Cybersäkerhetscentrets veckoöversikt – 02/2024

I denna veckas översikt behandlas följande

• Två mycket kritiska sårbarheter i Ivantis produkter 
• Finländska organisationer har råkat ut för utpressningsprogrammet Akira
• Du hinner ännu anmäla dig till seminariet Kyberala murroksessa (Cyberbranschen i förändring)!
• Nätfiskemeddelanden med temat MinSkatt är fortfarande i omlopp
• Cybervädret i december förmörkades av utpressningsprogram
• Veckoöversikternas år nu även som video

Två mycket kritiska sårbarheter i Ivantis produkter. 

Inhemska organisationer använder till exempel Ivantis VPN-lösning Connect Secure (tidigare Pulse Secure). Ett virtuellt privat nät, alltså VPN (Virtual Private Network), är en lösning som möjliggör till exempel säkert distansarbete. Enligt Cybersäkerhetscentrets kartläggningar finns det hundratals sårbara servrar i Finland. Därför bör flera inhemska organisationer omedelbart reagera på dessa publicerade sårbarheter. Sårbarheterna i fråga gäller organisationer och tjänsteleverantörer som använder eller upprätthåller produkten, inga åtgärder förväntas av den enskilda användaren. Det finns observationer om utnyttjande av sårbarheterna från början av december förra året. Cybersäkerhetscentret har inte fått anmälningar om försök att utnyttja sårbarheten eller dataintrång i Finland.

En VPN-lösning som en organisation använder är en av de mest kritiska tjänsterna för organisationen och därför intresserar den traditionellt även brottslingar. Organisationer bör se till att produkterna fungerar på önskat sätt och är uppdaterade. Med tanke på avvikelser i informationssäkerheten är det även viktigt att organisationen har förmåga att övervaka apparaterna och reagera på avvikelser som observeras i verksamheten.

I fråga om Ivantis produkter är det mycket viktigt att organisationer inför de metoder som erbjuds för att begränsa utnyttjandet av sårbarheten och installerar uppdateringar när de är tillgängliga. Att begränsa utnyttjandet av sårbarheter eller slutligen ens uppdatering löser dock inte en situation där brottslingarna redan fått tillgång till systemet med hjälp av dessa sårbarheter. Organisationer bör anta, om de använder produkterna, att de redan kan ha utnyttjats och därför bör tecken på eventuella dataintrång sökas i deras egna system. Tillverkaren erbjuder också ett verktyg (Extern länk) för att upptäcka dataintrång.

Vi publicerade en artikel i Informationssäkerhet nu om utpressningsprogrammet Akira

Förra året tog vi emot 12 anmälningar om infektioner på grund av utpressningsprogrammet Akira från inhemska organisationer. Största delen av anmälningarna gjordes i slutet av året. I onsdags publicerade vi en artikel (på finska) om utpressningsprogrammet Akira i Informationssäkerhet nu.

Vad handlar det om?

Akira är en skadlig programvara som fungerar enligt den så kallade modellen Ransomware as a Service (RaaS) där en professionell brottsling erbjuder färdig skadlig programvara och infrastruktur mot betalning. En handlingsmodell av det här slaget gör att även en angripare som inte har stor teknisk kompetens kan använda den skadliga programvaran.

I de fall vi har kännedom om observerades att Akira i synnerhet utnyttjar Ciscos nätutrustningssårbarhet CVE-2023-20269 och Ciscos dåligt skyddade VPN-lösningar. Förutom kryptering av data har angriparen även strävat efter att hitta och förstöra objektets säkerhetskopior.

Akira-fallen är ofta förenade med ett dataläckage. Angriparna använder tekniken ”double extortion” som innebär att man stjäl information och hotar att publicera den om lösen inte betalas. Det rekommenderas att inte betala lösen.

Hur kan man skydda sig mot Akira?

Utpressningsprogramfallen orsakar betydande besvär och kostnader för organisationer. För att förhindra ett lyckat angrepp är följande åtgärder nödvändiga:

• Se till att nätutrustningen är uppdaterad
• Börja använda flerfaktorsautentisering

Dessutom är det viktigt vidta åtgärder i händelse av att ett angrepp lyckas. För att skydda säkerhetskopior lönar det sig att använda regeln 3-2-1. Förvara minst tre säkerhetskopior på två olika ställen och en av kopiorna ska vara helt bortkopplad från nätet. I Akira-fallen är säkerhetskopian som är bortkopplad från nätet mycket viktig.

Det lönar sig att anmäla om man drabbats av utpressningsprogram

Kontakta Cybersäkerhetscentret om du drabbas av ett utpressningsprogram eller misstänker det. Det lönar sig också att göra en polisanmälan.

Med hjälp av anmälningarna samlar vi in information om informationssäkerhetskränkningar, identifierar fenomen och informerar om dem. Genom att anmäla bidrar du till att förbättra cybersäkerheten och även stärka skyddet för andra organisationer. Förutom att öka den allmänna informationssäkerhetskunskapen hjälper vi till med den tekniska utredningen av allvarliga informationssäkerhetskränkningar.

Du hinner ännu anmäla dig till seminariet Kyberala murroksessa (Cyberbranschen i förändring)!

NIS2, CRA och RED är förkortningar som framkommer i diskussioner inom branschen. Vad innehåller regleringen bakom dessa förkortningar? Hurdana krav och skyldigheter kommer företagen att åläggas? Hur ska man förbereda sig för den kommande regleringen?

Bland annat dessa frågor behandlas i seminariet Kyberala murroksessa (Cyberbranschen i förändring) som ordnas av Transport- och kommunikationsverket Traficom, Kyberala ry och Teknologiindustrin rf. Det avgiftsfria seminariet riktar sig till ledningen och experter som ansvarar för företagens affärsverksamhet och produktutveckling.

Deltagandet på webben är öppet för alla intresserade. 

Tid: tisd. 23.1.2024 kl. 12–16:30

Webbanmälningen löper ut fredag 19.1.2024. Seminariet spelas in och inspelningen publiceras efter evenemanget.

Läs evenemangets program och anmäl dig (Extern länk) (på finska).

Välkommen att delta på webben!

Nätfiskemeddelanden med temat MinSkatt är fortfarande i omlopp

Bluffmeddelanden med MinSkatt-tema som aktivt var i omlopp i slutet av året har inte upphört i början av år 2024. Cybersäkerhetscentret har även under den gångna veckan fått flera anmälningar om sådana bluffmeddelanden. 

Temat i bluffmeddelanden varierar

Det har förekommit bluffmeddelanden med några olika teman. Meddelanden till medborgarna har till exempel handlat om ”problem” i anknytning till skatteåterbäringar eller betalning av skatter. Länkarna i meddelandena har lett till en nätfiskewebbplats som påminner om Skatteförvaltningens webbplats, där man blir ombedd att logga in på bluffwebbplatsen i fråga genom att använda bankkoder.

Pensionstagare som målgrupp

Temat i bluffmeddelanden har under den senaste tiden handlat om problem som påverkar pensionsutbetalning och i meddelandet påstår man att mottagarens pension är i fara.

Brottslingarna strävar efter att påverka sina offer genom att utnyttja aktuella teman som hänför sig till pengar och betona att ärendet är brådskande. I meddelandets avsändarfält ser det ut som att meddelandet har skickats från MinSkatt, vilket kan få mottagaren att tro att meddelandet verkligen är från Skatteförvaltningen.

Förnuftighet och observation av små detaljer har en nyckelposition

Du ska alltid förhålla dig skeptiskt till misstänkta e-postmeddelanden eller textmeddelanden. Genom att beakta några små saker kan du undvika att förlora dina bankkoder till brottslingar.

Anvisningar för bluffmeddelanden:

• Skatteförvaltningen eller bankerna skickar inte länkar till sina webbplatser i sina meddelanden, utan uppmanar att logga in till tjänsten på deras officiella webbplats. Undvik alltså att öppna länkar i meddelanden.
• Om du öppnar en länk ska du alltid kontrollera webbplatsens adress i adressfältet. Nätfiskewebbplatsens adress kan påminna om den verkliga webbplatsen, men små detaljer avslöjar bluffwebbplatser.
• Förhasta dig inte om du får ett meddelande som verkar brådskande, utan kontrollera i lugn och ro om meddelandet möjligtvis innehåller något som verkar falskt.
• Om du inte är säker på om meddelandet är bluff eller sant kan du alltid ringa till meddelandeavsändarens kundservice för att bekräfta saken.
• Om du har matat in dina bankkoder på en nätfiskewebbplats ska du genast kontakta din bank och göra en polisanmälan.

Cybervädret i december förmörkades av utpressningsprogram

När det gäller cybersäkerheten avslutades 2023 i regniga tecken. Det förekom till och med blixtrande när Cybersäkerhetscentret fick sammanlagt sex anmälningar om utpressningsprogrammet Akira. Även antalet dataintrång med allvarliga följder ökade i december. Året sista Cyberväder innehåller även kvartalsstatistik för det fjärde kvartalet år 2023. Den långsiktiga granskningen gäller denna gång reglering.

Veckoöversikternas år

Hur såg 2023 ut genom granskning av veckoöversikterna? Vi sammanställde en översikt i form av en video av det gånga året och olika informationssäkerhetsfenomen som vi fick läsa om i veckoöversikterna under året. Se videon (på finska):

Sårbarheter

CVE: CVE-2024-21887 

CVSS: 9.1

Vad: Ivanti publicerade två kritiska sårbarheter.

Produkt: Produkterna Ivanti Connect Secure (tidigare känt som Pulse Secure) samt Ivanti Policy Secure.

Korrigering: Ivanti erbjuder åtgärder för att begränsa utnyttjandet av sårbarheten på sin webbplats innan korrigerande uppdateringar publiceras.

Ytterligare information i Sårbarhetsmeddelande 2/2024: Kritiska sårbarheter som utnyttjats i Ivantis produkte r (på finska)