it-kriminalitet

Mærsks milliardtab på sikkerhedsbrud får virksomhedsledere til at vågne op - det skal du udnytte, før det er for sent

Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Mellem 1,3 og 1,9 milliarder kroner. Så meget kommer en sikkerhedshændelse til at koste Mærsk.

Rederikoncernen blev et af ofrene for ransomware-ormen NotPetya, der ramte en række internationale virksomheder i slutningen af juni.

Dansk

Google fjerner 500 apps med mulig spyware fra Play Store

Dansk

Sikkerhedsfirmaet Lookout har opdaget, at annonceframeworket Igexin har mulighed for at downloade plugins, efter at en app udviklet med det er installeret. Disse plugins kan fx registrere, hvilke numre telefonen har ringet til, og sende dem til en server.

Udviklere af apps bruger ofte udviklingsframeworks som Igexin til at vise reklamer i deres apps. Frameworket håndterer opgaven med at hente reklamer fra annoncører og vise dem i appen, så udvikleren kan tjene penge på dem.

Forskere finder effektivt middel mod spearphishing

Dansk

Fem amerikanske sikkerhedsforskere har skrevet artiklen "Detecting Credential Spearphishing Attacks in Enterprise Settings". Her beskriver de en metode til at opdage spearphishing – målrettede e-mails, der forsøger at få ansatte til at oplyse deres brugernavn og password ved at lokke dem hen på en falsk login-side.

Til projektet fik forskerne adgang til over 370 millioner e-mails fra en virksomhed med tusindvis af medarbejdere. Deres metode fandt frem til seks spearphishing-angreb, som medarbejdere var faldet for. Et syvende angreb opdagede metoden ikke.

Angribere overtager otte Chrome-udvidelser

Dansk

En af udvidelserne er CopyFish, som DKCERT tidligere har omtalt. Gennem et phishing-angreb fik en angriber fat i login-data for udviklerkontoen og overtog kontrollen med udvidelsen. Derefter blev der udsendt en version, som viste uønskede reklamer hos brugerne.

Sikkerhedsfirmaet Proofpoint har opdaget flere andre udvidelser, som hackere på samme måde har overtaget:

Netsarang lukker bagdør i Xmanager

Dansk

Sikkerhedsfirmaet Kaspersky har opdaget bagdøren, der har været i Xmanager-produkter siden den 18. juli. Den blev fjernet den 5. august. Følgende produkter er ramt:

  • Xmanager Enterprise 5.0 Build 1232
  • Xmanager 5.0 Build 1045
  • Xshell 5.0 Build 1322
  • Xftp 5.0 Build 1218
  • Xlpd 5.0 Build 1220

Ifølge Kaspersky er bagdøren inaktiv, indtil bagmændene aktiverer den via en besked sendt med et DNS-opslag. Derefter kan bagmændene fjernstyre den ramte computer og installere og køre software på den.

Google fjerner spyware-apps fra Play Store

Dansk

Sikkerhedsfirmaet Lookout har opdaget spywaren, som de kalder SonicSpy. Den indgår i tre chat-apps, Soniac, Hulk Messenger og Troy Chat.

Spywaren kan optage lyd på smartphonen, tage billeder, foretage opkald, sende sms'er og hente kontaktinformationer.

Google har fjernet Soniac fra Play Store. De to andre apps er tidligere fjernet.

Foruden Play Store ligger der omkring 1.000 apps inficeret med SonicSpy på tredjeparts-butikker med apps.

Anbefaling

Afinstaller Soniac, Hulk Messenger eller Troy Chat.

Hackere spredte inficerede filer via NPM

Dansk

Ukendte hackere har placeret filer med navne, der ligner kendte biblioteker på NPM. Fx var der en fil ved navn crossenv, hvis indhold svarede til et kendt bibliotek ved navn cross-env. Men foruden de kendte funktioner havde den en skjult funktion, der sendte brugernavn og password fra miljøvariabler til et websted, som hackerne kontrollerede.

I alt var der 40 pakker med mistænkeligt indhold

Administratorerne af NPM har fjernet pakkerne.

Pakkerne blev placeret på NPM mellem den 19. og 31. juli.

Få defacement-angreb i sommerferien

Dansk

Graf over defacementsI juni registrerede statistikwebstedet Zone-H 213 angreb på danske domæner. I juli var der 176.

Ved et defacement-angreb placerer en hacker sine egne websider på offerets webserver.

Et større angreb fandt sted den 7. og 10. juli, hvor en angriber placerede en kort tekst på 74 websteder. I alle tilfælde lå tekstfilen i mappen "images". Det tyder på, at angriberen har udnyttet den samme sårbarhed på en række forskellige servere.

Copyfish-udvidelse blev inficeret med annonce-software

Dansk

Problemet, der er løst nu, opstod, da en af udviklerne af Copyfish modtog en e-mail, der angav at komme fra Google. I mailen stod der, at Copyfish-udvidelsen til Chrome ikke opfyldte kriterierne for udvidelser. Der var et link til yderligere information.

Da udviklere klikkede på linket, blev han præsenteret for en loginside, der lignede Googles. Han udfyldte login-felterne, hvorved bagmændene fik adgang til brugernavn og password.

Sider

Abonnér på RSS - it-kriminalitet