Black Basta lanserar nytt brute-force-verktyg för attacker mot edge-enheter

Cybersäkerhetsforskare har upptäckt ett tidigare okänt brute-force-ramverk som används av ransomwaregruppen Black Basta för att kompromettera VPN:er, brandväggar och andra edge-enheter. Verktyget, som kallas "BRUTED", avslöjades i läckta privata chattloggar analyserade av EclecticIQ. Aktivt sedan 2023, automatiserar BRUTED credential stuffing-attacker mot produkter från Cisco, Fortinet, Palo Alto, SonicWall, WatchGuard, Citrix och Microsoft RDWeb.
Ramverket utför nätverksskanningar, extraherar SSL-data och genererar lösenordsgissningar baserat på svaga eller återanvända referenser. Enligt EclecticIQ möjliggör BRUTED för affiliates att skala upp attacker och snabba på ransomware-implementeringar. Trots upprepade branschvarningar förlitar sig många organisationer fortfarande på osäkra lösenord.
Ironiskt nog tros ett brute-force-angrepp mot en rysk bank ha orsakat läckan av Black Bastas egna chattar – något som bröt mot en oskriven regel. Gruppen har även riktat in sig på 12 kritiska infrastruktursektorer, bland annat sjukvård och tillverkning.

Allvarlig Windows-sårbarhet utnyttjad av 11 statsstödda grupper sedan 2017

En noll-dagars-sårbarhet i Windows, spårad som ZDI-CAN-25373, har aktivt utnyttjats av minst 11 statsstödda hackergrupper från Nordkorea, Iran, Ryssland och Kina sedan 2017.
Trend Micros Zero Day Initiative avslöjar att sårbarheten påverkar hur Windows visar .LNK-filer, vilket gör det möjligt att dölja och köra skadlig kod utan att användaren märker det.
Microsoft har vägrat att åtgärda bristen och hävdar att den "inte når upp till servicenivån". Nära 1 000 attacker har dokumenterats, främst med fokus på Nordamerika, Europa, Östasien och Australien.
Grupper som APT43, Mustang Panda och Evil Corp har använt tekniken för att distribuera malware som Ursnif, Gh0st RAT och Trickbot. Trend Micro varnar för att den oåtgärdade bristen innebär stor risk och uppmanar organisationer att vara vaksamma mot misstänkta genvägsfiler.

Över 300 skadliga Android-appar infekterade 60 miljoner enheter

En massiv malwarekampanj på Android – kallad "Vapor" – har infekterat över 60 miljoner enheter genom mer än 300 skadliga appar i Google Play, enligt IAS Threat Lab och Bitdefender.
Apparna, som utgav sig för att vara verktyg som QR-skannrar, träningsappar och anteckningsblock, passerade Googles granskning men laddade ner skadlig kod efter installation.
Funktioner inkluderade aggressiv adware, phishing och stöld av kreditkortsdata. Appar dolde sina ikoner och utgav sig för att vara legitima appar som Google Voice.
Bitdefender fann att malwaret kunde kringgå säkerhetsskydd i Android 13+ genom överlägg och dolda komponenter.
Trots att apparna nu tagits bort varnar forskare för att Vapor kan återvända. Användare bör noggrant granska tillstånd och undvika appar från okända utvecklare.

Utbildningssektorn oförberedd på ökande cyberattacker, enligt ny rapport

En rapport från KnowBe4 varnar för att skolor och universitet är illa rustade mot en växande våg av cyberattacker.
Rapporten "Från grundskola till universitet" visar att utbildningssektorn var den mest attackerade under 2024, med ökningar i dataintrång och ransomware.
Brist på resurser, beroende av tredjepartsleverantörer och föråldrade system gör skolor sårbara.
Under 2024 registrerades 1 780 cyberincidenter mot utbildningsinstitutioner, vilket placerar sektorn bland de fem mest drabbade globalt.
Trustwave rapporterade 352 ransomware-angrepp, där phishing var den vanligaste ingångspunkten.
Säkerhetsträning ger resultat – små institutioner såg phishing-känslighet minska från 33,4 % till 3,9 % efter ett år med simuleringar.

Massivt dataintrång i Frankrike: miljontals utsatta

Ett stort dataintrång i Frankrike har lett till att personuppgifter för miljontals människor nu säljs på darknet för 10 000 € i kryptovaluta.
Läckta uppgifter inkluderar namn, adresser, e-post, telefonnummer, civilstånd och närmaste postkontor. Hackern, känd som "Angel Batista", har släppt data för 100 000 personer för att bevisa dess äkthet.
Källan är ännu okänd, men misstankar riktas mot en offentlig tjänst eller försäkringsleverantör. Offren riskerar identitetsstöld, phishing och att datan säljs vidare upprepade gånger.
Säkerhetsexperter rekommenderar att använda tvåfaktorsautentisering, unika och komplexa lösenord, och att aldrig lämna ut person- eller bankuppgifter via misstänkta länkar eller samtal.
Granska bankaktivitet regelbundet, och om du misstänker bedrägeri – lägg på och ring banken från en annan enhet.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.