Tour d'horizon de la cybersécurité mai 2024

Explorez le résumé de SSL.com du mois de mai sur les menaces critiques de cybersécurité, notamment le malware SugarGh0st et l'attaque de ransomware sur Wichita, et découvrez comment les certificats SSL.com protègent contre ces risques.

Rubriques connexes

Vous voulez continuer à apprendre?

Abonnez-vous à la newsletter SSL.com, restez informé et en sécurité.

Des pirates informatiques liés à la Chine ciblent les experts américains en IA avec le logiciel malveillant SugarGh0st 

Les chercheurs de Proofpoint ont découvert une campagne très ciblée menée par un acteur présumé de la menace chinoise, surnommée « UNK_SweetSpecter », visant à voler des informations à des experts en intelligence artificielle aux États-Unis. Les attaquants ont utilisé une variante personnalisée du célèbre malware Gh0st RAT, appelée SugarGh0st, pour infecter les systèmes d'un groupe sélectionné d'individus associés à une organisation d'IA de premier plan basée aux États-Unis.  La campagne, qui a fait surface en mai 2024, impliquait des e-mails de phishing sur le thème de l'IA contenant une archive ZIP malveillante. Une fois exécuté, le logiciel malveillant a établi une communication avec un serveur de commande et de contrôle contrôlé par l'attaquant, permettant potentiellement aux pirates d'exfiltrer des données sensibles liées aux technologies d'IA générative.  Proofpoint suggère que cette campagne pourrait être une réponse aux récents efforts du gouvernement américain visant à restreindre l'accès des Chinois aux technologies d'IA générative. La nature ciblée de l'attaque et sa focalisation sur les experts en IA indiquent que l'objectif de l'auteur de la menace était probablement d'obtenir des informations non publiques sur l'intelligence artificielle générative afin de faire avancer les objectifs de développement de la Chine dans ce domaine. 
Informations sur SSL.com: Pour se prémunir contre les cybermenaces sophistiquées telles que la campagne SugarGh0st RAT, les organisations doivent améliorer leurs protocoles de sécurité de messagerie en employant des filtres avancés qui examinent les pièces jointes et les liens à la recherche de menaces potentielles, en particulier dans les communications qui solliciter technique assistance ou prétendre résoudre des problèmes logiciels. Il est également impératif de former les experts en IA et autres personnels à haut risque aux spécificités des attaques de phishing ciblées, en veillant à ce qu’ils soient capables de reconnaître et de gérer les e-mails suspects. Déployer un logiciel qui moniteurs car l’utilisation non autorisée d’outils administratifs et les communications externes inattendues peuvent protéger davantage les informations sensibles contre la compromission. SSL.com S/MIME Les certificats fournissent une couche de sécurité robuste en garantissant l'authenticité et l'intégrité des e-mails, ce qui est essentiel pour empêcher les attaquants de se faire passer pour des sources légitimes, et en chiffrant le contenu des e-mails, ils protègent les informations sensibles contre tout accès non autorisé, même en cas de violation. 

Sécurisez vos e-mails maintenant  

Protégez-vous

La CISA met en garde contre une faille activement exploitée dans NextGen Healthcare Mirth Connect 

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a émis un avertissement urgent concernant une vulnérabilité de sécurité critique dans NextGen Healthcare Mirth Connect, une plateforme d'intégration de données open source largement utilisée dans le secteur de la santé. La faille, identifiée comme CVE-2023-43208, permet l'exécution de code à distance non authentifié et serait activement exploitée dans la nature.  La vulnérabilité provient d'un correctif incomplet pour une autre faille critique, CVE-2023-37679, et est liée à l'utilisation non sécurisée de la bibliothèque Java XStream pour désorganiser les charges utiles XML. Les chercheurs d'Horizon3.ai ont divulgué la vulnérabilité pour la première fois en octobre 2023, avec des détails techniques supplémentaires et un exploit de validation de principe publiés en janvier 2024.  CISA a ajouté CVE-2023-43208 à son catalogue de vulnérabilités exploitées connues (KEV), obligeant les agences fédérales à mettre à jour leurs systèmes vers Mirth Connect version 4.4.1 ou ultérieure d'ici le 10 juin 2024. Bien que l'agence n'ait pas fourni de détails sur le problème en cours. attaques, la faille est considérée comme facilement exploitable et présente un risque important pour les organismes de santé.  En plus de la vulnérabilité Mirth Connect, CISA a également ajouté au catalogue KEV un bug de confusion de type récemment révélé affectant Google Chrome (CVE-2024-4947), car Google a reconnu qu'il était exploité dans des attaques réelles. 
Informations sur SSL.com: L'ajout récent de NextGen Healthcare Mirth Connectez-vous La vulnérabilité au catalogue de vulnérabilités exploitées connues du CISA signifie un développement critique en matière de cybersécurité, mettant en évidence les menaces croissantes auxquelles sont confrontés les systèmes de données de santé. Les organisations doivent donner la priorité au déploiement rapide de mises à jour et de correctifs pour ces vulnérabilités afin de protéger les données de santé sensibles contre tout accès non autorisé et toute exploitation potentielle. En tant que principal fournisseur de certificats numériques, SSL.com souligne la nécessité de mettre en œuvre des mesures de cryptage robustes et d'utiliser des certificats numériques pour garantir l'intégrité des données et sécuriser les canaux de communication, renforçant ainsi les défenses contre ces cybermenaces sophistiquées.

La ville de Wichita ciblée par une attaque de ransomware du week-end 

La ville de Wichita, au Kansas, la plus grande ville de l'État et l'une des 50 plus grandes villes des États-Unis, a révélé qu'elle avait été touchée par une attaque de ransomware au cours du week-end. L'incident, survenu dimanche 5 mai, a contraint la Ville à fermer certaines parties de son réseau pour empêcher la propagation du ransomware à d'autres appareils.  Dans un geste d'une transparence inhabituelle, la ville a confirmé l'attaque sur son site Internet, déclarant qu'un examen et une évaluation approfondis de l'incident étaient en cours, y compris son impact potentiel sur les données. À la suite de cette attaque, les systèmes de paiement en ligne de la ville, notamment ceux destinés au paiement des factures d'eau, des citations et des contraventions au tribunal, sont actuellement hors ligne.  Bien que la ville n'ait pas divulgué l'identité du gang de ransomware responsable de l'attaque, elle a signalé l'incident aux forces de l'ordre locales et fédérales, qui contribuent à la réponse. On ne sait pas encore si des données ont été volées, même s'il est courant que les gangs de ransomwares exfiltrent les données des réseaux compromis pendant des jours, voire des semaines, avant de déployer leurs chiffreurs.  Malgré l'attaque, le Ville a assuré aux résidents que les premiers intervenants, y compris la police et les pompiers, continuent de fournir des services, après avoir adopté des mesures de continuité des activités si nécessaire. 
Informations sur SSL.com: En réponse à la menace croissante des attaques de ransomwares, comme l'illustre le récent incident de Wichita, les organisations devraient renforcer la sécurité de leur réseau en mettant en œuvre des contrôles d'accès stricts et en segmentant les réseaux pour limiter la propagation de telles attaques. Garantir que les systèmes sensibles sont isolés et que l’accès aux infrastructures critiques n’est accordé qu’après une authentification multifacteur peut réduire considérablement l’impact des ransomwares. Des sauvegardes régulièrement planifiées et la capacité de restaurer rapidement les systèmes sont également cruciales pour la récupération après une attaque, minimisant ainsi les temps d'arrêt et le risque de perte de données. SSL.com Les certificats d'authentification client renforcent ces mesures de sécurité en fournissant une méthode d'authentification des utilisateurs et des appareils, garantissant que seul le personnel autorisé peut accéder aux systèmes et aux données critiques, ce qui est essentiel pour empêcher tout accès non autorisé pouvant conduire au déploiement de ransomwares.

Fortifier Infrastructure critique Défenses  

Activer la protection

Black Basta Ransomware cible plus de 500 organisations dans le monde 

L'opération de ransomware-as-a-service (RaaS) Black Basta a ciblé plus de 500 entités du secteur privé et des infrastructures critiques en Amérique du Nord, en Europe et en Australie depuis son émergence en avril 2022, selon un avis conjoint publié par la CISA et le FBI. , HHS et MS-ISAC.  Les acteurs malveillants derrière Black Basta ont crypté et volé des données dans au moins 12 des 16 secteurs d'infrastructures critiques, en utilisant un modèle de double extorsion. Les filiales du groupe utilisent des techniques d'accès initial courantes, telles que le phishing et l'exploitation de vulnérabilités connues, et fournissent aux victimes un code unique pour les contacter via une URL .onion afin d'obtenir des instructions de paiement de rançon.  Black Basta a été lié à 28 des 373 attaques de ransomware confirmées en avril 2024 et a connu une augmentation de 41 % de son activité d'un trimestre à l'autre au premier trimestre 1. Le groupe aurait des liens avec le groupe de cybercriminalité FIN2024.  Le paysage des ransomwares est en pleine mutation, avec une baisse d’activité de 18 % au premier trimestre 1 par rapport au trimestre précédent, principalement due aux opérations des forces de l’ordre contre ALPHV (alias BlackCat) et LockBit. De nouveaux groupes de ransomwares, tels que APT2024, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt et Shinra, ont également fait leur apparition ces dernières semaines.  Malgré la baisse globale de l’activité des ransomwares, le paiement moyen des rançons a quintuplé au cours de l’année dernière, passant de 5 400,000 $ à 2 millions de dollars, selon une enquête Sophos. Cependant, les victimes refusent de plus en plus de payer le montant initial demandé, puisque seulement 24 % des personnes interrogées ont payé la demande initiale. 
Informations sur SSL.com: Pour lutter contre la menace croissante des ransomwares, comme l'illustre l'opération Black Basta, les organisations doivent mettre en œuvre une stratégie de sécurité multicouche robuste qui inclut la détection précoce des tentatives de phishing et l'exploitation des vulnérabilités connues, qui sont courantes. initiale techniques d’accès pour les attaques de ransomwares. Il est essentiel de mettre continuellement à jour et de corriger les systèmes pour se défendre contre les exploits connus et d'utiliser des outils sophistiqués de détection et de réponse des points finaux qui peuvent identifier et neutraliser les menaces avant qu’elles ne s’aggravent. De plus, les organisations doivent régulièrement former leur personnel aux meilleures pratiques en matière de cybersécurité et à la sensibilisation aux ransomwares afin de prévenir les attaques de phishing réussies. SSL.com Les certificats d'authentification client peuvent améliorer considérablement les mesures de sécurité en garantissant que seuls les appareils et les utilisateurs authentifiés peuvent accéder aux ressources réseau, réduisant ainsi le risque d'accès non autorisé pouvant conduire au déploiement de ransomwares ; en outre, ces certificats peuvent contribuer à sécuriser les communications par courrier électronique, un vecteur courant de distribution de ransomwares, ajoutant ainsi une couche de défense essentielle contre ces cybermenaces.

Boostez votre cyber-résilience  

Chiffrer aujourd'hui

Annonces SSL.com

SSL.com S/MIME Les certificats peuvent désormais être intégrés à un réseau compatible LDAP

LDAP (Lightweight Directory Access Protocol) est un protocole standard de l'industrie pour accéder et gérer les services d'informations d'annuaire. Il est couramment utilisé pour stocker et récupérer des informations sur les utilisateurs, les groupes, les structures organisationnelles et d'autres ressources dans un environnement réseau.

Intégration de LDAP avec S/MIME Les certificats impliquent l'utilisation de LDAP comme service d'annuaire pour stocker et gérer les certificats utilisateur. 

En intégrant LDAP avec S/MIME certificats, les organisations peuvent centraliser la gestion des certificats, améliorer la sécurité et rationaliser le processus de récupération et d'authentification des certificats dans diverses applications et services qui exploitent LDAP comme service d'annuaire.

Contactez-nous ventes@ssl.com pour plus d'informations sur l'intégration LDAP. 

L'authentification unique (SSO) peut désormais être activée pour les comptes SSL.com 

Les utilisateurs de SSL.com peuvent désormais activer l'authentification unique (SSO) pour leurs comptes. Cette fonctionnalité permet aux utilisateurs de lier leurs comptes Google, Microsoft, GitHub et Facebook à leurs comptes SSL.com. Une fois liés et connectés à l'un des quatre fournisseurs de services mentionnés, les utilisateurs n'ont pas besoin de se connecter à plusieurs reprises à leurs comptes SSL.com avec leur nom d'utilisateur et leur mot de passe. L'adoption du SSO par SSL.com représente un engagement à maintenir des normes de sécurité élevées tout en fournissant un environnement convivial, favorisant ainsi une expérience en ligne plus sûre et plus sécurisée pour ses utilisateurs. 

Automatisez la validation et l'émission des certificats de signature et de chiffrement des e-mails pour les employés 

< p align="justifier">Inscription en masse est maintenant disponible pour ID personnel + organisation S/MIME Professionnelles (également appelé IV + OV S/MIME), Et Certificats NAESB via l'outil de commande groupée SSL.com. Inscription groupée de Personal ID+Organisation S/MIME et NAESB Certificates a l'exigence supplémentaire d'un Entreprise PKI (EPKI) Accord. Un EPKI L'accord permet à un seul représentant autorisé d'une organisation de commander, valider, émettre et révoquer un volume élevé de ces deux types de certificats pour d'autres membres, permettant ainsi une rotation plus rapide dans la sécurisation des données et des systèmes de communication d'une organisation.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.