Seneste IT-sikkerhedstrusler

På denne side vil It-afdelingen opdatere dig med de IT-trusler, som vi løbende får informationer om. Vi får vores data fra samarbejdspartnere, kollegaer, kunder og andet research.

På siden vil vi blandt andet dele falske e-mails, som kan smitte dig og din virksomhed med ransomware eller andre trusler, hvis du tager dem for gode varer.

Du kan bruge siden til at øge din kendskab om de seneste IT-trusler, så du eksempelvis kan bekræfte din tvivl ved mistænkelige e-mails.

IT-sikkerhed

[18/07/2017 13:45] 315 unikke sårbarheder lappes i forskellige Oracle-produkter

Oracle vil lukke sikkerhedssårbarheder i en lang række af deres produkter. Det skriver de på deres hjemmeside i en “Pre-Release Announcement”.

[05/07/2017 09:00] Ny bølge af CEO-fraud mod Danmark

Om sommeren oplever vi ofte en høj mængde CEO-fraud, og allerede nu har vi oplevet en større kampagne. Denne gang foregiver mailen at være afsendt fra den administrerende direktør i en virksomhed – altså et klassisk CEO-fraud. Vær varsom i din indbakke, og overfør aldrig penge på en opfordring i en mail.

[27/06/2017 09:20] Ny “Webmail Admin” phishing mail

Vi har set en phishing mail, der lokker modtageren med en opdateret version af webmail. Pas på i din indbakke.

Webmail Admin phishing

[22/06/2017 13:47] WikiLeaks lækker dokumenter om “Brutal Kangaroo” projekt

WikiLeaks har i dag lækket dokumenter som er relateret til et projekt med kodenavnet “Brutal Kangaroo”. Projektet består af flere komponenter, og gør det muligt via flytbare medier at kompromittere Microsoft Windows maskiner. Projektet menes at udspringe fra CIA.

En del af “Brutal Kangaroo” er en 0-dags sårbarhed kaldet “EZCheese”. Denne gør det muligt via .lnk filer, at kalde et eller flere Windows biblioteker, og dermed afvikle kommandoer eller filer på systemer, som anvender et forberedt USB/flytbart medie. Sårbarheden blev lukket i marts 2015, men mere interessant er det, at projektet på et senere tidspunkt fik tilført en ny 0-dags sårbarhed navngivet “Lachesis/RiverJack”. Også denne sårbarhed kan gennemtvinge kodekørsel på Microsoft Windows systemer og fremstår af dokumenterne, som fortsat ikke patchet. Lachesis/RiverJack sårbarheden fremtvinges også via .lnk filer.

Yderligere oplysninger: https://wikileaks.org/vault7/#Brutal%20Kangaroo

[21/06/2017 17:05] Ransomware “Locky” er tilbage

I et stykke tid har ”Jaff” været den mest dominerende ransomware, men nu er en gammel kending ”Locky” tilbage igen.

Det skyldes sandsynligvis, at Kaspersky Labs har udviklet og frigivet et gratis dekrypteringsværktøj til ”Jaff” og banden er derfor skiftet tilbage til ”Locky”.

Den nye Locky kampagne udsendes med følgende indhold:

Fra: [Spoofet / forfalsket afsender adresse]

Emnelinje: Copy of Invoice [tal baseret på: [0-9]{8}]

Vedhæftet:  [tal baseret på: [0-9]{8}].zip

Det vedæftede zip arkiv indeholder en binær eksekverbar .exe fil. Hvis arkivet åbnes og den binære fil køres vil “Locky” kopiere sig til systemet. Det betyder at “Locky” nu leveres som en komplet pakke i den pågældende zip-fil og ikke længere gør brug af en download server.

[29/05/2017 09:45] Kritisk sårbarhed i Samba

Alle versioner af Samba fra 3.5 har desværre fået en sikkerhedsbrist, som gør det muligt at inficere serveren.

Samba er et OpenSource software, som benyttes til fil- og printtjenester. Det muliggør et samarbejde mellem forskellige operativsystemer og Windows.

Hvis du bruger Samba, bør du med det samme opdatere til version 4.6.4, 4.5.10 eller 4.4.14.

[16/05/2017 08:56] Ransomware Jaff spredes i skumle e-mails

En ny type ransomware kaldet Jaff spredes i øjeblikket gennem en e-mail med en PDF (der forklædes som et scannet foto).

Jaff minder meget om den andet variant af ransomware ved navn Locky.

Her er e-mailen, som spredes i øjeblikket:

Jaff Ransomware e-mail

I PDF’en er der et indlejret dokument. Hvis dette dokument åbnes, og makroer aktiveres, vil en række inficerede domæner træde i kraft og smitte brugeren med Jaff.

[16/05/2017 08:51] Nye spam-udsendelser med ransomwaren Locky

Vi har set flere spam-mails med ransomwaren Locky.

De farlige e-mails ser ud således:

Fra: [Spoofet / forfalsket afsender adresse]

Emnelinje: Receipt to print

Vedhæftet: Receipt_[vilkårligt nummer].pdf

I PDF’en er der et indlejret dokument. Hvis dette dokument åbnes, og makroer aktiveres, vil en række inficerede domæner træde i kraft og smitte brugeren med Locky.

[15/05/2017 09:51] Farligt WannaCry-angreb i omløb (WannaCrypt)

En meget voldsom bølge af ransomware har været spredt i weekenden. Angrebet er af typen WannaCry (også kaldet WannaCrypt).

WannaCry blev d. 12. brugt i et omfattende angreb, der har ramt mere end 230.000 PC’er i 150 lande. Angrebet har bl.a. udnyttet et sikkerhedshul i enheder med Microsoft Windows.

Sikkerhedshullet i Windows blev lukket i en patch (opdatering) af Microsoft d. 14. marts, men ikke alle har siden da installeret patch’en.

Det farlige ved sikkerhedshullet er, at Windows-enheden kan blive inficeret uden, at brugeren aktivt gør noget (fx klikker et link).

Den bedste sikkerhed er altså at sørge for, at dine Windows-enheder har den nyeste sikkerhedspatch installeret.

WannaCry WannaCrypt Ransomware besked

[10/05/2017 08:55] Sikkerhedsopdatering til Flash Player

Adobe Flash Player har fået en ny sikkerhedsopdatering, som lukker flere sårbarheder.

Sårbarhederne kunne føre til systemkompromittering via drive-by angreb.

Vi anbefaler, at du installerer opdateringen med det samme. Derudover anbefaler vi vores Client Managed Update, som sørger for, at hele din virksomhed løbende, automatisk bliver opdateret.

[09/05/2017 10:57] Kritisk sårbarhed i Microsoft Malware Protection service – Microsoft udsender en hastepatch

En kritisk sårbarhed er opdaget, som rammer Windows 8, 8.1, 10, Windows Server, SCEP, Microsoft Security Essentials m.fl.

Microsoft har udsendt et advisory og en patch som retter op på fejlen. Det anbefales, at man installerer sikkerhedsopdateringen hurtigst muligt.

[05/05/2017 13:03] Nyt Hancitor spamrun i e-mails forfalsket som USPS

Malware af typen “Hancitor” udsendes i øjeblikket i uønskede e-mails, der påstås at være fra USPS.

Vi har fx set en e-mail, der ser ud således:

Fra: [Spoofet / forfalsket afsender adresse]

Emnelinje: USPS Proof of Delivery letter on your shipment EI[0-9]{8}US

I e-mail’en medfølger et Word-dokument, som indeholder makroer, der ved eksekvering downloader et malware.

[04/05/2017 15:23] Danmark ramt af Torrentlocker ransomware-bølge

En ny bølge af ransomware af typen Torrentlocker har ramt Danmark.

Fx har vi set en mail, som ser ud således:

Fra: [Forfalsket afsender adresse]

Emnelinje: betalningsinformation

Indholdet af e-mailen linker til Dropbox

[02/05/2017 13:54] Falsk fartbøde fra udlandet

Vi har set et phising-angreb, hvor svindleren påstod, at modtageren havde kørt for stærkt. Link er inficeret:

Falsk fartbøde

[07/04/2017 14:54] ENDNU en falsk faktura

Falske fakturaer er for tiden en af de IT-kriminelles yndlingsmåder at inficere godtroende brugere med ransomware. Her er endnu et eksempel.

ENDNU en falsk faktura

[03/04/2017 15:30] Ransomware via reklamer i Skype

Flere brugere har brokket sig over, at reklamerne i Skype har leveret en ondsindet installations-fil. Hvis filen åbnes, kan brugeren blive smittet med ransomware.

Skype adobe flash sikkerhedshul

[31/03/2017 08:38] Falsk Facebook notifikation

Mange er på Facebook, og det udnytter de IT-kriminelle. Vi har opdaget en e-mail, hvor de IT-kriminelle påstår, at modtageren har “notifikation” på Facebook. Linket fører dog videre til et skummelt website.

Facebook phishing

[30/03/2017 09:52] Falsk flybillet narre modtageren til at klikke på et inficeret link

Det er ved at være højsæson for at bestille rejser, og det udnytter de IT-kriminelle i stor stil. Vi har fx lige set en e-mail, hvor afsendere påstår at være “Delta” (et kendt rejsebureau). Når vi holder musen over linket, kan vi se, at det i virkeligheden fører til en anden hjemmeside end eller påstået.

phishing flybillet

[29/03/2017 14:59] Farlig e-mail med billede som farligt link

En ny e-mail forsøger at lokke modtageren til at klikke på et billede, som indeholder et inficeret link. E-mail er endnu en gang pakket ind som værende en faktura – formentlig for at narre de økonomiansvarlige i virksomheder.

Ransomware billede klik

[21/03/2017 14:51] Endnu en falsk e-mail med en påstået faktura

Vi har opdaget endnu en falsk e-mail, hvor afsenderen påstår at have en faktura til modtageren. Der er formentlig tale om et forsøg på at inficere modtageren med cryptolocker (ransomware). Linket er overstreget for din sikkerheds skyld.

Cryptolocker fra Ella Petterson

[15/03/2017 08:56] ‘Handwritten’ SPAM e-mail, der slipper igennem spamfilter

Vi er stødt på en SPAM e-mail, som er godt og vel umulig for spamfiltrer at opsnappe. De skyldes, at e-mailen ikke har nogle genkendelige træk, såsom links, vedhæftninger osv.

handwritten spam

[14/03/2017 13:14] SPAM e-mail med falsk faktura

Vi er stødt på en SPAM e-mail, som påstår at inkludere en faktura fra en ordre Det er dog formodentlig en malware.

E-mailen ser ud således:

faktura spam

[13/03/2017 13:21] Ondsindede e-mails fra FedEx

En SPAM-kampagne udgiver sig i øjeblikket for at være fra FedEx med vedhæftede ondsindede filer (som bl.a. indeholder Locky – en undergren af ransomware).

E-mailen ser ud således:

“Fra: [Spoofet / Forfalsket afsender adresse]

Emnelinje

We are sad to inform you that our delivery was unusuccessful… FedEx Package #[9 vilkårlige cifre]

Indhold:

Hello,

Our FedEx Delivery Service was at your place today to deliver your parcel #887817463.

Attached you can find the delivery notice containing more details.

We’re happy to assist you with your delivery.

Laurene Crover –  FedEx International Delivery

Vedhæftet:

Delivery-Details.zip”

[13/03/2017 13:14] SPAM-kampagne med farlig zip-fil

En ny SPAM-kampagne florerer i øjeblikket med en zip-fil, hvori der ligger en farlig .exe fil.

E-mailen ser ud således:

“Fra: Mohannadhabosh@asasemc[.]com

Emnelinje:

Over Due Payment – Urgent Reminder!

Indhold:

Dear Sir 

Pleae note that we cannot continue to contact you concerning our over due payment. We need our money and very soon, we will invite the police to your office for arrest. 

Find attached documents which you signed and kindy selttle your debts as soon as possible.

Vedhæftet:

Undertaking Regarding Overdue Payment.zip -> Undertaking Regarding Overdue Payment.exe”

[13/03/2017 09:35] Advarsel: Pas på falske mails angående årsopgørelse hos SKAT

Det er tid til årsopgørelse. Dette udnytter de IT-kriminelle ved at udsende e-mails, hvor de påstår at være fra SKAT. De kan eksempelvis finde på at skrive, at du har penge til gode, som du skal klikke på et link for at opkræve. Denne praksis ville SKAT aldrig brug. For at tjekke din årsopgørelse skal du i stedet selv gå ind på skat.dk ved at skrive det i URL-feltet.

Nedenfor ses et eksempel på en falsk e-mail fra sidste år.

falsk mail årsopgørelse

[10/03/2017 08:37] CryptoLocker i falsk e-mail fra Apple

Vi har lige set en e-mail med emnefeltet “Your AppleID will be blocked”. E-mailen indeholder et link, som er inficeret med det onsindede CryptoLocker (en gren af ransomware). Hvis du modtager denne e-mail, skal du holde dig langt væk!

Cryptolocker fra Apple

[08/03/2017 14:33] Falsk e-mail om TELEX COPY med Adwind (en slags ondsindet malware)

En falsk e-mail er i omløb med en vedhæftet fil, der indeholder en variant af malware, som kaldes “Adwind”.

Nedenfor ses e-mailen:

“Fra: [Spoofet / forfalsket afsender adresse]

Emnelinje: TELEX COPY

Indhold:

Dear Sir,

Please we are very sorry for the delays in making the payment, As per my telephone discussion with my Boss, today we have remitted payment made to your Bank account.

Find attached the telex copy of the payment made to your bank account kindly confirm the BANK SLIP attached.

Pls send to me final copy B/L and Form E copy.

Vedhæftet:

TELEX_COPY_03072017-pdf.jar”

[08/03/2017 13:55] Falsk e-mail fra e-conomic indeholder ransomware

Endnu flere ransomware-angreb i omløb! Lige for tiden har flere af vores kunder og kollegaer modtaget e-mails, hvor afsenderen påstår at være fra E-conomics. I e-mailen er der et link til en vedhæftet faktura på Dropbox – som IKKE bør klikkes! I virkeligheden er e-mailen ikke fra E-conomic – den er fra en IT-kriminel, som forsøger at få dig til at klikke på linket, hvorefter du bliver inficeret med det ondsindede ransomware. Vær varsom i din indbakke!

Economic Ransomware