E-handlare drabbade i ransomware-attack

Permalänk
Medlem

Region Blekinge verkar drabbade med läkta personuppgifter på grund av detta också.

https://www.svt.se/nyheter/lokalt/blekinge/omfattande-it-atta...

Visa signatur

Gaming Machine: Steam Deck.

Permalänk
Medlem
Skrivet av lillaankan_i_dammen:

Och detta kommer fortsätta så länge som det finns mycket pengar att tjäna på ransomware. Skulle ingen betala ut pengar så skulle skit finnas då som förr i tiden, men de som håller på med detta skulle få göra det på sin fritid.

Tror dock Ryssland och Kina gör sånt här av andra intressen än ekonomiska

Permalänk
Medlem
Skrivet av medbor:

Tror dock Ryssland och Kina gör sånt här av andra intressen än ekonomiska

Känslan jag fått är:

  • Ryssland och Kina (m.fl.) stöttar sina ransomwaregrupper av andra anledningar

  • Ransomwaregrupperna gör sin grej för att de tjänar grova pengar på det

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

Hur svårt ska det vara att återställa några VMs från en avskiljd backup-lösning? Borde ta 5 minuter om man har ESX osv…. ELLER

Permalänk
Medlem
Skrivet av evil penguin:

Känslan jag fått är:

  • Ryssland och Kina (m.fl.) stöttar sina ransomwaregrupper av andra anledningar

  • Ransomwaregrupperna gör sin grej för att de tjänar grova pengar på det

Absolut, men att attackera sådana här system är ju mycket för att testa hur vi svarar, se vår försvarsförmåga och it-beroende. Samma som när de ’råkar’ flyga in i vårt luftrum och annat

Permalänk
Skrivet av Sunix:

Hur svårt ska det vara att återställa några VMs från en avskiljd backup-lösning? Borde ta 5 minuter om man har ESX osv…. ELLER

Vad är det som tar längst tid vid återställningar efter intrång såsom dessa? (vissa saker kanske är 100 % i kläm pga. ransomware å dålig säkerhetslösning)

- Starta om VMs och liknande mjuk- & hårdvaror?
- Dekryptera->återkryptera tidigare krypterade data efter omstart?
- Kopiera/ladda över backup-filer?
- Behörighetskontroller pga. särskilda (super)känsliga data?
- Övrig administration+dokumentering+protokoll som måste följas?
- Något annat?

Mvh
WKL.

Visa signatur

"Den säkraste koden är den som aldrig skrivs"
"Visste du förresten att det är ett mångmiljardbolag?"
"Jag lever inte för att koda utan kodar för att sen kunna leva"

Permalänk
Medlem
Skrivet av WebbkodsFrilansaren:

Vad är det som tar längst tid vid återställningar efter intrång såsom dessa? (vissa saker kanske är 100 % i kläm pga. ransomware å dålig säkerhetslösning)

- Starta om VMs och liknande mjuk- & hårdvaror?
- Dekryptera->återkryptera tidigare krypterade data efter omstart?
- Kopiera/ladda över backup-filer?
- Behörighetskontroller pga. särskilda (super)känsliga data?
- Övrig administration+dokumentering+protokoll som måste följas?
- Något annat?

Mvh
WKL.

Tror nog man vill vara säker på att man hittat alla platser där det finns skadlig kod, rensa bort och säkerställa att inget kommer tillbaks när man kör in backup. Det kan ta ett tag att verifiera, skulle jag tro.

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Permalänk
Medlem

Men asså hur får man in ett ransomware som dödar hela serverhallen? Är inte alla olika företags system separerade?

Nån som är kunnig o kan förklara teorier om hur det kom in o dödade allt?

Nån admin som klicka på ett mail där stog "Free girls webcamshow" click here?

Jag förstår iaf inte hur det kan drabba allt i serverhallen?

Visa signatur

ASUS X570-F, AMD Ryzen 9 3900x, 16Gb RAM, Gigabyte 2070Super auros

Permalänk
Medlem

kontantfritt och helt beroende av nätet.. ja vi gör det lätt för utomstående att lamslå Sverige .. way to go

Permalänk
Medlem
Skrivet av WebbkodsFrilansaren:

Vad är det som tar längst tid vid återställningar efter intrång såsom dessa? (vissa saker kanske är 100 % i kläm pga. ransomware å dålig säkerhetslösning)

- Starta om VMs och liknande mjuk- & hårdvaror?
- Dekryptera->återkryptera tidigare krypterade data efter omstart?
- Kopiera/ladda över backup-filer?
- Behörighetskontroller pga. särskilda (super)känsliga data?
- Övrig administration+dokumentering+protokoll som måste följas?
- Något annat?

Mvh
WKL.

Hitta källan till intrånget
Få igång system som beror på andra
Få stora system som dessa startas helt från scratch
Ofta mycket handpåläggning och saknade startscriot/parametrar
Många system saknar backup
Kan finnas komponenter som är gamla odokumenterade
Många som slutat sedan saker gjordes
Många saker kanske inte ens är lagrade utan bara finns i minne och försvinner

I det här fallet var det ju ett intrång i själva datahallen/infrastrukturen. Alla tjänster som kör ovanpå det är ju beroende och uppsatt att allt är precis lika som innan, men det kanske behövde ändras av säkerhetsskäl eller best practice. Hårdkodade ip-adresser och annat

Stora grejen är att samla information och lära sig systemet igen från grunden, och vara säker att man inte exponerar något nytt eller samma igen

Permalänk
Medlem

Loomis

Säkerhetsjätten Loomis Sverige AB, som hanterar värdetransporter och kontanthantering, har också drabbats av attacken mot Tietoevry.

"Det finns en risk för att information vi har i vårt affärssystem om ert bolag kan ha kommit obehöriga till del, men det är inte bekräftat. Det kan innefatta information om bankkonto för utbetalning, företrädare med personnummer och deras roll, kontaktpersoner, fakturor, avtal och liknande dokumentation", skriver bolaget på sin hemsida.

Loomis kunder finns främst inom banksektorn och detaljhandeln. Bolaget skriver själva att de arbetar med "centralbanker, stora kommersiella banker och operatörer av uttagsautomater".

Hmm......

Visa signatur

Intel i5 12600K | 128 GB DDR4 3600 Mhz
ASUS TUF Z690-PLUS D4 | ASUS TUF VG32VQ 32" 1440p
XFX 6900 XT Merc 319 Black Limited
HP ProLiant DL380p Gen8 | HP MicroServer Gen 8 |
Mikrotik 10 GbE Networking

Permalänk
Medlem
Skrivet av Sunix:

Hur svårt ska det vara att återställa några VMs från en avskiljd backup-lösning? Borde ta 5 minuter om man har ESX osv…. ELLER

Det kanske tyder på att de lyckats angripa de system där backuper lagras också?
Kan det vara så att det går att återställa disk images, men att de inte lyckas återskapa maskinkonfigurationerna? Att de måste återskapa detta manuellt?

Kan också mycket väl vara så att mycket av driftsättningen är manuella processer för de enskilda kunderna. Jag har lite erfarenhet av att jobba i Microsoft-miljö. Det var frenetiskt många musklick för att konfigurera saker beskrivna i listor utskrivna på papper. Är det gamla system kanske inte ens en enskild person vet hur allt skall sättas upp och klickas fram. Underskatta inte antal musklick som krävs i diverse administrationsgränssnitt. Lägg där till XML-filer som skall öppnas och ändras i notepad om någon tjänst fått ny IP-address.

(Alla system är inte ansible/docker/kubernetes som kan driftsättas på några minuter.)

Permalänk
Säkerhetsutbildare

Några snabba uppdateringar.

  • Tietoevry har bekräftat att det är Akira som ligger bakom.

  • Akira har inte publicerat någon information på sin blogg än.

  • Jag ringde och pratade med Icas pressavdelning angående Icas driftstörning och de sade att den är orelaterad till utpressningsattacken mot Tietoevry.

Permalänk
Medlem
Skrivet av Mullvaden83:

Men asså hur får man in ett ransomware som dödar hela serverhallen? Är inte alla olika företags system separerade?

Nån som är kunnig o kan förklara teorier om hur det kom in o dödade allt?

Nån admin som klicka på ett mail där stog "Free girls webcamshow" click here?

Jag förstår iaf inte hur det kan drabba allt i serverhallen?

Vet vi att alla servrar är påverkade? Kan ju vara manuellt frånkopplat i väntan på ner inorfmation om hela hallar är borta.

Oavsett är det ju inte underligt att flera system drabbas om de exenpelvis är beroende av en gemensam sårbar komponent. I detta fall har vi inte facit i hand än men det finns många alternativ. Kanske använder de en gemensam administrationsprogramvara på alla servrar? Kanske sårbarheter i hypervisor/KVM/VPN-system/monitoreribgsprogramvara eller vad annat du kan komma på. Kan ju även vara så att servrarna inte varit separerade ordentligt och att angripare kunnat förflytta sig lateralt i det interna nätet efter att ha fått fotfäste. Vi vet ju inte i dagsläget hur länge angraparna varit i systemen.

Permalänk
Medlem
Skrivet av medbor:

Absolut, men att attackera sådana här system är ju mycket för att testa hur vi svarar, se vår försvarsförmåga och it-beroende. Samma som när de ’råkar’ flyga in i vårt luftrum och annat

En sån jämförelse passar väl sett till utfallet i vissa fall, men tycker det känns mer oklart hur mycket kontroll de har över ransomwarefolket.
Har de uttalade måltavlor öht eller handlar det mest om att "det är bra att orsaka skada i dessa länder: ..., kör bara" och att det ibland råkar bli mer intressanta utfall även ur andra perspektiv än att de får "gratis skadegörelse".

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

Där är något annat här som borde oroa, om det nu är så att TietoEvry driftar Securitas?

AS34950 Tietoevry Tech Services Sweden AB · systeamnat.se

Visa signatur

Intel i5 12600K | 128 GB DDR4 3600 Mhz
ASUS TUF Z690-PLUS D4 | ASUS TUF VG32VQ 32" 1440p
XFX 6900 XT Merc 319 Black Limited
HP ProLiant DL380p Gen8 | HP MicroServer Gen 8 |
Mikrotik 10 GbE Networking

Permalänk
Medlem

Sweclockers - Vem ligger bakom detta: Utredning pågår.

Aftonbladet - Vem ligger bakom detta: Rysk attack.

Visa signatur

ASRock Z690 Taichi | i5-12600k | Corsair 32GB (2x16GB) DDR5 6000MHz CL30 | RTX 2080 GPU: uppgradering inför RTX 5000.

Nintendo Switch | PlayStation 5 | Xbox Series X

Min FZ Profil

Permalänk
Medlem
Skrivet av SVclocker:

Sweclockers - Vem ligger bakom detta: Utredning pågår.

Aftonbladet - Vem ligger bakom detta: Rysk attack.

Vad är underligt med det? Tietoevry har ju själva bekräftat att Akira ligger bakom. Attributering är ju alltid svårt men gruppen har ju attributerats till Ryssland. När man väljer att betrakta bevisläget som tillräckligt för publicering kan ju skilja sig såklart. Tycker du att Aftonbladet är förhastade? Varför isf?

Permalänk
Medlem

Apropå Ivanti-spåret (om det nu skulle visa sig vara rätt att det var vägen in):

"Ivanti warned admins to stop pushing new device configurations to appliances after applying mitigations because this will leave them vulnerable to ongoing attacks exploiting two zero-day vulnerabilities."
https://www.bleepingcomputer.com/news/security/ivanti-vpn-app...

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem
Skrivet av SVclocker:

Sweclockers - Vem ligger bakom detta: Utredning pågår.

Aftonbladet - Vem ligger bakom detta: Rysk attack.

Ja, inte ens Aftonbladet är så naiva att de tror på annat än en rysk attack.

Permalänk
Medlem

Systembolaget alltså. Nu är det personligt.

Visa signatur

Mammas, don't let your babies grow up to be cowboys.
10700k|RTX 3070|Z490|16GB|

Permalänk
Medlem
Skrivet av DavidtheDoom:

Det är Tietoevry som är drabbade, detta extremt kompetenta konsult-ingenjörsbolag som bland annat står bakom Stockholms Skolplattform. Märkligt att ett bolag som är kasst på att leverera en fungerande produkt även inte klarar av att hantera ransomware.

TietoEvry, låter så fint! Jag ägde lite aktier en tid, jag såg att Cevian verkade intresserade men nu känns det ju måttligt intressant.

Visa signatur

5820k - 6950 XT

Permalänk
Medlem
Skrivet av IceKey:

Där är något annat här som borde oroa, om det nu är så att TietoEvry driftar Securitas?

AS34950 Tietoevry Tech Services Sweden AB · systeamnat.se

Mitt NDA har gått ut (konsultade på Evry för ett bra tag sedan) så jag kan säga att det gjorde de för 5-10 år sedan iaf. De har dock lite andra villkor än de flesta andra, så gissningsvis är de inte drabbade och om de är det är de extremt högt prioriterade. Det senare är dock bara en spekulation, hade inte med den nivån av infrastrukturen att göra.
Med en sån kund är självklart mycket redundant och jag tar i princip för givet att mycket körs lokalt on-site samtidigt som molnsynk görs. De bör således kunna jobba på i princip som vanligt, men det kräver isåfall att det finns fysiskt folk på plats om det är så upplägget är. Återigen spekulation, dock något jag känner mig ganska säker på baserat på ett antal års erfarenhet inom branschen.
Är inte ett rövhål som kommer med onödiga detaljer heller, det skulle ändå inte vara relevant här.

För övrigt flaggade jag för denna CVE internt hos min nuvarande arbetsgivare och vi kollade varenda jefla klient redan i Oktober, thank fuck för att jag kollar nyheter om 0days och dylikt varje vardagsmorgon. Att inte täppa >6 månader gamla 9.8or är obegripligt för mig.

Visa signatur

11600K@5.1 GHz + 32GB Corsair Vengeance RGB PRO 3200@3400 MHz + MSI RTX 2080 Super Gaming X Trio +
WDC Blue SN550 1TB + Black OEM SN730 500GB + Kingston A1000 480GB + A2000 500GB + NV2 1TB + 2TB R10 + RGB most of THE THINGS! + Corsair 4000D Airflow + 2*ZyXEL NSA326 2*3TB @ R1 + Netgear RN2100 4*3TB @ R10 + RN204 4*4TB @ R5 + Synology DS216j 2*4TB @ SHR R1 + DS418 4*8TB @ SHR R6
| tmp: R5 3600@4.2 GHz + 32GB 2666@3066MHz + 2070 8GB + 1 TB NV2 & 512GB SN730

Permalänk
Medlem
Skrivet av evil penguin:

Apropå Ivanti-spåret (om det nu skulle visa sig vara rätt att det var vägen in):

"Ivanti warned admins to stop pushing new device configurations to appliances after applying mitigations because this will leave them vulnerable to ongoing attacks exploiting two zero-day vulnerabilities."
https://www.bleepingcomputer.com/news/security/ivanti-vpn-app...

Den där jävla plattformen de köpte från Pulse har fan läckt som ett såll senaste åren. Är väl dessutom Junipers gamla skapelse som är hur gammal som helst.

Permalänk
Medlem
Skrivet av CloX:

Den där jävla plattformen de köpte från Pulse har fan läckt som ett såll senaste åren. Är väl dessutom Junipers gamla skapelse som är hur gammal som helst.

Var väl bara nån vecka sedan även det kom en rätt seriös CVE för Junipers web UI va?

Visa signatur

11600K@5.1 GHz + 32GB Corsair Vengeance RGB PRO 3200@3400 MHz + MSI RTX 2080 Super Gaming X Trio +
WDC Blue SN550 1TB + Black OEM SN730 500GB + Kingston A1000 480GB + A2000 500GB + NV2 1TB + 2TB R10 + RGB most of THE THINGS! + Corsair 4000D Airflow + 2*ZyXEL NSA326 2*3TB @ R1 + Netgear RN2100 4*3TB @ R10 + RN204 4*4TB @ R5 + Synology DS216j 2*4TB @ SHR R1 + DS418 4*8TB @ SHR R6
| tmp: R5 3600@4.2 GHz + 32GB 2666@3066MHz + 2070 8GB + 1 TB NV2 & 512GB SN730

Permalänk
Medlem
Skrivet av ZaInT:

Var väl bara nån vecka sedan även det kom en rätt seriös CVE för Junipers web UI va?

Junipers Web UI? Du tänker på Ivanti Connect Secure?
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authent...

Det är bara patcha direkt med workaround, och vänta på ett de släpper en riktig mjukvara som täpper till kalaset.

Permalänk
Medlem

Verkar ha varit någon ny enorm läcka.

"Över 26 miljarder dataposter med känsliga uppgifter har läckt från myndigheter i flera länder men även från sociala medier"

https://www.aftonbladet.se/nyheter/a/veMzp5/storsta-datalacka...

Visa signatur

Asus Tuf Gaming X670E-Plus - Amd 9900X - Noctua D15 Chromax Black - Corsair 6000MHz cl30 - Sapphire 7900xtx Nitro+ - Asus Rog Thor 850W 80+ Platinum - Sound Blaster AE-9 - Asus 26.5" ROG Swift PG27AQDM OLED 240Hz

Permalänk
Medlem

Bland de som drabbats i attacken finns Statens servicecenter, som hanterar löneutbetalningar för 60 000 myndighetsanställda.

I Region Blekinge har personuppgifter om patienter läckts, och Region Västerbotten har gått upp i stabsläge efter att ha blivit hackade

Permalänk
Musikälskare

Ryssland fiskar pengar...

Visa signatur

❀ Monitor: ASUS Swift 27" @ 1440p/165Hz ❀ CPU: Ryzen 7700X ❀ Cooling: Corsair H170i ELITE 420mm ❀ GPU: MSI 3080 Ti SUPRIM X ❀ Memory: Corsair 32GB 6000Mhz DDR5 Dominator ❀ Motherboard: ASUS Crosshair X670E Hero ❀ M.2: Samsung 980 Pro ❀ PSU: Corsair HX1200 ❀ Chassi: Corsair 7000X ❀ Time Spy: 19 340

📷 Mina fotografier
🎧 Vad lyssnar du på just nu?

Permalänk
Skrivet av Pugilisten:

Systembolaget alltså. Nu är det personligt.

Hahaha LOL
Tänkte likadant men du var först!

Visa signatur

citera för svar
Glassbilen spelar bara när det är helt slut på glass