Microsoft åtgärdade över 70 CVEs i sin senaste Tuesday-uppdatering för i år

Microsofts Tuesday-uppdatering för december 2024 innehåller 71 säkerhetsåtgärder, inklusive en Windows zero-day-sårbarhet (CVE-2024-49138) som aktivt utnyttjas för privilegieeskalering. Detta ger 1,020 uppdateringar i år, det näst högsta antalet för Microsoft, endast 2020 var antalet högre.

Den kritiska sårbarheten CVE-2024-49112 i Windows LDAP, med en CVSS-poäng på 9,8 möjliggör fjärrkörning av kod utan autentisering och riskerar att kompromettera domänkontrollanter. Microsoft föreslår att koppla bort domänkontrollanter från internet, men experter rekommenderar istället snabb uppdatering.

Ett annat brådskande problem, CVE-2024-49117 i Hyper-V, tillåter attacker mellan virtuella maskiner med grundläggande autentisering. Nio kritiska buggar riktar sig mot Remote Desktop Services, inklusive en use-after-free-sårbarhet (CVE-2024-49132) som möjliggör fjärrkörning av kod.

Ytterligare risker inkluderar privilegieeskalering i Windows Resilient File System (CVE-2024-49093) och en RCE-sårbarhet (CVE-2024-49063) i AI-projektet Musik.

Vi uppmanar organisationer till omedelbara uppdateringar, särskilt för sårbarheter som påverkar fjärrtjänster, för att undvika utnyttjande och säkerställa robust systemsäkerhet. Läs mer HÄR.

Malichus malware utnyttjar Cleo zero-day-sårbarhet för att stjäla känslig data

Cybersäkerhetsforskare har identifierat en kritisk zero-day-sårbarhet i Cleos filöverföringsprogramvara som aktivt utnyttjas av Malichus malware för att underlätta datastöld. Sårbarheten tillåter angripare att fjärrköra godtycklig kod och kompromettera känslig information. Malichus, en sofistikerad malware, använder denna sårbarhet för att infiltrera system, exfiltrera data och etablera bestående åtkomst.

Cleo har lanserat uppdateringar för att åtgärda problemet, och användare uppmanas starkt att omedelbart uppdatera sina system för att minska potentiella risker. Denna incident understryker vikten av att uppdatera programvara i tid och vidta robusta säkerhetsåtgärder för att skydda sig mot nya hot.

Lynx ransomware riktar in sig på Electrica Group i en stor attack

Rumäniens nationella cybersäkerhetsdirektorat (DNSC) har bekräftat att ransomwaregruppen Lynx har brutit sig in i Electrica Group, en ledande elleverantör som betjänar över 3,8 miljoner användare i Muntenien och Transsylvanien. Electrica, som är noterad på börserna i London och Bukarest, rapporterade om den pågående attacken och försäkrade investerare att kritiska system, inklusive SCADA, inte påverkades.

Ransomwaregruppen Lynx har varit aktiv sedan mitten av 2024 och har riktat in sig på över 78 offer, inklusive energisektorn och industrisektorn i USA. Genom att använda en krypteringsmetod kopplad till INC Ransom malware använder Lynx ransomware-as-a-service-taktik för att attackera organisationer globalt.

DNSC samarbetar med Electrica och har tillhandahållit ett YARA-skript för att hjälpa organisationer att upptäcka spår av malware. De uppmanar alla företag, särskilt inom energisektorn, att genomsöka sina system. Myndigheten varnar för att betala lösensummor och betonar behovet av vaksamhet inför ökande cyberhot.

Denna attack följer en rad högprofilerade incidenter i Rumänien, inklusive en Backmydata ransomware-attack mot sjukhus och cyberattacker riktade mot valinfrastruktur.

Cyberattack mot Krispy Kreme stör onlinebeställningar - utredning pågår

Krispy Kreme har avslöjat en cyberattack den 29 november som betydligt störde deras onlinebeställningssystem i vissa delar av USA, även om fysiska butiker och dagliga leveranser förblev opåverkade. Onlineförsäljningen stod för 15,5 % av företagets totala intäkter under tredje kvartalet 2024, vilket förstärkte påverkan.

Brottet, som avslöjades genom ett 8-K-meddelande till SEC, fick Krispy Kreme att anlita cybersäkerhetsexperter och informera federala brottsbekämpande myndigheter. Företaget fortsätter att utvärdera omfattningen och påverkan och förväntar sig materiella förluster på grund av avbrutna digitala försäljningar och cybersäkerhetskostnader, delvis uppvägda av försäkringar.

Experter spekulerar i hur attacken belyser sårbarheter i sammankopplade system. Krispy Kreme försäkrade intressenter att långsiktiga effekter på företagets finansiella situation är osannolika medan återhämtningsarbetet fortskrider.

Operation PowerOFF slår ut DDoS-plattformar - gripanden har genomförts 

Brottsbekämpande myndigheter i 15 länder har slagit ut 27 DDoS-plattformar, gripit tre administratörer och identifierat 300 kunder som en del av Operation PowerOFF, en internationell insats mot DDoS-cyberbrott.

Dessa plattformar, även kända som "booters" eller "stressers," gör det möjligt för betalande kunder att använda botnät för att störa onlinetjänster. Sådana attacker, särskilt under högtider, kan orsaka betydande avbrott och ekonomiska förluster.

Europol koordinerade operationen och tillhandahöll analytiskt och forensiskt stöd. Bland de beslagtagna sajterna finns zdstresser.net och orbitalstress.net, som nu vidtar brottsbekämpande åtgärder. Den nederländska polisen grep fyra misstänkta ansvariga för tusentals attacker och identifierade 200 plattformsanvändare, som antingen varnades eller ställdes inför rätta.

Myndigheter fortsätter att utreda och syftar till att begränsa dessa tjänster och ställa användare till svars.

Ransomwaregruppen Termite attackerar Blue Yonder och tar på sig ansvar för stöld

 
Ransomwaregruppen Termite har tagit på sig ansvaret för en cyberattack mot det USA-baserade leveranskedjeteknologiföretaget Blue Yonder och påstår sig ha stulit 680 GB data. Företaget, som är baserat i Scottsdale, Arizona, och ägs av Panasonic, betjänar över 3 000 kunder, inklusive Morrisons, Sainsbury’s, Tesco och Starbucks.

Blue Yonder bekräftade att attacken störde deras "hosted managed services-miljö" den 21 november. Externa cybersäkerhetsexperter assisterade i utredningen och avslöjade att angripare infiltrerade nätverket, injicerade skadlig kod och krypterade kritiska system.

Incidenten orsakade operativa störningar, och Starbucks rapporterades ha hanterat betalningar manuellt. Termite påstår sig ha tillgång till databaser, e-postlistor, dokument och försäkringshandlingar. Blue Yonder uppgav att de arbetar med cybersäkerhetsföretag för att hantera intrånget, stärka försvaret och stödja drabbade kunder.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.