Cybersikkerhedsroundup maj 2024

Udforsk SSL.coms maj-oversigt om kritiske cybersikkerhedstrusler, herunder SugarGh0st-malwaren og ransomware-angrebet på Wichita, og lær hvordan SSL.com-certifikater beskytter mod disse risici.

Lignende indhold

Vil du blive ved med at lære?

Tilmeld dig SSL.com's nyhedsbrev, bliv informeret og sikker.

Kina-tilknyttede hackere retter sig mod amerikanske AI-eksperter med SugarGh0st Malware 

Forskere ved Proofpoint har afsløret en meget målrettet kampagne af en formodet kinesisk trusselsaktør, kaldet "UNK_SweetSpecter", med det formål at stjæle information fra kunstig intelligens-eksperter i USA. Angriberne brugte en tilpasset variant af den berygtede Gh0st RAT-malware, kaldet SugarGh0st, til at inficere systemerne hos en udvalgt gruppe af individer, der er tilknyttet en førende USA-baseret AI-organisation.  Kampagnen, der dukkede op i maj 2024, involverede phishing-e-mails med AI-tema, der indeholdt et ondsindet ZIP-arkiv. Når malwaren var blevet udført, etablerede den kommunikation med en angriberstyret kommando-og-kontrol-server, hvilket potentielt gjorde det muligt for hackerne at udslette følsomme data relateret til generative AI-teknologier.  Proofpoint antyder, at denne kampagne kan være et svar på den seneste amerikanske regerings indsats for at begrænse kinesisk adgang til generative AI-teknologier. Den målrettede karakter af angrebet og dets fokus på AI-eksperter indikerer, at trusselsaktørens mål sandsynligvis var at opnå ikke-offentlig information om generativ kunstig intelligens for at fremme Kinas udviklingsmål på dette område. 
SSL.com-indsigt: For at beskytte mod sofistikerede cybertrusler såsom SugarGh0st RAT-kampagnen bør organisationer forbedre deres e-mailsikkerhedsprotokoller ved at anvende avancerede filtre, der undersøger vedhæftede filer og links for potentielle trusler, især i kommunikation, der anmode teknisk hjælp eller foregiver at løse softwareproblemer. Det er også bydende nødvendigt at uddanne AI-eksperter og andet højrisikopersonale i de specifikke forhold ved målrettede phishing-angreb, for at sikre, at de er dygtige til at genkende og håndtere mistænkelige e-mails. Implementering af software, der skærme for uautoriseret brug af administrative værktøjer og uventet ekstern kommunikation kan yderligere beskytte følsomme oplysninger mod at blive kompromitteret. SSL.com s S/MIME certifikater giver et robust lag af sikkerhed ved at sikre ægtheden og integriteten af ​​e-mails, hvilket er afgørende for at forhindre angribere i at udgive sig som legitime kilder, og ved at kryptere e-mail-indhold beskytter de følsomme oplysninger mod uautoriseret adgang, selvom der opstår et brud. 

Beskyt dine e-mails nu  

Bliv beskyttet

CISA advarer om aktivt udnyttet fejl i NextGen Healthcare Mirth Connect 

Det amerikanske Cybersecurity and Infrastructure Security Agency (CISA) har udstedt en akut advarsel om en kritisk sikkerhedssårbarhed i NextGen Healthcare Mirth Connect, en open source-dataintegrationsplatform, der er meget udbredt i sundhedssektoren. Fejlen, sporet som CVE-2023-43208, giver mulighed for uautoriseret fjernudførelse af kode og menes at blive udnyttet aktivt i naturen.  Sårbarheden stammer fra en ufuldstændig patch til en anden kritisk fejl, CVE-2023-37679, og er relateret til den usikre brug af Java XStream-biblioteket til unmarshalling XML-nyttelast. Forskere ved Horizon3.ai afslørede først sårbarheden i oktober 2023 med yderligere tekniske detaljer og en proof-of-concept-udnyttelse udgivet i januar 2024.  CISA har føjet CVE-2023-43208 til sit Known Exploited Vulnerabilities (KEV)-katalog, hvilket giver føderale agenturer mandat til at opdatere deres systemer til Mirth Connect version 4.4.1 eller senere senest den 10. juni 2024. Selvom agenturet ikke har givet detaljer om det igangværende angreb, anses fejlen for let at udnytte og udgør en betydelig risiko for sundhedsorganisationer.  Ud over Mirth Connect-sårbarheden har CISA også tilføjet en for nylig offentliggjort type forvirringsfejl, der påvirker Google Chrome (CVE-2024-4947) til KEV-kataloget, da det er blevet anerkendt af Google for at blive udnyttet i virkelige angreb. 
SSL.com-indsigt: Den nylige tilføjelse af NextGen Healthcare Mirth Connect's sårbarhed over for CISA's Known Exploited Vulnerabilities-katalog betyder en kritisk udvikling inden for cybersikkerhed, der fremhæver de eskalerende trusler, som sundhedsdatasystemer står over for. Organisationer skal prioritere udrulning af opdateringer og patches til sådanne sårbarheder omgående for at beskytte følsomme sundhedsdata mod uautoriseret adgang og potentiel udnyttelse. Som en førende udbyder af digitale certifikater understreger SSL.com nødvendigheden af ​​at implementere robuste krypteringsforanstaltninger og anvende digitale certifikater for at sikre dataintegritet og sikre kommunikationskanaler og derved styrke forsvaret mod sådanne sofistikerede cybertrusler.

City of Wichita målrettet i weekend Ransomware-angreb 

City of Wichita, Kansas, den største by i staten og en af ​​de 50 største byer i USA, har afsløret, at den blev ramt af et ransomware-angreb i weekenden. Hændelsen, som fandt sted søndag den 5. maj, tvang byen til at lukke dele af sit netværk ned for at forhindre spredning af ransomware til andre enheder.  I et ualmindeligt gennemsigtigt træk bekræftede byen angrebet på deres hjemmeside, idet det anførte, at en grundig gennemgang og vurdering af hændelsen er i gang, herunder den potentielle indvirkning på data. Som et resultat af angrebet er online betalingssystemer til byen, inklusive dem til betaling af vandregninger og retsanklager og billetter, i øjeblikket offline.  Selvom byen ikke har afsløret identiteten på den ransomware-bande, der er ansvarlig for angrebet, har de rapporteret hændelsen til lokale og føderale retshåndhævende myndigheder, som hjælper med at reagere. Det vides endnu ikke, om nogen data er blevet stjålet, selvom det er almindeligt, at ransomware-bander eksfiltrerer data fra kompromitterede netværk i dage eller endda uger, før de implementerer deres kryptering.  På trods af angrebet By har forsikret beboerne om, at førstehjælpere, herunder politi og brandvæsen, stadig leverer tjenester, efter at have skiftet til forretningskontinuitetsforanstaltninger, hvor det er nødvendigt. 
SSL.com-indsigt: Som reaktion på den eskalerende trussel om ransomware-angreb, som eksemplificeret ved den nylige hændelse i Wichita, bør organisationer forbedre deres netværkssikkerhed ved at implementere stærke adgangskontroller og segmentere netværk for at begrænse spredningen af ​​sådanne angreb. At sikre, at følsomme systemer er isoleret, og at adgang til kritisk infrastruktur kun gives efter multifaktorautentificering, kan drastisk reducere virkningen af ​​ransomware. Regelmæssigt planlagte sikkerhedskopier og evnen til hurtigt at gendanne systemer er også afgørende for genopretning efter et angreb, hvilket minimerer nedetid og potentialet for tab af data. SSL.com s Klientgodkendelsescertifikater styrker disse sikkerhedsforanstaltninger ved at give en metode til at godkende brugere og enheder, der sikrer, at kun autoriseret personale kan få adgang til kritiske systemer og data, hvilket er afgørende for at forhindre uautoriseret adgang, der kan føre til udrulning af ransomware.

Forstærke Kritisk infrastruktur Forsvars  

Aktiver beskyttelse

Black Basta Ransomware er rettet mod over 500 organisationer globalt 

Black Basta ransomware-as-a-service (RaaS)-operationen har rettet mod mere end 500 private industri- og kritiske infrastrukturenheder i Nordamerika, Europa og Australien siden dens fremkomst i april 2022, ifølge en fælles rådgivning udgivet af CISA, FBI , HHS og MS-ISAC.  Trusselsaktørerne bag Black Basta har krypteret og stjålet data fra mindst 12 ud af 16 kritiske infrastruktursektorer ved at anvende en dobbelt-afpresningsmodel. Gruppens tilknyttede selskaber bruger almindelige indledende adgangsteknikker, såsom phishing og udnyttelse af kendte sårbarheder, og giver ofrene en unik kode til at kontakte dem via en .onion-URL for at få instruktioner om løsepengebetaling.  Black Basta er blevet sat i forbindelse med 28 af de 373 bekræftede ransomware-angreb i april 2024 og oplevede en stigning på 41 % i aktiviteten kvartal-over-kvartal i 1. kvartal 2024. Gruppen menes at have bånd til cyberkriminalitetsgruppen FIN7.  Ransomware-landskabet undergår ændringer, med et fald på 18% i aktivitet i 1. kvartal 2024 sammenlignet med det foregående kvartal, primært på grund af retshåndhævelsesoperationer mod ALPHV (aka BlackCat) og LockBit. Nye ransomware-grupper, såsom APT73, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt og Shinra, er også dukket op i de seneste uger.  På trods af det samlede fald i ransomware-aktivitet er den gennemsnitlige løsesumsbetaling steget 5-doblet i løbet af det sidste år, fra $400,000 til $2 millioner, ifølge en Sophos-undersøgelse. Men ofrene nægter i stigende grad at betale det oprindelige beløb, der kræves, og kun 24 % af de adspurgte betaler den oprindelige anmodning. 
SSL.com-indsigt: For at bekæmpe den stigende trussel fra ransomware, som eksemplificeret ved Black Basta-operationen, bør organisationer implementere en robust sikkerhedsstrategi med flere lag, der inkluderer tidlig opdagelse af phishing-forsøg og udnyttelse af kendte sårbarheder, som er almindelige initial adgangsteknikker til ransomware-angreb. Det er vigtigt løbende at opdatere og lappe systemer for at forsvare sig mod kendte udnyttelser og at anvende sofistikerede endpoint-detektions- og responsværktøjer, der kan identificere og neutralisere trusler, før de eskalerer. Derudover bør organisationer træne deres personale regelmæssigt i bedste praksis for cybersikkerhed og ransomware-bevidsthed for at forhindre vellykkede phishing-angreb. SSL.com s Klientgodkendelsescertifikater kan forbedre sikkerhedsforanstaltningerne betydeligt ved at sikre, at kun godkendte enheder og brugere kan få adgang til netværksressourcer, hvilket reducerer risikoen for uautoriseret adgang, der kan føre til udrulning af ransomware; desuden kan disse certifikater hjælpe med at sikre e-mail-kommunikation, en almindelig vektor for ransomware-distribution, og derved tilføje et væsentligt lag af forsvar mod sådanne cybertrusler.

Boost din cyberresiliens  

Krypter i dag

SSL.com-meddelelser

SSL.com s S/MIME Certifikater kan nu integreres med et LDAP-aktiveret netværk

LDAP (Lightweight Directory Access Protocol) er en industristandardprotokol til at få adgang til og administrere telefonbogsinformationstjenester. Det bruges almindeligvis til at gemme og hente information om brugere, grupper, organisationsstrukturer og andre ressourcer i et netværksmiljø.

Integrering af LDAP med S/MIME certifikater involverer at bruge LDAP som en adressebogstjeneste til at gemme og administrere brugercertifikater. 

Ved at integrere LDAP med S/MIME certifikater, kan organisationer centralisere certifikatstyring, forbedre sikkerheden og strømline processen med hentning og godkendelse af certifikater i forskellige applikationer og tjenester, der udnytter LDAP som en adressebogstjeneste.

Kontakt sales@ssl.com for mere information om LDAP-integration. 

Single Sign On (SSO) kan nu aktiveres for SSL.com-konti 

SSL.com-brugere kan nu aktivere Single Sign On (SSO) for deres konti. Denne funktion giver brugerne mulighed for at linke deres Google-, Microsoft-, GitHub- og Facebook-konti til deres SSL.com-konti. Når de først er forbundet og logget ind på en af ​​de fire nævnte tjenesteudbydere, er der ikke behov for, at brugere gentagne gange logger ind på deres SSL.com-konti med deres brugernavn og adgangskode. Vedtagelsen af ​​SSO af SSL.com repræsenterer en forpligtelse til at opretholde høje sikkerhedsstandarder og samtidig levere et brugervenligt miljø, der i sidste ende fremmer en sikrere og mere sikker onlineoplevelse for sine brugere. 

Automatiser validering og udstedelse af e-mailsignerings- og krypteringscertifikater til medarbejdere 

< p align="justify">Bulk tilmelding er nu tilgængelig for Personligt ID+Organisation S/MIME Certifikater (også kendt som IV+OV S/MIME), Og NAESB-certifikater gennem SSL.com Bulk Order Tool. Massetilmelding af Personligt ID+Organisation S/MIME og NAESB-certifikater har det yderligere krav om en Enterprise PKI (EPKI) Aftale. En EPKI Aftalen giver en enkelt autoriseret repræsentant for en organisation mulighed for at bestille, validere, udstede og tilbagekalde en stor mængde af disse to typer certifikater for andre medlemmer, og derved muliggøre en hurtigere ekspedition i sikringen af ​​en organisations data- og kommunikationssystemer.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.