Køkkenvaskangrebskæder: Den primære cybertrussel mod valget i 2024
Når valget i 2024 nærmer sig, advarer cybersikkerhedseksperter om, at den væsentligste trussel mod den demokratiske proces sandsynligvis vil være en kombination af forskellige cyberangreb snarere end en enkelt, isoleret hændelse. Disse "køkkenvask"-angrebskæder, som de kaldes, involverer hackere, der bruger flere taktikker i tandem for at nå deres ondsindede mål, hvilket gør dem sværere at opdage og forsvare sig imod. Ifølge en nylig rapport fra Mandiant, en del af Google Cloud, er de mest potente trusler mod valg kædede angreb, hvor trusselsaktører bevidst lagde flere taktikker i hybride operationer for at forstørre effekten af hver komponent. Denne tilgang er blevet brugt ved tidligere valg, såsom det ukrainske præsidentvalg i 2014, hvor russiske aktører lancerede DDoS-angreb, slettede filer fra landets centrale valgcomputere, lækkede e-mails og dokumenter og forsøgte at præsentere falske resultater, der favoriserede en specifik kandidat. Ved det amerikanske valg i 2020 gennemførte to iranske statsborgere en kampagne mod flere staters afstemningsrelaterede websteder, indhentede fortrolige vælgeroplysninger, sendte intimiderende og vildledende e-mails og spredte desinformation om sårbarheder i valginfrastrukturen. De brød også et medieselskab, som kunne have givet en anden kanal til at formidle falske påstande. Udover statsstøttede aktører udgør også insidere, hacktivister og cyberkriminelle en trussel mod den demokratiske proces. Falske konti på sociale medier og websteder, der er tilknyttet præsidentkandidater, kan bruges til at sprede svindel, malware, stjæle midler eller påvirke vælgernes synspunkter ved at distribuere falske nyheder. Disse efterligninger kan også bruges til at interagere med rigtige mennesker fra kampagner og infiltrere deres systemer. Efterhånden som den digitale slagmark bliver mere og mere tilgængelig, er det afgørende for valgembedsmænd, kampagner og vælgere at forblive årvågne og proaktive med at sikre integriteten af den demokratiske proces mod disse udviklende cybertrusler.Styrk sikkerheden, stol på SSL.com-certifikater.
Statssponsorerede hackere bryder MITER R&D-netværket via Ivanti Zero-Day sårbarheder
MITRE, en føderalt finansieret ikke-for-profit virksomhed, afslørede for nylig et brud på sit netværksbaserede eksperiment-, forsknings- og virtualiseringsmiljø (NERVE) af en udenlandsk statssponsoreret trusselsaktør i begyndelsen af januar. Angriberne udnyttede to nul-dages sårbarheder, CVE-2023-46805 og CVE-2024-21887, i Ivanti Connect Secure VPN-enheder for at få indledende adgang. Disse sårbarheder blev første gang rapporteret af Volexity den 10. januar, og tilskrev deres udnyttelse til kinesiske regeringsstøttede hackere. Efter at have fået adgang foretog angriberne rekognoscering, omgik multi-faktor-autentificering ved hjælp af sessionskapring og bevægede sig sideværts inden for MITREs netværk. De brugte sofistikerede bagdøre og webshells til at opretholde vedholdenhed og høste legitimationsoplysninger, målrettet mod organisationens VMware-infrastruktur ved hjælp af en kompromitteret administratorkonto. Mens MITER ikke har givet tilskrivningsdetaljer ud over at identificere angriberne som en udenlandsk nationalstats trusselaktør, er Google Clouds Mandiant opmærksom på flere Kina-tilknyttede trusselsaktører, der udnytter Ivanti VPN-sårbarhederne i deres angreb. MITREs igangværende undersøgelse har ikke fundet beviser for indvirkning på virksomhedens kernenetværk eller partneres systemer. Organisationen har delt information om de observerede ATT&CK-teknikker, bedste praksis til at opdage sådanne angreb og anbefalinger til hærdning af netværk. De samme Ivanti-sårbarheder blev også brugt til at hacke ind i systemer tilhørende det amerikanske Cybersecurity and Infrastructure Security Agency (CISA), hvilket potentielt kunne påvirke 100,000 personer. MITRE, der er bredt kendt for sin ATT&CK-videnbase om modstanders taktik og teknikker, åbnede for nylig et nyt AI Assurance and Discovery Lab for at opdage og håndtere risici i AI-aktiverede systemer.Udforsk, hvordan SSL.com kan forbedre din IoT-sikkerhed.
CoralRaider Threat Actor lancerer en global angrebskampagne med flere infotyvere
Ciscos Talos-sikkerhedsforskningsenhed har afsløret en udbredt angrebskampagne fra en trusselsaktør kendt som CoralRaider, som bruger en kombination af informationstyve til at høste legitimationsoplysninger og økonomiske data fra brugere over hele verden. Trusselsaktøren, der menes at være af vietnamesisk oprindelse, har været rettet mod enkeltpersoner på tværs af forskellige forretningsvertikaler og geografier siden mindst 2023. CoralRaiders angrebskampagne har udviklet sig over tid, hvor trusselsaktøren tidligere har brugt en tilpasset QuasarRAT-variant kaldet RotBot og XClient-tyveren at målrette økonomiske og login-oplysninger og stjæle konti på sociale medier. Siden februar 2024 har trusselsaktøren udvidet sit arsenal til at omfatte tre informationstyve: Cryptbot, LummaC2 og Rhadamanthys. Angrebene er rettet mod brugere i Ecuador, Egypten, Tyskland, Japan, Nigeria, Norge, Pakistan, Filippinerne, Polen, Syrien, Tyrkiet, Storbritannien og USA, med nogle ofre identificeret som ansatte i computerservice callcenter-organisationer i Japan og civilforsvarsorganisationer i Syrien. CoralRaider har brugt phishing-e-mails indeholdende ondsindede links til at levere ZIP-arkiver med udformede genvejsfiler, hvilket udløser en flertrins infektionskæde, der i sidste ende udfører informationstyverne på de målrettede systemer. CryptBot, LummaC2 og Rhadamanthys er velkendte informationstyvere med forskellige muligheder, herunder indsamling af legitimationsoplysninger fra browsere, stjæling af følsomme filer og eksfiltrering af data fra cryptocurrency-punge og andre applikationer. Brugen af disse stjælere i kombination gør det muligt for CoralRaider at maksimere virkningen af sine angreb og samle en bred vifte af værdifuld information fra sine ofre. Da CoralRaider fortsætter med at udvikle sig og udvide sin globale rækkevidde, skal organisationer og enkeltpersoner forblive på vagt og vedtage robuste cybersikkerhedsforanstaltninger for at beskytte mod disse stadig mere sofistikerede trusler. Regelmæssig opdatering af software, brug af stærke og unikke adgangskoder, muliggør multi-faktor-autentificering og oplysning af brugere om farerne ved phishing-e-mails er væsentlige skridt til at mindske risikoen for at blive ofre for sådanne angreb.Sikker e-mail, Trust SSL.com S/MIME.
Change Healthcare lider for andet Ransomware-angreb af RansomHub
Change Healthcare, et datterselskab af United Healthcare, har angiveligt været udsat for endnu et ransomware-angreb, denne gang af RansomHub-banden, kun få uger efter at være blevet målrettet af ALPHV/BlackCat. RansomHub hævder at have stjålet 4 TB følsomme data, herunder oplysninger om amerikansk militærpersonel, patienter, medicinske journaler og økonomiske oplysninger. Banden kræver en afpresningsbetaling og truer med at sælge dataene til højestbydende, hvis løsesummen ikke betales inden for 12 dage. Dette andet angreb kommer på et udfordrende tidspunkt for Change Healthcare, som først for nylig er kommet sig over det tidligere ALPHV/BlackCat-cyberangreb. Virksomheden står nu over for en vanskelig beslutning med hensyn til, om de skal betale løsesum eller ej for at beskytte sine kunders følsomme oplysninger. Malachi Walker, en sikkerhedsrådgiver hos DomainTools, foreslår, at selvom RansomHub ikke er direkte forbundet til ALPHV/BlackCat, kan gruppen hævde bånd til deres ofre for at skræmme dem til at foretage en betaling. Han fremhæver også den blomstrende undergrundsøkonomi omkring ransomware-scenen, hvor forskellige aktører samarbejder om at dele information. Mens der er spekulationer om en mulig forbindelse mellem ALPHV/BlackCat og RansomHub, eller hvis ALPHV har omdøbt til RansomHub, siger Walker, at det er for tidligt at bekræfte nogen direkte forbindelse mellem de to grupper. Denne hændelse understreger den igangværende trussel fra ransomware-bander og vigtigheden af robuste cybersikkerhedsforanstaltninger for at beskytte følsomme data i sundhedssektoren. Mens Change Healthcare navigerer i dette andet ransomware-angreb, står det over for en udfordrende situation med hensyn til at sikre sikkerheden af sine kunders oplysninger.SSL.com-meddelelser
SSL.com s S/MIME Certifikater kan nu integreres med et LDAP-aktiveret netværk
LDAP (Lightweight Directory Access Protocol) er en industristandardprotokol til at få adgang til og administrere telefonbogsinformationstjenester. Det bruges almindeligvis til at gemme og hente information om brugere, grupper, organisationsstrukturer og andre ressourcer i et netværksmiljø.
Integrering af LDAP med S/MIME certifikater involverer at bruge LDAP som en adressebogstjeneste til at gemme og administrere brugercertifikater.
Ved at integrere LDAP med S/MIME certifikater, kan organisationer centralisere certifikatstyring, forbedre sikkerheden og strømline processen med hentning og godkendelse af certifikater i forskellige applikationer og tjenester, der udnytter LDAP som en adressebogstjeneste.
Kontakt sales@ssl.com for mere information om LDAP-integration.