Cybersecurity Roundup april 2024

Aanvalsketens in de keuken: de belangrijkste cyberdreiging voor de verkiezingen van 2024    

Nu de verkiezingen van 2024 dichterbij komen, waarschuwen cyberveiligheidsexperts dat de grootste bedreiging voor het democratische proces waarschijnlijk een combinatie van verschillende cyberaanvallen zal zijn, in plaats van een enkel geïsoleerd incident. Bij deze 'kitchen-sink'-aanvalsketens, zoals ze worden genoemd, gebruiken hackers meerdere tactieken tegelijk om hun kwaadaardige doelen te bereiken, waardoor ze moeilijker te detecteren en zich ertegen te verdedigen zijn. Volgens een recent rapport van Mandiant, onderdeel van Google Cloud, zijn de krachtigste bedreigingen voor verkiezingen kettingaanvallen, waarbij dreigingsactoren opzettelijk meerdere tactieken in hybride operaties combineren om het effect van elk onderdeel te vergroten. Deze aanpak is gebruikt bij eerdere verkiezingen, zoals de Oekraïense presidentsverkiezingen van 2014, waarbij Russische actoren DDoS-aanvallen lanceerden, bestanden van de centrale verkiezingscomputers van het land verwijderden, e-mails en documenten lekten en probeerden valse resultaten te presenteren in het voordeel van een specifieke kandidaat. Bij de Amerikaanse verkiezingen van 2020 voerden twee Iraanse staatsburgers een campagne tegen stemgerelateerde websites van meerdere staten, waarbij ze vertrouwelijke kiezersinformatie verkregen, intimiderende en misleidende e-mails stuurden en desinformatie over kwetsbaarheden in de verkiezingsinfrastructuur verspreidden. Ze hebben ook inbreuk gemaakt op een mediabedrijf, dat een ander kanaal had kunnen bieden voor het verspreiden van valse claims. Naast door de staat gesponsorde actoren vormen ook insiders, hacktivisten en cybercriminelen een bedreiging voor het democratische proces. Valse sociale media-accounts en websites die zijn gelieerd aan presidentskandidaten kunnen worden gebruikt om oplichting en malware te verspreiden, geld te stelen of de mening van kiezers te beïnvloeden door nepnieuws te verspreiden. Deze nabootsingen kunnen ook worden gebruikt om te communiceren met echte mensen uit campagnes en om hun systemen te infiltreren. Nu het digitale slagveld steeds toegankelijker wordt, is het van cruciaal belang dat verkiezingsfunctionarissen, campagnes en kiezers waakzaam en proactief blijven bij het beschermen van de integriteit van het democratische proces tegen deze evoluerende cyberdreigingen.
SSL.com Insights: Ter verdediging tegen de ingewikkelde en uit meerdere lagen bestaande bedreigingen die in het artikel worden beschreven, moeten bedrijven en organisaties die betrokken zijn bij verkiezingsprocessen hun verdediging versterken door systemen te integreren die inhoud onderzoeken die door hun netwerken gaat om schadelijke datapakketten en tekenen van geknoei te detecteren . Ze moeten ook technologieën inzetten die de authenticiteit en veiligheid van websites verifiëren en ongeoorloofde toegang tot gevoelige gegevens en systemen voorkomen. Het implementeren van maatregelen die het netwerkverkeer voortdurend monitoren en analyseren, kunnen ongebruikelijke patronen helpen detecteren die op een gecoördineerde aanval kunnen duiden. De SSL-certificaten van SSL.com kunnen een cruciale rol spelen in deze strategieën door ervoor te zorgen dat gegevens die via netwerken worden verzonden, gecodeerd zijn, waardoor het risico op onderschepping en manipulatie aanzienlijk wordt verminderd, en door de identiteit van de betrokken entiteiten te authenticeren, waardoor het vertrouwen en de veiligheid in digitale communicatie worden versterkt.

Verbeter de beveiliging, vertrouw op SSL.com-certificaten.  

Versleutel vandaag nog

Door de staat gesponsorde hackers breken het R&D-netwerk van MITRE via Ivanti Zero-Day-kwetsbaarheden     

MITRE, een federaal gefinancierd non-profitbedrijf, heeft begin januari onlangs een inbreuk op zijn Networked Experimentation, Research, and Virtualization Environment (NERVE) bekendgemaakt door een door de buitenlandse staat gesponsorde dreigingsacteur. De aanvallers maakten misbruik van twee zero-day-kwetsbaarheden, CVE-2023-46805 en CVE-2024-21887, in Ivanti Connect Secure VPN-apparaten om initiële toegang te verkrijgen. Deze kwetsbaarheden werden voor het eerst gemeld door Volexity op 10 januari, waarbij de exploitatie ervan werd toegeschreven aan door de Chinese overheid gesteunde hackers. Nadat ze toegang hadden gekregen, voerden de aanvallers verkenningen uit, omzeilden multi-factor authenticatie met behulp van sessiekaping en verplaatsten zich lateraal binnen het netwerk van MITRE. Ze gebruikten geavanceerde backdoors en webshells om de persistentie te behouden en inloggegevens te verzamelen, waarbij ze zich richtten op de VMware-infrastructuur van de organisatie met behulp van een gecompromitteerd beheerdersaccount. Hoewel MITRE geen attributiedetails heeft verstrekt, afgezien van het identificeren van de aanvallers als een buitenlandse dreigingsacteur van de natiestaat, is Mandiant van Google Cloud op de hoogte van verschillende aan China gelieerde dreigingsactoren die de Ivanti VPN-kwetsbaarheden in hun aanvallen misbruiken. Uit het lopende onderzoek van MITRE is geen bewijs gebleken van impact op het kernnetwerk van de onderneming of de systemen van partners. De organisatie heeft informatie gedeeld over de waargenomen ATT&CK-technieken, best practices voor het detecteren van dergelijke aanvallen en aanbevelingen voor het versterken van netwerken. Dezelfde Ivanti-kwetsbaarheden werden ook gebruikt om systemen van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) te hacken, waarbij mogelijk 100,000 personen werden getroffen. MITRE, algemeen bekend om zijn ATT&CK-kennisbank van tactieken en technieken van tegenstanders, heeft onlangs een nieuw AI Assurance and Discovery Lab geopend om risico's in AI-compatibele systemen te ontdekken en te beheren. 
SSL.com Insights: Om de beveiliging tegen door de staat gesponsorde cyberaanvallen te verbeteren, zoals die welke MITRE ondervindt via uitgebuite productkwetsbaarheden, moeten organisaties technologieën inzetten die de inspectie en validatie van versleuteld netwerkverkeer mogelijk maken, wat vervolgens helpt bij het identificeren en beperken van verdachte activiteiten voordat ze escaleren. Bij SSL.com bieden we robuuste SSL/TLS certificaatoplossingen op maat voor IoT-apparaten, waardoor vanaf het begin veilige en vertrouwde apparaatverbindingen worden gegarandeerd. Door met ons samen te werken kunnen organisaties gebruik maken van onze Hosted PKI en aangepaste ACME-compatibele CA's om de levenscycli van certificaten effectief te beheren, waardoor de risico's die verband houden met apparaat- en netwerkbeveiliging worden beperkt. Onze SWS API vergemakkelijkt verder naadloos certificaatbeheer rechtstreeks vanuit uw IoT-infrastructuur.

Ontdek hoe SSL.com uw IoT-beveiliging kan verbeteren.  

Lees Meer

CoralRaider Threat Actor lanceert wereldwijde aanvalscampagne met meerdere info-stealers  

Cisco's beveiligingsonderzoekseenheid Talos heeft een wijdverbreide aanvalscampagne ontdekt van een bedreigingsacteur die bekend staat als CoralRaider, die een combinatie van informatiestelers gebruikt om inloggegevens en financiële gegevens van gebruikers over de hele wereld te verzamelen. De bedreigingsacteur, vermoedelijk van Vietnamese afkomst, richt zich al sinds 2023 op individuen in verschillende branches en regio's. De aanvalscampagne van CoralRaider is in de loop van de tijd geëvolueerd, waarbij de bedreigingsacteur eerder een aangepaste QuasarRAT-variant gebruikte genaamd RotBot en de XClient-stealer. om financiële en inloggegevens te targeten en sociale-media-accounts te stelen. Sinds februari 2024 heeft de bedreigingsacteur zijn arsenaal uitgebreid met drie informatiestelers: Cryptbot, LummaC2 en Rhadamanthys. De aanvallen waren gericht op gebruikers in Ecuador, Egypte, Duitsland, Japan, Nigeria, Noorwegen, Pakistan, de Filippijnen, Polen, Syrië, Turkije, het VK en de VS, waarbij sommige slachtoffers werden geïdentificeerd als werknemers van callcenterorganisaties voor computerservices in Japan. en civiele defensiediensten in Syrië. CoralRaider heeft phishing-e-mails met kwaadaardige links gebruikt om ZIP-archieven met vervaardigde snelkoppelingsbestanden te leveren, waardoor een meerfasige infectieketen werd geactiveerd die uiteindelijk de informatiestelers op de beoogde systemen uitvoert. CryptBot, LummaC2 en Rhadamanthys zijn bekende informatiestelers met verschillende mogelijkheden, waaronder het verzamelen van inloggegevens uit browsers, het stelen van gevoelige bestanden en het exfiltreren van gegevens uit cryptocurrency-portefeuilles en andere applicaties. Door het gebruik van deze stealers in combinatie kan CoralRaider de impact van zijn aanvallen maximaliseren en een breed scala aan waardevolle informatie van zijn slachtoffers verzamelen. Terwijl CoralRaider zich blijft ontwikkelen en zijn mondiale bereik uitbreidt, moeten organisaties en individuen waakzaam blijven en robuuste cyberbeveiligingsmaatregelen nemen om zich te beschermen tegen deze steeds geavanceerdere bedreigingen. Het regelmatig updaten van software, het gebruik van sterke en unieke wachtwoorden, het mogelijk maken van meervoudige authenticatie en het informeren van gebruikers over de gevaren van phishing-e-mails zijn essentiële stappen om het risico te verkleinen dat u het slachtoffer wordt van dergelijke aanvallen. 
SSL.com Insights: Om de wereldwijde campagne tegen te gaan van bedreigingsactoren die meerdere infostealers gebruiken, zoals gerapporteerd door Cisco, moeten organisaties robuuste tools voor het monitoren van de bestandsintegriteit en gedragsanalyse implementeren die ongeautoriseerde toegang tot en wijzigingen van gevoelige gegevens kunnen detecteren en hierop kunnen reageren. Regelmatige updates en uitgebreide eindpuntbeveiligingsoplossingen zijn van cruciaal belang voor de bescherming tegen geavanceerde malwaresoorten die zich via geheime mechanismen op inloggegevens en financiële informatie richten. Bovendien kan het inzetten van encryptie voor gevoelige bestanden en het gebruik van verbeterde detectieprotocollen het risico verkleinen dat informatie wordt gestolen en misbruikt. SSL.com's S/MIME Certificaten garanderen de integriteit en vertrouwelijkheid van e-mailcommunicatie en bieden een kritische beschermingslaag tegen phishing-programma's die anders zouden kunnen leiden tot de inzet van infostealers. Ze verifiëren ook de identiteit van de afzender om pogingen tot nabootsing van identiteit te voorkomen, waardoor e-mail als communicatiekanaal wordt beveiligd.

Veilige e-mail, vertrouw op SSL.com S/MIME.  

Bescherm e-mails

Change Healthcare lijdt onder tweede ransomware-aanval door RansomHub   

Change Healthcare, een dochteronderneming van United Healthcare, heeft naar verluidt opnieuw te maken gehad met een ransomware-aanval, dit keer door de RansomHub-bende, slechts enkele weken nadat ze het doelwit waren van ALPHV/BlackCat. RansomHub beweert 4TB aan gevoelige gegevens te hebben gestolen, waaronder informatie over Amerikaans militair personeel, patiënten, medische dossiers en financiële informatie. De bende eist een afpersingsbetaling en dreigt de gegevens aan de hoogste bieder te verkopen als het losgeld niet binnen twaalf dagen wordt betaald. Deze tweede aanval komt op een uitdagend moment voor Change Healthcare, dat pas onlangs is hersteld van de vorige ALPHV/BlackCat-cyberaanval. Het bedrijf staat nu voor een moeilijke beslissing over het al dan niet betalen van het losgeld om de gevoelige informatie van zijn klanten te beschermen. Malachi Walker, een veiligheidsadviseur bij DomainTools, suggereert dat zelfs als RansomHub niet direct verbonden is met ALPHV/BlackCat, de groep banden zou kunnen claimen met hun slachtoffers om hen te intimideren tot het doen van een betaling. Hij benadrukt ook de bloeiende ondergrondse economie rond de ransomware-scene, waarbij verschillende actoren samenwerken om informatie te delen. Hoewel er gespeculeerd wordt over een mogelijk verband tussen ALPHV/BlackCat en RansomHub, of dat ALPHV omgedoopt is tot RansomHub, stelt Walker dat het te vroeg is om een ​​direct verband tussen de twee groepen te bevestigen. Dit incident onderstreept de voortdurende dreiging die uitgaat van ransomwarebendes en het belang van robuuste cyberbeveiligingsmaatregelen om gevoelige gegevens in de gezondheidszorg te beschermen. Terwijl Change Healthcare deze tweede ransomware-aanval het hoofd biedt, wordt het geconfronteerd met een uitdagende situatie bij het waarborgen van de veiligheid van de informatie van zijn klanten. 
SSL.com Insights: Om gevoelige informatie, zoals medische dossiers en financiële gegevens, effectief te beschermen tegen opkomende bedreigingen zoals ransomware, moeten organisaties prioriteit geven aan geavanceerde beveiligingsstrategieën die zijn afgestemd op hun specifieke behoeften. Het implementeren van rigoureuze monitoringtools die netwerkverkeer scannen om ongebruikelijke patronen te detecteren, kan vroegtijdige waarschuwingen geven voor een mogelijke inbreuk. Bovendien kan het versterken van webapplicaties met tools die specifiek ongeautoriseerde pogingen om kwetsbaarheden te misbruiken blokkeren, kritieke bedrijfsmiddelen beschermen. Voor uitgebreide gegevensbescherming moeten encryptietechnologieën worden gebruikt om gevoelige gegevens onleesbaar te maken voor onbevoegde gebruikers, zodat wordt verzekerd dat zelfs als gegevens in gevaar komen, deze veilig blijven.

SSL.com-aankondigingen

SSL.com's S/MIME Certificaten kunnen nu worden geïntegreerd met een LDAP-netwerk

LDAP (Lightweight Directory Access Protocol) is een industriestandaardprotocol voor toegang tot en beheer van directory-informatiediensten. Het wordt vaak gebruikt voor het opslaan en ophalen van informatie over gebruikers, groepen, organisatiestructuren en andere bronnen in een netwerkomgeving.

LDAP integreren met S/MIME Certificaten omvat het gebruik van LDAP als een directoryservice voor het opslaan en beheren van gebruikerscertificaten. 

Door LDAP te integreren met S/MIME certificaten kunnen organisaties het certificaatbeheer centraliseren, de beveiliging verbeteren en het proces van het ophalen en authenticeren van certificaten stroomlijnen in verschillende toepassingen en services die LDAP gebruiken als een directoryservice.

Contact sales@ssl.com voor meer informatie over LDAP-integratie. 

Single Sign On (SSO) kan nu worden ingeschakeld voor SSL.com-accounts 

SSL.com-gebruikers kunnen nu Single Sign On (SSO) voor hun accounts activeren. Met deze functie kunnen gebruikers hun Google-, Microsoft-, GitHub- en Facebook-accounts koppelen aan hun SSL.com-accounts. Eenmaal gekoppeld en ingelogd bij een van de vier genoemde serviceproviders, hoeven gebruikers niet herhaaldelijk in te loggen op hun SSL.com-accounts met hun gebruikersnaam en wachtwoord. De acceptatie van SSO door SSL.com vertegenwoordigt een toewijding aan het handhaven van hoge beveiligingsnormen en het bieden van een gebruiksvriendelijke omgeving, waardoor uiteindelijk een veiligere online-ervaring voor zijn gebruikers wordt bevorderd. 

Automatiseer de validatie en uitgifte van e-mailondertekenings- en versleutelingscertificaten voor werknemers 

< p align=”uitvullen”>Bulkinschrijving is nu beschikbaar voor Persoonlijk ID+Organisatie S/MIME Certificaten (ook bekend als IV+OV S/MIME), En NAESB-certificaten via de SSL.com Bulk Order Tool. Bulkinschrijving van persoonlijke ID+organisatie S/MIME en NAESB-certificaten hebben de aanvullende vereiste van een Enterprise PKI (EPKI) Overeenkomst. een EPKI Met een overeenkomst kan een enkele geautoriseerde vertegenwoordiger van een organisatie een groot aantal van deze twee soorten certificaten voor andere leden bestellen, valideren, uitgeven en intrekken, waardoor een snellere ommekeer in het beveiligen van de gegevens- en communicatiesystemen van een organisatie mogelijk wordt. 

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.