Cybersäkerhetscentrets veckoöversikt – 50/2024

Skadliga program sprids på ett nytt sätt – känn igen det och skydda dig

Vecka 40 berättade vi om det skadliga programmet Lumma Stealer som kan stjäla lösenord, cookies, kryptovalutor och annan känslig information på din enhet via flera webbläsare och e-postprogram. Cybersäkerhetscentret vid Traficom har informerats om fler observationer där användarna uppmanas att mata in en text som kopierats från webbplatsen på kommandoraden i Windows, vilket leder till att ett skadligt program installeras. Denna metod kallas "ClickFix (Extern länk)" och med den sprids för närvarande ett flertal skadliga program.

Om du misstänker att din enhet har infekterats med ett skadligt program ska du följa dessa anvisningar:

• Kontrollera ditt system med ett antivirusprogram och följ programmets anvisningar.
• Byt ditt lösenord. Byt lösenorden för alla användarkonton som du använder på den infekterade datorn. På så sätt förhindrar du obehörig åtkomst till dina konton.
• Logga ut från alla aktiva webbtjänster (sociala medier, e-post) på den infekterade enheten för att förhindra att någon utomstående kommer åt dina data.
• Använd multifaktorautentisering som extra skydd för dina användarkonton alltid när det är möjligt.
• Uppdatera regelbundet ditt operativsystem och andra program på din enhet.

Organisationer rekommenderas att införa säkerhetsåtgärder i arbetsstationerna, till exempel säkerställa att PowerShell och kommandoraden inte kan användas med primäranvändarnamn. Detta bidrar till att minska risken för att skadliga program installeras och skydda organisationens information.

Ett mänskligt fel kan leda till dataläckage

Cybersäkerhetscentret får regelbundet anmälningar om olika typer av dataläckor. Läckorna kan grovt indelas i två typer: läckage av tekniska data och personuppgifter samt dokumentläckage. I det första fallet är orsaken ofta ett dataintrång eller dataskrapning med programrobotik som har lett till att de stulna uppgifterna har släppts ut eller sålts. Dessa uppgifter är oftast till exempel namn, e-postadresser och bankuppgifter.

En annan typ av dataläckage som förekommit mer sällan är olika slags dokumentläckor. De beror ofta på ett mänskligt misstag. Antingen har de system som används inte definierats rätt eller så har det antagits att länken och den fil som hör till länken endast kan ses av den som fått e-postmeddelandet.

Här diskuteras den senare typen av dataläckage. Många av organisationernas uppgifter är och ska vara offentliga. Det är viktigt att personalen och intressentgrupperna kommer åt olika dokument som gäller beredskap, säkerhet och introduktion. Det är dock alltid viktigt att fundera över hur informationen förmedlas till dem som behöver den. Frågan är om det är ändamålsenligt att dokumenten är lätt tillgängliga för alla på internet även om informationen är offentlig. I webbplatslösningarna kan organisationen kanske bara förse webbplatsens egentliga startsida med inloggning, men en person som har en direkt länk till ett dokument har direkt och obegränsad åtkomst till informationen.

Ett exempel: https://turvallisuus.lumivarasto[.]fi skulle endast visa inloggningssidan, men https://turvallisuus.lumivarasto[.]fi/kaakkois-suomi skulle leda användaren direkt till denna sida.

En annan vanlig risk är direkta länkar som skickas per e-post och som leder till dokument sparade i olika molntjänster. I en del av molntjänsterna har alla som känner till länken tillgång till den delade informationen. Organisationerna bör därför också granska hur dokument och resurser delas i de egna molnmiljöerna. I värsta fall kan mycket känsliga uppgifter läcka ut via dessa. En bra standardinställning skulle vara att information inte kan delas direkt från miljöerna utan separata säkerhetskontroller, till exempel att den är bunden till mottagarens e-postadress, eller utan andra identifieringsmekanismer eller olika krypteringslösningar.

Cybervädret i november 2024

November visade vikten av beredskap när Finland drabbades av två mycket olika avvikelser i det digitaliserade samhället – undervattenskabeln mellan Finland och Tyskland skadades och stormen Jari drog in över Finland och orsakade lokala störningar i dataförbindelserna.

Månaden som kallas årets gråaste har dessutom präglats av bedrägeri- och nätfiskekampanjer som gjorts i olika bankers namn. I fråga om överbelastningsangrepp har situationen lugnat sig mot slutet av året och antalet anmälningar om störningar till följd av angrepp var mindre i november än i början av hösten.

I november ljusnade också utsikterna i fråga om att främja cybersäkerheten. EU:s rättsakt om cyberresiliens (Cyber Resilience Act, CRA) som publicerades i november fastställer minimikraven i EU för cybersäkerheten hos digitala produkter och program som är uppkopplade till internet. Författningen uppskattas förbättra den övergripande säkerheten i samhället då informationssäkerheten är bättre i de anordningar som används och som finns på marknaden. Författningen träder i kraft stegvis under 2026–2027.

Läs mer om det senaste Cybervädret. (Extern länk)

Enisa publicerade en rapport om Cyber Europe 24-övningen

Europeiska unionens cybersäkerhetsbyrå Enisa har publicerat en slutrapport om den europeiska cyberövning som byrån ordnade i somras. I övningen deltog cirka 5 000 personer från olika delar av Europa. Cybersäkerhetscentret ansvarade för den nationella planeringen och genomförandet av övningen.

Aktuella bedrägerier

I den här sammanfattningen berättar vi om aktuella bedrägerier som har rapporterats till Cybersäkerhetscentret under den senaste veckan.

Sårbarheter

CVE: CVE-2024-11639, CVE-2024-11772 och CVE-2024-11773
CVSS: 10, 9.1 och 9.1
Vad: Kritiska sårbarheter i Ivanti Cloud Services (CSA)-produkter
Produkt: Ivanti Cloud Services (CSA)
Korrigering: Korrigerande uppdatering, mer information i sårbarhetsmeddelandet