Aanvalsketens in de keuken: de belangrijkste cyberdreiging voor de verkiezingen van 2024
Nu de verkiezingen van 2024 dichterbij komen, waarschuwen cyberveiligheidsexperts dat de grootste bedreiging voor het democratische proces waarschijnlijk een combinatie van verschillende cyberaanvallen zal zijn, in plaats van een enkel geïsoleerd incident. Bij deze 'kitchen-sink'-aanvalsketens, zoals ze worden genoemd, gebruiken hackers meerdere tactieken tegelijk om hun kwaadaardige doelen te bereiken, waardoor ze moeilijker te detecteren en zich ertegen te verdedigen zijn. Volgens een recent rapport van Mandiant, onderdeel van Google Cloud, zijn de krachtigste bedreigingen voor verkiezingen kettingaanvallen, waarbij dreigingsactoren opzettelijk meerdere tactieken in hybride operaties combineren om het effect van elk onderdeel te vergroten. Deze aanpak is gebruikt bij eerdere verkiezingen, zoals de Oekraïense presidentsverkiezingen van 2014, waarbij Russische actoren DDoS-aanvallen lanceerden, bestanden van de centrale verkiezingscomputers van het land verwijderden, e-mails en documenten lekten en probeerden valse resultaten te presenteren in het voordeel van een specifieke kandidaat. Bij de Amerikaanse verkiezingen van 2020 voerden twee Iraanse staatsburgers een campagne tegen stemgerelateerde websites van meerdere staten, waarbij ze vertrouwelijke kiezersinformatie verkregen, intimiderende en misleidende e-mails stuurden en desinformatie over kwetsbaarheden in de verkiezingsinfrastructuur verspreidden. Ze hebben ook inbreuk gemaakt op een mediabedrijf, dat een ander kanaal had kunnen bieden voor het verspreiden van valse claims. Naast door de staat gesponsorde actoren vormen ook insiders, hacktivisten en cybercriminelen een bedreiging voor het democratische proces. Valse sociale media-accounts en websites die zijn gelieerd aan presidentskandidaten kunnen worden gebruikt om oplichting en malware te verspreiden, geld te stelen of de mening van kiezers te beïnvloeden door nepnieuws te verspreiden. Deze nabootsingen kunnen ook worden gebruikt om te communiceren met echte mensen uit campagnes en om hun systemen te infiltreren. Nu het digitale slagveld steeds toegankelijker wordt, is het van cruciaal belang dat verkiezingsfunctionarissen, campagnes en kiezers waakzaam en proactief blijven bij het beschermen van de integriteit van het democratische proces tegen deze evoluerende cyberdreigingen.Verbeter de beveiliging, vertrouw op SSL.com-certificaten.
Door de staat gesponsorde hackers breken het R&D-netwerk van MITRE via Ivanti Zero-Day-kwetsbaarheden
MITRE, een federaal gefinancierd non-profitbedrijf, heeft begin januari onlangs een inbreuk op zijn Networked Experimentation, Research, and Virtualization Environment (NERVE) bekendgemaakt door een door de buitenlandse staat gesponsorde dreigingsacteur. De aanvallers maakten misbruik van twee zero-day-kwetsbaarheden, CVE-2023-46805 en CVE-2024-21887, in Ivanti Connect Secure VPN-apparaten om initiële toegang te verkrijgen. Deze kwetsbaarheden werden voor het eerst gemeld door Volexity op 10 januari, waarbij de exploitatie ervan werd toegeschreven aan door de Chinese overheid gesteunde hackers. Nadat ze toegang hadden gekregen, voerden de aanvallers verkenningen uit, omzeilden multi-factor authenticatie met behulp van sessiekaping en verplaatsten zich lateraal binnen het netwerk van MITRE. Ze gebruikten geavanceerde backdoors en webshells om de persistentie te behouden en inloggegevens te verzamelen, waarbij ze zich richtten op de VMware-infrastructuur van de organisatie met behulp van een gecompromitteerd beheerdersaccount. Hoewel MITRE geen attributiedetails heeft verstrekt, afgezien van het identificeren van de aanvallers als een buitenlandse dreigingsacteur van de natiestaat, is Mandiant van Google Cloud op de hoogte van verschillende aan China gelieerde dreigingsactoren die de Ivanti VPN-kwetsbaarheden in hun aanvallen misbruiken. Uit het lopende onderzoek van MITRE is geen bewijs gebleken van impact op het kernnetwerk van de onderneming of de systemen van partners. De organisatie heeft informatie gedeeld over de waargenomen ATT&CK-technieken, best practices voor het detecteren van dergelijke aanvallen en aanbevelingen voor het versterken van netwerken. Dezelfde Ivanti-kwetsbaarheden werden ook gebruikt om systemen van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) te hacken, waarbij mogelijk 100,000 personen werden getroffen. MITRE, algemeen bekend om zijn ATT&CK-kennisbank van tactieken en technieken van tegenstanders, heeft onlangs een nieuw AI Assurance and Discovery Lab geopend om risico's in AI-compatibele systemen te ontdekken en te beheren.Ontdek hoe SSL.com uw IoT-beveiliging kan verbeteren.
CoralRaider Threat Actor lanceert wereldwijde aanvalscampagne met meerdere info-stealers
Cisco's beveiligingsonderzoekseenheid Talos heeft een wijdverbreide aanvalscampagne ontdekt van een bedreigingsacteur die bekend staat als CoralRaider, die een combinatie van informatiestelers gebruikt om inloggegevens en financiële gegevens van gebruikers over de hele wereld te verzamelen. De bedreigingsacteur, vermoedelijk van Vietnamese afkomst, richt zich al sinds 2023 op individuen in verschillende branches en regio's. De aanvalscampagne van CoralRaider is in de loop van de tijd geëvolueerd, waarbij de bedreigingsacteur eerder een aangepaste QuasarRAT-variant gebruikte genaamd RotBot en de XClient-stealer. om financiële en inloggegevens te targeten en sociale-media-accounts te stelen. Sinds februari 2024 heeft de bedreigingsacteur zijn arsenaal uitgebreid met drie informatiestelers: Cryptbot, LummaC2 en Rhadamanthys. De aanvallen waren gericht op gebruikers in Ecuador, Egypte, Duitsland, Japan, Nigeria, Noorwegen, Pakistan, de Filippijnen, Polen, Syrië, Turkije, het VK en de VS, waarbij sommige slachtoffers werden geïdentificeerd als werknemers van callcenterorganisaties voor computerservices in Japan. en civiele defensiediensten in Syrië. CoralRaider heeft phishing-e-mails met kwaadaardige links gebruikt om ZIP-archieven met vervaardigde snelkoppelingsbestanden te leveren, waardoor een meerfasige infectieketen werd geactiveerd die uiteindelijk de informatiestelers op de beoogde systemen uitvoert. CryptBot, LummaC2 en Rhadamanthys zijn bekende informatiestelers met verschillende mogelijkheden, waaronder het verzamelen van inloggegevens uit browsers, het stelen van gevoelige bestanden en het exfiltreren van gegevens uit cryptocurrency-portefeuilles en andere applicaties. Door het gebruik van deze stealers in combinatie kan CoralRaider de impact van zijn aanvallen maximaliseren en een breed scala aan waardevolle informatie van zijn slachtoffers verzamelen. Terwijl CoralRaider zich blijft ontwikkelen en zijn mondiale bereik uitbreidt, moeten organisaties en individuen waakzaam blijven en robuuste cyberbeveiligingsmaatregelen nemen om zich te beschermen tegen deze steeds geavanceerdere bedreigingen. Het regelmatig updaten van software, het gebruik van sterke en unieke wachtwoorden, het mogelijk maken van meervoudige authenticatie en het informeren van gebruikers over de gevaren van phishing-e-mails zijn essentiële stappen om het risico te verkleinen dat u het slachtoffer wordt van dergelijke aanvallen.Veilige e-mail, vertrouw op SSL.com S/MIME.
Change Healthcare lijdt onder tweede ransomware-aanval door RansomHub
Change Healthcare, een dochteronderneming van United Healthcare, heeft naar verluidt opnieuw te maken gehad met een ransomware-aanval, dit keer door de RansomHub-bende, slechts enkele weken nadat ze het doelwit waren van ALPHV/BlackCat. RansomHub beweert 4TB aan gevoelige gegevens te hebben gestolen, waaronder informatie over Amerikaans militair personeel, patiënten, medische dossiers en financiële informatie. De bende eist een afpersingsbetaling en dreigt de gegevens aan de hoogste bieder te verkopen als het losgeld niet binnen twaalf dagen wordt betaald. Deze tweede aanval komt op een uitdagend moment voor Change Healthcare, dat pas onlangs is hersteld van de vorige ALPHV/BlackCat-cyberaanval. Het bedrijf staat nu voor een moeilijke beslissing over het al dan niet betalen van het losgeld om de gevoelige informatie van zijn klanten te beschermen. Malachi Walker, een veiligheidsadviseur bij DomainTools, suggereert dat zelfs als RansomHub niet direct verbonden is met ALPHV/BlackCat, de groep banden zou kunnen claimen met hun slachtoffers om hen te intimideren tot het doen van een betaling. Hij benadrukt ook de bloeiende ondergrondse economie rond de ransomware-scene, waarbij verschillende actoren samenwerken om informatie te delen. Hoewel er gespeculeerd wordt over een mogelijk verband tussen ALPHV/BlackCat en RansomHub, of dat ALPHV omgedoopt is tot RansomHub, stelt Walker dat het te vroeg is om een direct verband tussen de twee groepen te bevestigen. Dit incident onderstreept de voortdurende dreiging die uitgaat van ransomwarebendes en het belang van robuuste cyberbeveiligingsmaatregelen om gevoelige gegevens in de gezondheidszorg te beschermen. Terwijl Change Healthcare deze tweede ransomware-aanval het hoofd biedt, wordt het geconfronteerd met een uitdagende situatie bij het waarborgen van de veiligheid van de informatie van zijn klanten.SSL.com-aankondigingen
SSL.com's S/MIME Certificaten kunnen nu worden geïntegreerd met een LDAP-netwerk
LDAP (Lightweight Directory Access Protocol) is een industriestandaardprotocol voor toegang tot en beheer van directory-informatiediensten. Het wordt vaak gebruikt voor het opslaan en ophalen van informatie over gebruikers, groepen, organisatiestructuren en andere bronnen in een netwerkomgeving.
LDAP integreren met S/MIME Certificaten omvat het gebruik van LDAP als een directoryservice voor het opslaan en beheren van gebruikerscertificaten.
Door LDAP te integreren met S/MIME certificaten kunnen organisaties het certificaatbeheer centraliseren, de beveiliging verbeteren en het proces van het ophalen en authenticeren van certificaten stroomlijnen in verschillende toepassingen en services die LDAP gebruiken als een directoryservice.
Contact sales@ssl.com voor meer informatie over LDAP-integratie.