Kina-tilknyttede hackere retter sig mod amerikanske AI-eksperter med SugarGh0st Malware
Forskere ved Proofpoint har afsløret en meget målrettet kampagne af en formodet kinesisk trusselsaktør, kaldet "UNK_SweetSpecter", med det formål at stjæle information fra kunstig intelligens-eksperter i USA. Angriberne brugte en tilpasset variant af den berygtede Gh0st RAT-malware, kaldet SugarGh0st, til at inficere systemerne hos en udvalgt gruppe af individer, der er tilknyttet en førende USA-baseret AI-organisation. Kampagnen, der dukkede op i maj 2024, involverede phishing-e-mails med AI-tema, der indeholdt et ondsindet ZIP-arkiv. Når malwaren var blevet udført, etablerede den kommunikation med en angriberstyret kommando-og-kontrol-server, hvilket potentielt gjorde det muligt for hackerne at udslette følsomme data relateret til generative AI-teknologier. Proofpoint antyder, at denne kampagne kan være et svar på den seneste amerikanske regerings indsats for at begrænse kinesisk adgang til generative AI-teknologier. Den målrettede karakter af angrebet og dets fokus på AI-eksperter indikerer, at trusselsaktørens mål sandsynligvis var at opnå ikke-offentlig information om generativ kunstig intelligens for at fremme Kinas udviklingsmål på dette område.Beskyt dine e-mails nu
CISA advarer om aktivt udnyttet fejl i NextGen Healthcare Mirth Connect
Det amerikanske Cybersecurity and Infrastructure Security Agency (CISA) har udstedt en akut advarsel om en kritisk sikkerhedssårbarhed i NextGen Healthcare Mirth Connect, en open source-dataintegrationsplatform, der er meget udbredt i sundhedssektoren. Fejlen, sporet som CVE-2023-43208, giver mulighed for uautoriseret fjernudførelse af kode og menes at blive udnyttet aktivt i naturen. Sårbarheden stammer fra en ufuldstændig patch til en anden kritisk fejl, CVE-2023-37679, og er relateret til den usikre brug af Java XStream-biblioteket til unmarshalling XML-nyttelast. Forskere ved Horizon3.ai afslørede først sårbarheden i oktober 2023 med yderligere tekniske detaljer og en proof-of-concept-udnyttelse udgivet i januar 2024. CISA har føjet CVE-2023-43208 til sit Known Exploited Vulnerabilities (KEV)-katalog, hvilket giver føderale agenturer mandat til at opdatere deres systemer til Mirth Connect version 4.4.1 eller senere senest den 10. juni 2024. Selvom agenturet ikke har givet detaljer om det igangværende angreb, anses fejlen for let at udnytte og udgør en betydelig risiko for sundhedsorganisationer. Ud over Mirth Connect-sårbarheden har CISA også tilføjet en for nylig offentliggjort type forvirringsfejl, der påvirker Google Chrome (CVE-2024-4947) til KEV-kataloget, da det er blevet anerkendt af Google for at blive udnyttet i virkelige angreb.City of Wichita målrettet i weekend Ransomware-angreb
City of Wichita, Kansas, den største by i staten og en af de 50 største byer i USA, har afsløret, at den blev ramt af et ransomware-angreb i weekenden. Hændelsen, som fandt sted søndag den 5. maj, tvang byen til at lukke dele af sit netværk ned for at forhindre spredning af ransomware til andre enheder. I et ualmindeligt gennemsigtigt træk bekræftede byen angrebet på deres hjemmeside, idet det anførte, at en grundig gennemgang og vurdering af hændelsen er i gang, herunder den potentielle indvirkning på data. Som et resultat af angrebet er online betalingssystemer til byen, inklusive dem til betaling af vandregninger og retsanklager og billetter, i øjeblikket offline. Selvom byen ikke har afsløret identiteten på den ransomware-bande, der er ansvarlig for angrebet, har de rapporteret hændelsen til lokale og føderale retshåndhævende myndigheder, som hjælper med at reagere. Det vides endnu ikke, om nogen data er blevet stjålet, selvom det er almindeligt, at ransomware-bander eksfiltrerer data fra kompromitterede netværk i dage eller endda uger, før de implementerer deres kryptering. På trods af angrebet By har forsikret beboerne om, at førstehjælpere, herunder politi og brandvæsen, stadig leverer tjenester, efter at have skiftet til forretningskontinuitetsforanstaltninger, hvor det er nødvendigt.Forstærke Kritisk infrastruktur Forsvars
Black Basta Ransomware er rettet mod over 500 organisationer globalt
Black Basta ransomware-as-a-service (RaaS)-operationen har rettet mod mere end 500 private industri- og kritiske infrastrukturenheder i Nordamerika, Europa og Australien siden dens fremkomst i april 2022, ifølge en fælles rådgivning udgivet af CISA, FBI , HHS og MS-ISAC. Trusselsaktørerne bag Black Basta har krypteret og stjålet data fra mindst 12 ud af 16 kritiske infrastruktursektorer ved at anvende en dobbelt-afpresningsmodel. Gruppens tilknyttede selskaber bruger almindelige indledende adgangsteknikker, såsom phishing og udnyttelse af kendte sårbarheder, og giver ofrene en unik kode til at kontakte dem via en .onion-URL for at få instruktioner om løsepengebetaling. Black Basta er blevet sat i forbindelse med 28 af de 373 bekræftede ransomware-angreb i april 2024 og oplevede en stigning på 41 % i aktiviteten kvartal-over-kvartal i 1. kvartal 2024. Gruppen menes at have bånd til cyberkriminalitetsgruppen FIN7. Ransomware-landskabet undergår ændringer, med et fald på 18% i aktivitet i 1. kvartal 2024 sammenlignet med det foregående kvartal, primært på grund af retshåndhævelsesoperationer mod ALPHV (aka BlackCat) og LockBit. Nye ransomware-grupper, såsom APT73, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt og Shinra, er også dukket op i de seneste uger. På trods af det samlede fald i ransomware-aktivitet er den gennemsnitlige løsesumsbetaling steget 5-doblet i løbet af det sidste år, fra $400,000 til $2 millioner, ifølge en Sophos-undersøgelse. Men ofrene nægter i stigende grad at betale det oprindelige beløb, der kræves, og kun 24 % af de adspurgte betaler den oprindelige anmodning.Boost din cyberresiliens
SSL.com-meddelelser
SSL.com s S/MIME Certifikater kan nu integreres med et LDAP-aktiveret netværk
LDAP (Lightweight Directory Access Protocol) er en industristandardprotokol til at få adgang til og administrere telefonbogsinformationstjenester. Det bruges almindeligvis til at gemme og hente information om brugere, grupper, organisationsstrukturer og andre ressourcer i et netværksmiljø.
Integrering af LDAP med S/MIME certifikater involverer at bruge LDAP som en adressebogstjeneste til at gemme og administrere brugercertifikater.
Ved at integrere LDAP med S/MIME certifikater, kan organisationer centralisere certifikatstyring, forbedre sikkerheden og strømline processen med hentning og godkendelse af certifikater i forskellige applikationer og tjenester, der udnytter LDAP som en adressebogstjeneste.
Kontakt sales@ssl.com for mere information om LDAP-integration.