Cybersäkerhetscentrets veckoöversikt – 46/2023

I denna veckas översikt behandlas följande

• Olika utpressningsprogramaktörer syns även i Finland
• Avvikelser i plattformen ServiceNow har lett till dataläckage
• Vi har fått tiotals anmälningar om dataintrångsvågen i e-post
• Stöd för utveckling av informationssäkerheten till 24 företag – stöd på högst 15 000 euro har ännu inte beviljats

Olika utpressningsprogramaktörer syns även i Finland

Under det senaste året har olika utpressningsprogram spridit sig allt snabbare över hela världen. Också utpressningsprogrammens variation och antalet aktörer har ökat.

I Finland anmäldes under åren 2020–2022 i medeltal 40 fall av utpressningsprogram årligen till Cybersäkerhetscentret. Trenden var liknande i början av 2023, men under november har man observerat att ökningen av antalet anmälningar har varit måttlig. I granskningen av antalet anmälningar bör beaktas att de inbegriper fall som riktats mot både webbaserad datalagring i medborgarnas hemnät och stora multinationella organisationer samt allt däremellan. Största delen av fallen som rapporterats till Cybersäkerhetscentret är variationer av utpressningsprogram som även förekommer i hela världen.

Läs mer (delvis på finska): Nya aktörer och verksamhetssätt inom utpressningsprogram

Avvikelser i plattformen ServiceNow har lett till dataläckage

I Veckoöversikten 44/2023 berättade vi om en felaktig konfiguration i plattformen ServiceNow.

Cybersäkerhetscentret har kännedom om flera fall om utnyttjande av säkerhetsbristen, som den felaktiga konfigurationen har möjliggjort. Det är mycket viktigt att upptäcka och begränsa problemet. I vissa av fallen har man kommit lätt undan, men i vissa organisationer har också dataläckage upptäckts – till och med i fråga om personuppgifter. Cybersäkerhetscentret uppmanar organisationer som använder ServiceNow att senast nu se över konfigurationen av den egna tjänsten.

 Läs mer: Felaktig standardkonfiguration på ServiceNow-plattformen möjliggör ett dataläckage

Vi har fått tiotals anmälningar om dataintrångsvågen i e-post

Nätfiskekampanjen mot finländska organisationers e-postkonton med säkerhetsposttema har minskat och vi tog bort varningen den 8 november 2023. Brottslingar fiskade efter användarnamn och lösenord av anställda i organisationer per e-post och med bluffwebbplatser. Meddelandena var förfalskade så att de påminner om allmänt använda säkerhetspostlösningar. Länkarna i säkerhetsposttjänsterna var emellertid redigerade för att styra en användare till brottslingarnas webbplatser.

Brottslingarna försökte logga in i e-postsystem i Microsoft 365 med de användarnamn de kommit över. Kapade konton användes för att skicka nya nätfiskemeddelanden både internt inom organisationen och med kontaktuppgifter från ett e-postkonto till andra organisationer.

I mitten av oktober inkom flest anmälningar om kampanjen och med hjälp av varningen ville vi förbättra organisationernas medvetenhet om kampanjen som spreds.

I nätfiskekampanjen användes tio olika meddelandemallar med säkerhetsposttema. I flera e-postmeddelanden användes organisationens logotyp och namn för att öka trovärdigheten.

Man har uppenbarligen försökt ändra säkerhetsposttemana så att de lämpar sig för respektive sektor. Till utbildningssektorn har man till exempel skickat säkerhetsmeddelanden med rubriken ”Studieframgång” och till kommunsektorn med rubriken ”Kontakttolkning”. I kampanjen gjordes också observationer om utnyttjande av riktiga säkerhetspostmeddelanden som redskap för nätfisket. I dessa fall fanns länken till nätfisket i säkerhetspostmeddelandets innehåll.

På basis av anmälningarna till Cybersäkerhetscentret skickades över 10 000 nätfiskemeddelanden under kampanjen och i organisationerna gjordes totalt hundratals dataintrång. Nätfiske anmäldes särskilt inom hälso- och sjukvårdssektorn samt utbildnings- och kommunsektorn.

Sektorerna i fråga har antagligen valts för att de är sektorer med ett stort antal anställda där man regelbundet hanterar personuppgifter per e-post. Eftersom säkerhetspost är ett dagligt verktyg, så har mottagarna inte varit tillräckligt observanta på bluffmeddelanden med säkerhetsposttema.

Genom aktivt samarbete kunde man samla mycket information om kampanjen och informera de inblandade organisationerna.

Stöd för utveckling av informationssäkerheten till 24 företag – stöd på högst 15 000 euro har ännu inte beviljats

Det reserverade anslaget på två miljoner euro för beviljande av stöd på högst 100 000 euro för utveckling av informationssäkerheten har nu beviljats i sin helhet. Stöd beviljades slutligen till 24 företag, och totalt ansökte 150 företag om stöd på högst 100 000 euro. En stor del av företagen som ansökt om stödet blev således utan. Transport- och kommunikationsverket Traficom kommer att meddela dessa företag ett separat beslut i ärendet.

Av anslaget på 6 miljoner euro som reserverats för utveckling av informationssäkerheten har cirka en miljon euro för stöd på 15 000 euro inte beviljats ännu. Det uppskattade återstående anslaget räcker till cirka 60–70 företag som ansökt om stödet när ansökan av totalt 232 företag inte har handlagts ännu. Största delen av företagen som ansökt om stödet på högst 15 000 euro blir sannolikt utan. Stödet beviljas i ansökningsordning och för närvarande handläggs ansökningar som inkommit den 21 december 2022.

Läs mer (på finska): Stöd för utveckling av informationssäkerheten till 24 företag – anslaget för stöd på högst 100 000 har förbrukats

Sårbarheter

CVE: CVE-2023-5869
CVSS: 8.8
Vad: Kritisk sårbarhet i administrationssystemet i databasen POSTGRESQL
Produkt: POSTGRESQL
Korrigering: Uppdatering

CVE: CVE-2023-36052
CVSS: 8.6
Vad: Sårbarhet som möjliggör dataläckage i Azure CLI REST
Produkt: Azure CLI REST
Korrigering: Uppdatering

CVE: CVE-2023-34060
CVSS: 9.8
Vad: Sårbarhet som möjliggör kringgående av identifieringen i VMware Cloud Director
Produkt: VMware Cloud Director
Korrigering: Kontrollera i Vmwares meddelande på basis av din version om möjliga sårbarheter och åtgärder. .