB:n julkaiseman kansainvälisen tiedotteen mukaan luvaton kolmas osapuoli on saanut. käyttöönsä joitain ABB:n järjestelmiä sekä ottanut käyttöönsä kiristysohjelmia. Yhtiö ei kerro, onko tietomurrolla ollut vaikutuksia sen toimintaan Suomessa, tai onko. murrossa vuotanut mahdollisesti myös suomalaisten henkilötietoja.

    Reply
  11. Tomi Engdahl says:

    Inner workings revealed for “Predator, ” the Android malware that exploited 5 0-days https://arstechnica.com/information-technology/2023/05/inner-workings-revealed-for-predator-the-android-malware-that-exploited-5-0-days/
    An analysis Talos published on Thursday provides the most detailed look yet at Predator,. a piece of advanced spyware that can be used against Android and iOS mobile devices. Predator is developed by Cytrox, a company that Citizen Lab has said is part of an. alliance called Intellexa, “a marketing label for a range of mercenary surveillance. vendors that emerged in 2019.” Other companies belonging to the consortium include Nexa. Technologies (formerly Amesys), WiSpear/Passitora Ltd., and Senpai. (Alkup.
    https://blog.talosintelligence.com/mercenary-intellexa-predator/)

    Reply
  12. Tomi Engdahl says:

    New Info Stealer Bandit Stealer Targets Browsers, Wallets https://www.trendmicro.com/en_us/research/23/e/new-info-stealer-bandit-stealer-targets-browsers-wallets.html
    A newly emerged information-stealing malware named Bandit Stealer is gaining traction as. it targets numerous browsers and cryptocurrency wallets while evading detection. Currently, there is a growing interest and promotional activity within the malware. community to increase awareness and use of the malware. While the focus of targeting is. limited to the Windows platform as of this writing, it has the potential to expand to. other platforms as Bandit Stealer was developed using the Go programming language,. possibly allowing cross-platform compatibility.

    Reply
  13. Tomi Engdahl says:

    QBot malware abuses Windows WordPad EXE to infect devices https://www.bleepingcomputer.com/news/security/qbot-malware-abuses-windows-wordpad-exe-to-infect-devices/
    The QBot malware operation has started to abuse a DLL hijacking flaw in the Windows 10. WordPad program to infect computers, using the legitimate program to evade detection by. security software. QBot, also known as Qakbot, is a Windows malware that initially started as a banking. trojan but evolved into a malware dropper. Ransomware gangs, including Black Basta,. Egregor, and Prolock, have partnered with the malware operation to gain initial access. to corporate networks to conduct extortion attacks.

    Reply
  14. Tomi Engdahl says:

    Tässä on paras ilmainen virus­tutka
    https://www.is.fi/digitoday/tietoturva/art-2000009602377.html
    PUOLUEETON virustutkien testaaja AV-Test arvioi 18 kodeille ja Windows 10:lle suunnattua tietoturvaohjelmistoa. Vertailun parhaaksi ylsi ilmainen tuote Avast Free Antivirus yhdessä viiden maksullisen tuotteen kanssa. Kaikki saivat täydet 18 pistettä. Erot tuotteiden välillä eivät ole suuren suuria. Testin toiseksi paras ilmainen virustutka on Windows 10:ssä jo valmiiksi mukana oleva Defender Antivirus.

    Reply
  15. Tomi Engdahl says:

    Varoitus Android-käyttäjille, näinkin voi käydä: Googlen sovelluskaupasta ladattu sovellus ryhtyi vakoilemaan käyttäjiään
    https://www.tivi.fi/uutiset/tv/94e8169e-131e-4eb2-9eb7-e647adf10a20
    Ars Technica uutisoi Stefankon löydöksestä. Syyskuussa 2021 Play Kaupassa julkaistiin viattomalta vaikuttava sovellus iRecorder Screen Recorder, joka nimensä mukaisesti on tarkoitettu tallentamaan videota puhelimen ruudun tapahtumista. 11 kuukautta myöhemmin, elokuussa 2022, sovellus sai päivityksen ja täysin uuden toiminnallisuuden. Mukaan tuli troijalainen, joka lisäsi sovellukseen häijyn piirteen. Se alkoi puhelimen mikrofonien avulla tallentaa ympäristön ääniä 15 minuutin välein ja lähettää tallenteitaan kehittäjän palvelimelle. (Alkup.
    https://arstechnica.com/information-technology/2023/05/app-with-50000-google-play-installs-sent-attackers-mic-recordings-every-15-minutes/

    Reply
  16. Tomi Engdahl says:

    Clever File Archiver In The Browser’ phishing trick uses ZIP domains https://www.bleepingcomputer.com/news/security/clever-file-archiver-in-the-browser-phishing-trick-uses-zip-domains/
    A new ‘File Archivers in the Browser’ phishing kit abuses ZIP domains by displaying fake WinRAR or Windows File Explorer windows in the browser to convince users to launch malicious files. Earlier this month, Google began offering the ability to register ZIP. TLD domains, such as bleepingcomputer.zip, for hosting websites or email addresses.

    Reply
  17. Tomi Engdahl says:

    Tietomurtoja tapahtuu paljon enemmän kuin mitä julkisuudessa kerrotaan
    28.5.202308:32
    Tietomurrot ovat yrityksille merkittävä uhka, joten niistä ei haluta huudella julkisesti.
    https://www.mikrobitti.fi/uutiset/tietomurtoja-tapahtuu-paljon-enemman-kuin-mita-julkisuudessa-kerrotaan/aebf36df-a05f-4aba-8de6-290970da9e69

    Reply
  18. Tomi Engdahl says:

    Researchers fully compromise AMD fTPM, confirming voltage fault injection vulnerability
    Method exposes all cryptographic information and neutralizes BitLocker
    https://www.techspot.com/news/98536-researchers-fully-compromise-amd-ftpm-confirming-voltage-fault.html

    Reply
  19. Tomi Engdahl says:

    The whole Super Mario Bros. Movie was uploaded to Twitter
    By Jody Macgregor published 26 days ago
    But does it count as really watching it? David Lynch has yet to reply.
    https://www.pcgamer.com/the-whole-super-mario-bros-movie-was-uploaded-to-twitter/

    Reply
  20. Tomi Engdahl says:

    AMD TPM Exploit: faulTPM Attack Defeats BitLocker and TPM-Based Security (Updated)
    By Paul Alcorn published 26 days ago
    Zen 2 and Zen 3 are vulnerable to voltage glitching.
    https://www.tomshardware.com/news/amd-tpm-hacked-faultpm

    Reply
  21. Tomi Engdahl says:

    Intel Deploys Undisclosed Microcode Security Update For CPUs Going Back To Coffee Lake
    By Zhiye Liu published 16 days ago
    The security issue affects a wide range of CPUs spanning from mobile to server lineups.
    https://www.tomshardware.com/news/intel-microcode-security-update

    Reply
  22. Tomi Engdahl says:

    Jos laittaa Googleen hauksi “puhelin avautuu itsestään”, saa yli 209 miljoonaa tuosta. Mutta miksi puhelimet avautuvat itsestään? Asiantuntijoiden mukaan kyse voi olla GhostTouch-hyökkäyksestä, joka voi aiheuttaa käyttäjille ongelmia, sanoo NordVPN:n kyberturvallisuusasiantuntija Adrianus Warmenhoven.

    GhostTouch on uusin näytön hakkerointihyökkäys, jonka avulla rikolliset voivat hakkeroida käyttäjän puhelimen etänä. Yksinkertaisesti sanottuna hyökkääjät käyttävät sähkömagneettisia signaaleja simuloidakseen kosketustapahtumia, kuten napautuksia ja pyyhkäisyjä kosketusnäytön kohdistetuissa paikoissa. Tavoitteena on ottaa älypuhelin haltuun, jolloin voisi käyttää sen dataa ja jopa asentaa laitteeseen haittaohjelmia.

    https://etn.fi/index.php/13-news/15014-pitaeaekoe-olla-huolissaan-jos-kaennykaen-naeyttoe-avautuu-itsestaeaen

    Reply
  23. Tomi Engdahl says:

    New Russia-Linked CosmicEnergy ICS Malware Could Disrupt Electric Grids
    https://www.securityweek.com/new-russia-linked-cosmicenergy-ics-malware-can-disrupt-electric-grid/

    Mandiant has analyzed a new Russia-linked ICS malware named CosmicEnergy that is designed to cause electric power disruption.

    Reply
  24. Tomi Engdahl says:

    Zyxel Firewalls Hacked by Mirai Botnet
    A Mirai botnet has been exploiting a recently patched vulnerability tracked as CVE-2023-28771 to hack many Zyxel firewalls.
    https://www.securityweek.com/zyxel-firewalls-hacked-by-mirai-botnet-via-recently-patched-vulnerability/

    Reply
  25. Tomi Engdahl says:

    Organizations Worldwide Targeted in Rapidly Evolving Buhti Ransomware Operation
    https://www.securityweek.com/organizations-worldwide-targeted-in-rapidly-evolving-buhti-ransomware-operation/

    The recently identified Buhti operation uses LockBit and Babuk ransomware variants to target Linux and Windows systems.

    A recently identified ransomware operation called Buhti is using LockBit and Babuk variants to target both Linux and Windows systems, Symantec reports.

    Initially observed in February 2023, the Buhti operation, which Symantec calls Blacktail, has been rapidly expanding since mid-April, exploiting recent vulnerabilities for initial access, and relying on a custom tool to steal victim files.

    In a recent attack, the Buhti operators used a minimally modified version of the LockBit 3.0 (LockBit Black) ransomware to target Windows machines. The builder for LockBit leaked online in September 2022.

    Previously, the operators were seen targeting Linux systems with the Golang-based variants of Babuk, the first ransomware to target ESXi systems. Babuk’s code leaked online in 2021.

    Reply
  26. Tomi Engdahl says:

    Mikko Hyppönen kommentoi suomalaisiin it-taloihin osuneita kyberhyökkäyksiä:
    ”potentiaalia isompiinkin ongelmiin”
    https://www.tivi.fi/uutiset/tv/c76d1c6a-84d1-4dd7-aafe-7f02d63cba20

    Maaliskuussa peräti kaksi suomalaista ohjelmistoyhtiötä joutui lyhyen ajan sisällä kyberhyökkäysten kohteeksi. Verkkokiristäjät iskivät sekä Lemonsoftiin että Oscar Softwareen. Jälkimmäiselle kyseessä oli jo toinen kerta parin vuoden sisällä.

    Kiristäjien iskut juuri yritysohjelmistoja toimittaviin yhtiöihin ovat WithSecuren tutkimusjohtajan Mikko Hyppösen mielestä erityisen huolestuttavia.

    Reply
  27. Tomi Engdahl says:

    Valtionyhtiö kilpailuttaa jopa 20 miljoonan pilvidiiliä https://www.tivi.fi/uutiset/tv/bea6326c-245e-4f5f-8fbd-8b39ed89cdde

    Valtionyhtiö Suomen Erillisverkot Oy kilpailuttaa jopa 20 miljoonan euron arvoista sopimusta ”turvapilvikumppanille”. Kyseessä on puolustus- ja turvallisuushankinta. Hankinnassa käytetään kilpailullista neuvottelumenettelyä.

    Erillisverkot tarjoaa konesalipalveluita, tietoliikennepalveluita ja tilannekuvapalveluita viranomaisille ja huoltovarmuuskriittisille toimijoille.
    Hankinnan kohteena ovat yhtiön pilvialustaratkaisun toteutus ja hallintapalvelut. Erikoispiirteenä on, että hankinnan kohteen tulee pystyä käsittelemään turvallisuusluokan IV aineistoa.

    Reply
  28. Tomi Engdahl says:

    Lazarus hackers target Windows IIS web servers for initial access https://www.bleepingcomputer.com/news/security/lazarus-hackers-target-windows-iis-web-servers-for-initial-access/

    The notorious North Korean state-backed hackers, known as the Lazarus Group, are now targeting vulnerable Windows Internet Information Services (IIS) web servers to gain initial access to corporate networks.

    Lazarus is primarily financially motivated, with many analysts believing that the hackers’ malicious activities help fund North Korea’s weapons development programs. However, the group has also been involved in several espionage operations.

    The latest tactic of targeting Windows IIS servers was discovered by South Korean researchers at the AhnLab Security Emergency Response Center (ASEC).

    Reply
  29. Tomi Engdahl says:

    New BrutePrint Attack Lets Attackers Unlock Smartphones with Fingerprint Brute-Force https://thehackernews.com/2023/05/new-bruteprint-attack-lets-attackers.html

    Researchers have discovered an inexpensive attack technique that could be leveraged to brute-force fingerprints on smartphones to bypass user authentication and seize control of the devices.

    The approach, dubbed BrutePrint, bypasses limits put in place to counter failed biometric authentication attempts by weaponizing two zero-day vulnerabilities in the smartphone fingerprint authentication (SFA) framework.

    Reply
  30. Tomi Engdahl says:

    PyPI Implements Mandatory Two-Factor Authentication for Project Owners https://thehackernews.com/2023/05/pypi-implements-mandatory-two-factor.html

    The Python Package Index (PyPI) announced last week that every account that maintains a project on the official third-party software repository will be required to turn on two-factor authentication (2FA) by the end of the year.

    Reply
  31. Tomi Engdahl says:

    Bill Toulas / BleepingComputer:
    MCNA Dental, one of the largest US government-sponsored dental insurers, says hackers stole data of ~8.9M people; LockBit claimed responsibility for the attack

    MCNA Dental data breach impacts 8.9 million people after ransomware attack
    https://www.bleepingcomputer.com/news/security/mcna-dental-data-breach-impacts-89-million-people-after-ransomware-attack/

    Reply
  32. Tomi Engdahl says:

    Industrial Giant ABB Confirms Ransomware Attack, Data Theft
    https://www.securityweek.com/industrial-giant-abb-confirms-ransomware-attack-data-theft/

    Industrial giant ABB has confirmed that it has been targeted in a ransomware attack, with the cybercriminals stealing some data.

    Reply
  33. Tomi Engdahl says:

    Nordea: Huijareilla on käytössään uudenlainen tapa – Näin se toimii
    Nordean mukaan viimeisten viikkojen aikana suomalaisia on yritetty huijata uudenlaisella menetelmällä.
    https://www.iltalehti.fi/kotimaa/a/5ee23323-aff2-4bc5-8c10-f0f8379830d1

    Ulosottolaitoksen nimissä lähetetty linkki avautui sivulle, joka Virtasen näytti viralliselta. Sivulla todettiin, että mitään ulosottovelkaa ei ole.

    Muutaman päivän kuluttua Virtasen puhelin soi.

    – Matias Niemi Nordean turvallisuusyksiköstä, työ ID 2726, ääni sanoi.

    Soittaja kertoi olevansa varmistamassa erikoista tilisiirtoa, jossa Virtasen tililtä oli lähdössä 900 euroa Viroon.

    – Oletteko itse tämän takana? soittaja kysyi.

    Kun Virtanen sanoi, ettei ollut, soittaja uteli, oliko hänelle tullut huijausviestejä esimerkiksi ulosottovirastolta. Kun Virtanen kertoi, että näin oli tapahtunut, soittaja lupasi auttaa poistamaan viruksen Virtasen puhelimesta.

    Tässä vaiheessa Petra Virtasen hälytyskellot soivat.

    – Kun epäilin häntä huijariksi, vesseli suuttui ja uhkaili: emme sitten auta, teiltä lähtee rahat tililtä, en todellakaan ole huijari.

    Virtanen sanoo, että hän oli tämän jälkeen yhteydessä Nordeaan, josta todettiin, että kyseessä oli ollut huijausyritys.

    Reply

Leave a Reply to Tomi Engdahl Cancel reply

Your email address will not be published. Required fields are marked *

*

*