1. Dator och IT
  2. IT-säkerhet

Attack mot Tietoevry. Filmstaden, Rusta, Granngården, Systembolaget drabbade [2024-01-20]

Svara
2024-01-22, 19:27
  #565
ankhelvete
Medlem
Citat:
Ursprungligen postat av FOFEFE
För oss noobs: hur vet man att de kommit åt kundernas data genom den här exploiten? Kan inget om sådant, men nyfiken!

Om det stämmer att dom kom åt datacentrets ESX host så kommer dom sen åt alla kunder vilka deras servrar ligger i datacentret.
Citera
2024-01-22, 19:29
  #566
Negerdjur
Medlem
Negerdjurs avatar
Citat:
Ursprungligen postat av Hamsterboll
Vilka mer än Ica? Jag skulle kolla ett recept på Ica idag men ja det ligger nere. Störigt.

Tietoevry är väl stora inom financial services? Vilka kunder har eventuellt drabbats?
Citera
2024-01-22, 19:30
  #567
dismisswall
Avslutad
Citat:
Ursprungligen postat av ankhelvete
Sjukt pinsamt om det här är sant .. Det här är inte ens en hackerattack, bara nyttja uppgifter dom fått från en insider eller läckta lösenord. Känns som att dom inte ens har backups som fungerar ?? Isåfall ligger dom verkligen i skiten

Nej, nu läser du fel. Detta ÄR en hackerattack. Om det stämmer med Cisco Anyconnect Exploit. Dem har då INTE fått inside info/lösenord eller något sådant.

Dem har backups som fungerar men det är inte bara att återläsa. Du måste veta hur dem kom in och säkerställa att backups inte är infekterade dem med.
Citera
2024-01-22, 19:30
  #568
bergsturk
Medlem
bergsturks avatar
Citat:
Ursprungligen postat av FOFEFE
För oss noobs: hur vet man att de kommit åt kundernas data genom den här exploiten? Kan inget om sådant, men nyfiken!

Det är ingen som vet om de "kom åt" (dvs stal) data. Ska man köra ransomware så vill man börja kryptera så snart som möjligt. Men det är väl ingen högoddsare att det finns band till rysk säkerhetstjänst hos den här typen av grupp.
Citera
2024-01-22, 19:34
  #569
JustTrolling
Medlem
JustTrollings avatar
Citat:
Ursprungligen postat av bergsturk
Det är ingen som vet om de "kom åt" (dvs stal) data. Ska man köra ransomware så vill man börja kryptera så snart som möjligt. Men det är väl ingen högoddsare att det finns band till rysk säkerhetstjänst hos den här typen av grupp.
Nej, det vill man inte.

Man vill exfiltrera så mycket data som möjligt så man kan hota att släppa datan fritt om lösensumma inte betalas, och använda det som påtryckningsmedel för att målet ska betala. Och inte bara försöka köra backup-återställning.

Dessutom är det välkänt modus från den gruppen att exfiltrera data.
Citera
2024-01-22, 19:39
  #570
Czn00
Medlem
Citat:
Ursprungligen postat av Pissmaster
Njaaa, tveksamt. Vart har du fått den infon? låter ju extremt osannolikt.... Iof så har ju Anyconnect en väldans massa gamla CVE'er och likaså ios och ios-xe men det är ju såå gammalt så OM det stämmer kommer kunder fly TietoEvey. Ingen vill ha en leverantör som inte har koll på vilka burkar man ha i sitt nät.

*EDIT
Det verkr ju som att du har helt rätt. Det är extremt pinsamt för Tieto. Detta kommer bli EXTREMT dyrt för dem i form av böter och skadestånd. Sedan kommer de loosa sina kunder också. Aj aj aj

Jag jobbar inom branschen och har kollegor lite här och där informationen stämmer.
Citera
2024-01-22, 19:39
  #571
Pissmaster
Avslutad
Citat:
Ursprungligen postat av NejMenHejPaDig
Har du lust att utveckla lite för en ändå hyffsat (men absolut inget proffs) nätverkskunnig lite mer detaljerat vad detta innebär?
'


Det innebär att de har kört en brandvägg med gammal mjukvara som är full av buggar. Sedan när omvärlden har larmat (CVE'er LARMAS ut, speciellt sånna här , det är critical som satan), så har de av ignorans eller arrogans eller bristande rutiner inom organisationen bokstavligen SKITIT i att åtgärda dessa fel. Så Tietos ledning har en hel del att tänka på.

Om du vill veta hur hacket har gått till så kan jag rekommendera

https://www.bankinfosecurity.com/ransomware-hit-on-tietoevry-causes-outages-across-sweden-a-24154
Citera
2024-01-22, 19:42
  #572
Pissmaster
Avslutad
Citat:
Ursprungligen postat av FOFEFE
För oss noobs: hur vet man att de kommit åt kundernas data genom den här exploiten? Kan inget om sådant, men nyfiken!

För att de har haft möjlighet att kopiera all inkommande och utgående data direkt i brandväggen (paketfiltret) i det här fallet. Man kan enkelt uttryckt jämföra det lite med en man in the middle attack. Sedan vet jag inte om de har fått tillgång till ALLT. Sedan verkar det som att de lyckats hacka, inte bara Cisco-burken men även alla wmware-maskiner (virituella servrar)
Citera
2024-01-22, 19:44
  #573
Pissmaster
Avslutad
Citat:
Ursprungligen postat av Czn00
Jag jobbar inom branschen och har kollegor lite här och där informationen stämmer.


Hittade en hel del schyssta källor som styrker din historia så jag tror på dig. Men det är ju PINSAMT för Tieto. Frågan är om de repar sig från detta. Visst att de kan säkert återställa funktionerna i hallarna men kunderna kommer ju inte ha något förtroende
Citera
2024-01-22, 19:44
  #574
Czn00
Medlem
Här är Cisco exploiten som har använts.

CVE-2023-20269

https://nvd.nist.gov/vuln/detail/CVE-2023-20269

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ravpn-auth-8LyfCkeC
Citera
2024-01-22, 19:44
  #575
Cukoo
Medlem
Borde man börja byta lösenord om man varit medlem hos något av dessa företag?
Citera
2024-01-22, 19:44
  #576
Murstocken
Medlem
Citat:
Ursprungligen postat av LarsVonDusseldorf
Kommer detta göra att kontanthantering på sikt kommer öka, vad tror ni?

Endel får kanske lönen i lönekuvert denna månaden 😅🤑
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in