Chaînes d’attaques contre les éviers de cuisine : la principale cybermenace pour les élections de 2024
À l’approche des élections de 2024, les experts en cybersécurité préviennent que la menace la plus importante pour le processus démocratique sera probablement une combinaison de diverses cyberattaques plutôt qu’un seul incident isolé. Ces chaînes d’attaques « d’évier de cuisine », comme on les appelle, impliquent que les pirates utilisent plusieurs tactiques en tandem pour atteindre leurs objectifs malveillants, ce qui les rend plus difficiles à détecter et à se défendre. Selon un récent rapport de Mandiant, qui fait partie de Google Cloud, les menaces les plus puissantes contre les élections sont les attaques en chaîne, dans lesquelles les acteurs de la menace superposent délibérément plusieurs tactiques dans des opérations hybrides pour amplifier l'effet de chaque composant. Cette approche a été utilisée lors d'élections précédentes, comme lors de l'élection présidentielle ukrainienne de 2014, où des acteurs russes ont lancé des attaques DDoS, supprimé des fichiers des ordinateurs électoraux centraux du pays, divulgué des courriels et des documents et tenté de présenter de faux résultats favorisant un candidat spécifique. Lors des élections américaines de 2020, deux ressortissants iraniens ont mené une campagne contre les sites Web liés au vote de plusieurs États, obtenant des informations confidentielles sur les électeurs, envoyant des courriels intimidants et trompeurs et diffusant de la désinformation sur les vulnérabilités des infrastructures électorales. Ils ont également piraté une société de médias, qui aurait pu constituer un autre canal de diffusion de fausses déclarations. Outre les acteurs parrainés par l’État, les initiés, les hacktivistes et les cybercriminels constituent également une menace pour le processus démocratique. Les faux comptes de réseaux sociaux et sites Web affiliés à des candidats à la présidentielle peuvent être utilisés pour propager des escroqueries, des logiciels malveillants, voler des fonds ou influencer l'opinion des électeurs en diffusant de fausses nouvelles. Ces usurpations d’identité peuvent également être utilisées pour interagir avec de vraies personnes issues des campagnes et infiltrer leurs systèmes. Alors que le champ de bataille numérique devient de plus en plus accessible, il est crucial que les responsables électoraux, les campagnes et les électeurs restent vigilants et proactifs pour sauvegarder l’intégrité du processus démocratique contre ces cybermenaces en évolution.Renforcez la sécurité, faites confiance aux certificats SSL.com.
Des pirates informatiques parrainés par l'État piratent le réseau de R&D MITRE via les vulnérabilités Ivanti Zero-Day
MITRE, une société à but non lucratif financée par le gouvernement fédéral, a récemment révélé une violation de son environnement d'expérimentation, de recherche et de virtualisation en réseau (NERVE) par un acteur menaçant parrainé par un État étranger début janvier. Les attaquants ont exploité deux vulnérabilités Zero Day, CVE-2023-46805 et CVE-2024-21887, dans les appareils Ivanti Connect Secure VPN pour obtenir un accès initial. Ces vulnérabilités ont été signalées pour la première fois par Volexity le 10 janvier, attribuant leur exploitation à des pirates informatiques soutenus par le gouvernement chinois. Après avoir obtenu l'accès, les attaquants ont effectué une reconnaissance, contourné l'authentification multifacteur en utilisant le détournement de session et se sont déplacés latéralement au sein du réseau de MITRE. Ils ont utilisé des portes dérobées et des webshells sophistiqués pour maintenir la persistance et récolter les informations d'identification, ciblant l'infrastructure VMware de l'organisation à l'aide d'un compte administrateur compromis. Bien que MITRE n'ait pas fourni de détails d'attribution au-delà de l'identification des attaquants en tant qu'acteurs menaçants d'un État-nation étranger, Mandiant de Google Cloud est au courant de plusieurs acteurs menaçants liés à la Chine qui exploitent les vulnérabilités Ivanti VPN dans leurs attaques. L'enquête en cours de MITRE n'a trouvé aucune preuve d'impact sur son réseau d'entreprise principal ou sur les systèmes de ses partenaires. L'organisation a partagé des informations sur les techniques ATT&CK observées, les meilleures pratiques pour détecter de telles attaques et des recommandations pour renforcer les réseaux. Les mêmes vulnérabilités Ivanti ont également été utilisées pour pirater des systèmes appartenant à l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), affectant potentiellement 100,000 XNUMX personnes. MITRE, largement connu pour sa base de connaissances ATT&CK sur les tactiques et techniques adverses, a récemment ouvert un nouveau laboratoire d'assurance et de découverte de l'IA pour découvrir et gérer les risques dans les systèmes compatibles avec l'IA.Découvrez comment SSL.com peut améliorer la sécurité de votre IoT.
L'acteur de menace CoralRaider lance une campagne d'attaque mondiale avec plusieurs voleurs d'informations
L'unité de recherche en sécurité Talos de Cisco a découvert une campagne d'attaque généralisée menée par un acteur malveillant connu sous le nom de CoralRaider, qui emploie une combinaison de voleurs d'informations pour récupérer les informations d'identification et les données financières des utilisateurs du monde entier. L'acteur malveillant, soupçonné d'être d'origine vietnamienne, cible des individus dans divers secteurs d'activité et zones géographiques depuis au moins 2023. La campagne d'attaque de CoralRaider a évolué au fil du temps, l'acteur malveillant utilisant auparavant une variante personnalisée de QuasarRAT appelée RotBot et le voleur XClient. pour cibler les informations financières et de connexion et voler des comptes de réseaux sociaux. Depuis février 2024, l’acteur malveillant a élargi son arsenal pour inclure trois voleurs d’informations : Cryptbot, LummaC2 et Rhadamanthys. Les attaques ont ciblé des utilisateurs en Équateur, en Égypte, en Allemagne, au Japon, au Nigéria, en Norvège, au Pakistan, aux Philippines, en Pologne, en Syrie, en Turquie, au Royaume-Uni et aux États-Unis. Certaines victimes ont été identifiées comme étant des employés d'organisations de centres d'appels de services informatiques au Japon. et les organisations de services de protection civile en Syrie. CoralRaider utilise des e-mails de phishing contenant des liens malveillants pour fournir des archives ZIP contenant des fichiers de raccourci contrefaits, déclenchant ainsi une chaîne d'infection en plusieurs étapes qui finit par exécuter les voleurs d'informations sur les systèmes ciblés. CryptBot, LummaC2 et Rhadamanthys sont des voleurs d'informations bien connus dotés de diverses capacités, notamment la collecte d'informations d'identification à partir des navigateurs, le vol de fichiers sensibles et l'exfiltration de données de portefeuilles de crypto-monnaie et d'autres applications. L'utilisation combinée de ces voleurs permet à CoralRaider de maximiser l'impact de ses attaques et de recueillir un large éventail d'informations précieuses auprès de ses victimes. Alors que CoralRaider continue d'évoluer et d'étendre sa portée mondiale, les organisations et les individus doivent rester vigilants et adopter des mesures de cybersécurité robustes pour se protéger contre ces menaces de plus en plus sophistiquées. La mise à jour régulière des logiciels, l'utilisation de mots de passe forts et uniques, l'activation d'une authentification multifacteur et l'éducation des utilisateurs sur les dangers des e-mails de phishing sont des étapes essentielles pour atténuer le risque d'être victime de telles attaques.E-mail sécurisé, faites confiance à SSL.com S/MIME.
Change Healthcare subit une deuxième attaque de ransomware par RansomHub
Change Healthcare, une filiale de United Healthcare, aurait subi une autre attaque de ransomware, cette fois par le gang RansomHub, quelques semaines seulement après avoir été ciblée par ALPHV/BlackCat. RansomHub affirme avoir volé 4 To de données sensibles, notamment des informations sur le personnel militaire américain, les patients, les dossiers médicaux et les informations financières. Le gang exige un paiement d'extorsion et menace de vendre les données au plus offrant si la rançon n'est pas payée dans les 12 jours. Cette deuxième attaque intervient à un moment difficile pour Change Healthcare, qui ne s'est remis que récemment de la précédente cyberattaque ALPHV/BlackCat. L'entreprise est désormais confrontée à une décision difficile : payer ou non la rançon pour protéger les informations sensibles de ses clients. Malachi Walker, conseiller en sécurité chez DomainTools, suggère que même si RansomHub n'est pas directement connecté à ALPHV/BlackCat, le groupe pourrait revendiquer des liens avec ses victimes pour les intimider et les inciter à effectuer un paiement. Il souligne également l’économie souterraine florissante qui entoure la scène des ransomwares, avec divers acteurs collaborant pour partager des informations. Bien qu'il y ait des spéculations sur une éventuelle connexion entre ALPHV/BlackCat et RansomHub, ou si ALPHV a été rebaptisé RansomHub, Walker déclare qu'il est trop tôt pour confirmer un lien direct entre les deux groupes. Cet incident souligne la menace permanente posée par les gangs de ransomwares et l'importance de mesures de cybersécurité robustes pour protéger les données sensibles dans le secteur de la santé. Alors que Change Healthcare fait face à cette deuxième attaque de ransomware, l'entreprise est confrontée à une situation difficile pour assurer la sécurité des informations de ses clients.Annonces SSL.com
SSL.com S/MIME Les certificats peuvent désormais être intégrés à un réseau compatible LDAP
LDAP (Lightweight Directory Access Protocol) est un protocole standard de l'industrie pour accéder et gérer les services d'informations d'annuaire. Il est couramment utilisé pour stocker et récupérer des informations sur les utilisateurs, les groupes, les structures organisationnelles et d'autres ressources dans un environnement réseau.
Intégration de LDAP avec S/MIME Les certificats impliquent l'utilisation de LDAP comme service d'annuaire pour stocker et gérer les certificats utilisateur.
En intégrant LDAP avec S/MIME certificats, les organisations peuvent centraliser la gestion des certificats, améliorer la sécurité et rationaliser le processus de récupération et d'authentification des certificats dans diverses applications et services qui exploitent LDAP comme service d'annuaire.
Contact ventes@ssl.com pour plus d'informations sur l'intégration LDAP.