Αλυσίδες επίθεσης κουζίνας-νιπτήρα: Η πρωταρχική απειλή στον κυβερνοχώρο για τις εκλογές του 2024
Καθώς πλησιάζουν οι εκλογές του 2024, ειδικοί στον κυβερνοχώρο προειδοποιούν ότι η πιο σημαντική απειλή για τη δημοκρατική διαδικασία θα είναι πιθανότατα ένας συνδυασμός διαφόρων κυβερνοεπιθέσεων και όχι ένα μεμονωμένο περιστατικό. Αυτές οι αλυσίδες επίθεσης «κουζίνα-νεροχύτη», όπως ονομάζονται, περιλαμβάνουν χάκερ που χρησιμοποιούν πολλαπλές τακτικές ταυτόχρονα για να επιτύχουν τους κακόβουλους στόχους τους, καθιστώντας πιο δύσκολο τον εντοπισμό και την άμυνα εναντίον τους. Σύμφωνα με μια πρόσφατη αναφορά της Mandiant, μέρος του Google Cloud, οι πιο ισχυρές απειλές για τις εκλογές είναι οι αλυσιδωτές επιθέσεις, όπου οι παράγοντες απειλών εσκεμμένα επιστρώνουν πολλαπλές τακτικές σε υβριδικές λειτουργίες για να μεγεθύνουν την επίδραση κάθε στοιχείου. Αυτή η προσέγγιση χρησιμοποιήθηκε σε προηγούμενες εκλογές, όπως στις προεδρικές εκλογές της Ουκρανίας του 2014, όπου Ρώσοι παράγοντες εξαπέλυσαν επιθέσεις DDoS, διέγραψαν αρχεία από τους κεντρικούς υπολογιστές εκλογών της χώρας, διέρρευσαν email και έγγραφα και προσπάθησαν να παρουσιάσουν πλαστά αποτελέσματα που ευνοούσαν έναν συγκεκριμένο υποψήφιο. Στις εκλογές του 2020 στις ΗΠΑ, δύο Ιρανοί υπήκοοι πραγματοποίησαν εκστρατεία εναντίον ιστοσελίδων πολλών πολιτειών που σχετίζονται με την ψηφοφορία, λαμβάνοντας εμπιστευτικές πληροφορίες ψηφοφόρων, στέλνοντας εκφοβιστικά και παραπλανητικά email και διαδίδοντας παραπληροφόρηση σχετικά με ευπάθειες στις εκλογικές υποδομές. Παραβίασαν επίσης μια εταιρεία μέσων ενημέρωσης, η οποία θα μπορούσε να έχει παράσχει άλλο κανάλι για τη διάδοση ψευδών ισχυρισμών. Εκτός από κρατικούς φορείς, οι εμπιστευτικοί, οι χακτιβιστές και οι εγκληματίες του κυβερνοχώρου αποτελούν επίσης απειλή για τη δημοκρατική διαδικασία. Ψεύτικοι λογαριασμοί μέσων κοινωνικής δικτύωσης και ιστότοποι που συνδέονται με προεδρικούς υποψηφίους μπορούν να χρησιμοποιηθούν για τη διάδοση απάτης, κακόβουλου λογισμικού, την κλοπή κεφαλαίων ή την επιρροή των απόψεων των ψηφοφόρων με τη διανομή ψεύτικων ειδήσεων. Αυτές οι πλαστοπροσωπίες μπορούν επίσης να χρησιμοποιηθούν για αλληλεπίδραση με πραγματικά άτομα από καμπάνιες και για διείσδυση στα συστήματά τους. Καθώς το ψηφιακό πεδίο μάχης γίνεται ολοένα και πιο προσιτό, είναι ζωτικής σημασίας για τους εκλογικούς αξιωματούχους, τις εκλογικές εκστρατείες και τους ψηφοφόρους να παραμείνουν σε επαγρύπνηση και προορατικότητα για τη διασφάλιση της ακεραιότητας της δημοκρατικής διαδικασίας έναντι αυτών των εξελισσόμενων απειλών στον κυβερνοχώρο.Fortify Security, Εμπιστευτείτε τα πιστοποιητικά SSL.com.
Χάκερ που χρηματοδοτούνται από το κράτος παραβιάζουν το δίκτυο MITER R&D μέσω των ευπαθειών Ivanti Zero-Day
Η MITRE, μια μη κερδοσκοπική εταιρεία με ομοσπονδιακή χρηματοδότηση, αποκάλυψε πρόσφατα μια παραβίαση του Περιβάλλοντος Δικτυακού Πειραματισμού, Έρευνας και Εικονοποίησης (NERVE) από έναν παράγοντα απειλών που χρηματοδοτείται από ξένο κράτος στις αρχές Ιανουαρίου. Οι εισβολείς εκμεταλλεύτηκαν δύο τρωτά σημεία zero-day, CVE-2023-46805 και CVE-2024-21887, σε συσκευές Ivanti Connect Secure VPN για να αποκτήσουν αρχική πρόσβαση. Αυτά τα τρωτά σημεία αναφέρθηκαν για πρώτη φορά από το Volexity στις 10 Ιανουαρίου, αποδίδοντας την εκμετάλλευσή τους σε χάκερ που υποστηρίζονται από την κινεζική κυβέρνηση. Αφού απέκτησαν πρόσβαση, οι επιτιθέμενοι πραγματοποίησαν αναγνώριση, παρέκαμψαν τον έλεγχο ταυτότητας πολλαπλών παραγόντων χρησιμοποιώντας πειρατεία συνεδρίας και μετακινήθηκαν πλευρικά εντός του δικτύου του MITRE. Χρησιμοποίησαν εξελιγμένα backdoors και webshells για να διατηρήσουν την επιμονή και τα διαπιστευτήρια συγκομιδής, στοχεύοντας την υποδομή VMware του οργανισμού χρησιμοποιώντας έναν παραβιασμένο λογαριασμό διαχειριστή. Ενώ το MITER δεν έχει παράσχει λεπτομέρειες απόδοσης πέρα από τον προσδιορισμό των επιτιθέμενων ως παράγοντα απειλών ξένου έθνους-κράτους, ο Mandiant του Google Cloud γνωρίζει ότι αρκετοί παράγοντες απειλών που συνδέονται με την Κίνα εκμεταλλεύονται τα τρωτά σημεία του Ivanti VPN στις επιθέσεις τους. Η συνεχιζόμενη έρευνα της MITRE δεν εντόπισε στοιχεία που να έχουν αντίκτυπο στο βασικό εταιρικό δίκτυο ή στα συστήματα των συνεργατών της. Ο οργανισμός μοιράστηκε πληροφορίες σχετικά με τις παρατηρούμενες τεχνικές ATT&CK, βέλτιστες πρακτικές για τον εντοπισμό τέτοιων επιθέσεων και συστάσεις για σκλήρυνση δικτύων. Τα ίδια τρωτά σημεία του Ivanti χρησιμοποιήθηκαν επίσης για την εισβολή συστημάτων που ανήκουν στην Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA), επηρεάζοντας δυνητικά 100,000 άτομα. Η MITRE, ευρέως γνωστή για τη βάση γνώσεων ATT&CK σχετικά με τακτικές και τεχνικές αντιπάλου, άνοιξε πρόσφατα ένα νέο Εργαστήριο Διασφάλισης και Ανακάλυψης AI για να ανακαλύψει και να διαχειριστεί κινδύνους σε συστήματα με δυνατότητα τεχνητής νοημοσύνης.Εξερευνήστε πώς το SSL.com μπορεί να βελτιώσει την ασφάλειά σας στο IoT.
CoralRaider Threat Actor ξεκινά μια παγκόσμια καμπάνια επίθεσης με πολλούς κλέφτες πληροφοριών
Η ερευνητική μονάδα ασφάλειας Talos της Cisco αποκάλυψε μια εκτεταμένη εκστρατεία επίθεσης από έναν παράγοντα απειλών, γνωστό ως CoralRaider, ο οποίος χρησιμοποιεί έναν συνδυασμό κλοπών πληροφοριών για τη συλλογή διαπιστευτηρίων και οικονομικών δεδομένων από χρήστες σε όλο τον κόσμο. Ο παράγοντας απειλής, που πιστεύεται ότι είναι βιετναμέζικης καταγωγής, στοχεύει άτομα σε διάφορους επιχειρηματικούς κλάδους και γεωγραφικές περιοχές τουλάχιστον από το 2023. Η εκστρατεία επίθεσης του CoralRaider έχει εξελιχθεί με την πάροδο του χρόνου, με τον παράγοντα απειλών να χρησιμοποιούσε προηγουμένως μια προσαρμοσμένη παραλλαγή QuasarRAT που ονομάζεται RotBot και το XClient stealer να στοχεύσουν οικονομικά στοιχεία και πληροφορίες σύνδεσης και να κλέψουν λογαριασμούς στα μέσα κοινωνικής δικτύωσης. Από τον Φεβρουάριο του 2024, ο ηθοποιός απειλών έχει επεκτείνει το οπλοστάσιό του για να συμπεριλάβει τρεις κλέφτες πληροφοριών: Cryptbot, LummaC2 και Rhadamanthys. Οι επιθέσεις είχαν στοχεύσει χρήστες στον Ισημερινό, την Αίγυπτο, τη Γερμανία, την Ιαπωνία, τη Νιγηρία, τη Νορβηγία, το Πακιστάν, τις Φιλιππίνες, την Πολωνία, τη Συρία, την Τουρκία, το Ηνωμένο Βασίλειο και τις ΗΠΑ, με ορισμένα θύματα να αναγνωρίζονται ως υπάλληλοι οργανισμών τηλεφωνικών κέντρων υπηρεσιών υπολογιστών στην Ιαπωνία. και οργανώσεις υπηρεσιών πολιτικής άμυνας στη Συρία. Το CoralRaider χρησιμοποιεί μηνύματα ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλους συνδέσμους για την παράδοση αρχείων ZIP με δημιουργημένα αρχεία συντομεύσεων, ενεργοποιώντας μια αλυσίδα μόλυνσης πολλαπλών σταδίων που τελικά εκτελεί τους κλέφτες πληροφοριών στα στοχευμένα συστήματα. Οι CryptBot, LummaC2 και Rhadamanthys είναι γνωστοί κλέφτες πληροφοριών με διάφορες δυνατότητες, όπως η συλλογή διαπιστευτηρίων από προγράμματα περιήγησης, η κλοπή ευαίσθητων αρχείων και η εξαγωγή δεδομένων από πορτοφόλια κρυπτονομισμάτων και άλλες εφαρμογές. Η χρήση αυτών των stealers σε συνδυασμό επιτρέπει στο CoralRaider να μεγιστοποιήσει τον αντίκτυπο των επιθέσεων του και να συλλέξει ένα ευρύ φάσμα πολύτιμων πληροφοριών από τα θύματά του. Καθώς το CoralRaider συνεχίζει να εξελίσσεται και να επεκτείνει την παγκόσμια εμβέλειά του, οι οργανισμοί και τα άτομα πρέπει να παραμείνουν σε επαγρύπνηση και να υιοθετήσουν ισχυρά μέτρα κυβερνοασφάλειας για την προστασία από αυτές τις ολοένα και πιο εξελιγμένες απειλές. Η τακτική ενημέρωση του λογισμικού, η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης, η δυνατότητα ελέγχου ταυτότητας πολλαπλών παραγόντων και η εκπαίδευση των χρηστών σχετικά με τους κινδύνους των μηνυμάτων ηλεκτρονικού "ψαρέματος" είναι απαραίτητα βήματα για τον μετριασμό του κινδύνου να πέσετε θύματα τέτοιων επιθέσεων.Ασφαλές email, εμπιστευτείτε το SSL.com S/MIME.
Το Change Healthcare υφίσταται δεύτερη επίθεση Ransomware από το RansomHub
Η Change Healthcare, θυγατρική της United Healthcare, φέρεται να έχει υποστεί άλλη μια επίθεση ransomware, αυτή τη φορά από τη συμμορία RansomHub, λίγες εβδομάδες αφότου στοχοποιήθηκε από τους ALPHV/BlackCat. Το RansomHub ισχυρίζεται ότι έχει κλέψει 4 TB ευαίσθητων δεδομένων, συμπεριλαμβανομένων πληροφοριών σχετικά με το στρατιωτικό προσωπικό των ΗΠΑ, ασθενείς, ιατρικά αρχεία και οικονομικές πληροφορίες. Η συμμορία απαιτεί πληρωμή εκβιασμού και απειλεί να πουλήσει τα δεδομένα στον πλειοδότη, εάν τα λύτρα δεν πληρωθούν εντός 12 ημερών. Αυτή η δεύτερη επίθεση έρχεται σε μια δύσκολη στιγμή για την Change Healthcare, η οποία μόλις πρόσφατα ανακάμψε από την προηγούμενη κυβερνοεπίθεση ALPHV/BlackCat. Η εταιρεία αντιμετωπίζει τώρα μια δύσκολη απόφαση σχετικά με το αν θα πληρώσει ή όχι τα λύτρα για την προστασία των ευαίσθητων πληροφοριών των πελατών της. Ο Malachi Walker, σύμβουλος ασφαλείας στο DomainTools, προτείνει ότι ακόμα κι αν το RansomHub δεν είναι άμεσα συνδεδεμένο με το ALPHV/BlackCat, η ομάδα θα μπορούσε να διεκδικήσει δεσμούς με τα θύματά τους για να τα εκφοβίσει να κάνουν μια πληρωμή. Υπογραμμίζει επίσης την ακμάζουσα παραοικονομία που περιβάλλει τη σκηνή του ransomware, με διάφορους ηθοποιούς να συνεργάζονται για να μοιράζονται πληροφορίες. Ενώ υπάρχουν εικασίες για πιθανή σύνδεση μεταξύ ALPHV/BlackCat και RansomHub ή εάν το ALPHV έχει μετονομαστεί σε RansomHub, ο Walker δηλώνει ότι είναι πολύ νωρίς για να επιβεβαιωθεί οποιαδήποτε άμεση σύνδεση μεταξύ των δύο ομάδων. Αυτό το περιστατικό υπογραμμίζει τη συνεχιζόμενη απειλή που αποτελούν οι συμμορίες ransomware και τη σημασία των ισχυρών μέτρων κυβερνοασφάλειας για την προστασία ευαίσθητων δεδομένων στον κλάδο της υγειονομικής περίθαλψης. Καθώς η Change Healthcare πλοηγείται σε αυτή τη δεύτερη επίθεση ransomware, αντιμετωπίζει μια δύσκολη κατάσταση όσον αφορά τη διασφάλιση της ασφάλειας των πληροφοριών των πελατών της.Ανακοινώσεις SSL.com
SSL.com's S/MIME Τα πιστοποιητικά μπορούν πλέον να ενσωματωθούν σε ένα δίκτυο με δυνατότητα LDAP
Το LDAP (Lightweight Directory Access Protocol) είναι ένα βιομηχανικό πρωτόκολλο για την πρόσβαση και τη διαχείριση υπηρεσιών πληροφοριών καταλόγου. Χρησιμοποιείται συνήθως για την αποθήκευση και την ανάκτηση πληροφοριών σχετικά με χρήστες, ομάδες, οργανωτικές δομές και άλλους πόρους σε ένα περιβάλλον δικτύου.
Ενσωμάτωση LDAP με S/MIME πιστοποιητικά περιλαμβάνει τη χρήση του LDAP ως υπηρεσίας καταλόγου για την αποθήκευση και διαχείριση πιστοποιητικών χρηστών.
Με την ενσωμάτωση του LDAP με S/MIME Τα πιστοποιητικά, οι οργανισμοί μπορούν να συγκεντρώσουν τη διαχείριση πιστοποιητικών, να ενισχύσουν την ασφάλεια και να εξορθολογίσουν τη διαδικασία ανάκτησης πιστοποιητικών και ελέγχου ταυτότητας σε διάφορες εφαρμογές και υπηρεσίες που αξιοποιούν το LDAP ως υπηρεσία καταλόγου.
Επικοινωνήστε μαζί μας sales@ssl.com για περισσότερες πληροφορίες σχετικά με την ενσωμάτωση LDAP.