Kina-tilknyttede hackere retter seg mot amerikanske AI-eksperter med SugarGh0st Malware
Forskere ved Proofpoint har avdekket en svært målrettet kampanje av en mistenkt kinesisk trusselaktør, kalt «UNK_SweetSpecter», rettet mot å stjele informasjon fra kunstig intelligens-eksperter i USA. Angriperne brukte en tilpasset variant av den beryktede Gh0st RAT malware, kalt SugarGh0st, for å infisere systemene til en utvalgt gruppe individer tilknyttet en ledende USA-basert AI-organisasjon. Kampanjen, som dukket opp i mai 2024, involverte AI-tema phishing-e-poster som inneholdt et ondsinnet ZIP-arkiv. Etter å ha blitt utført, opprettet skadelig programvare kommunikasjon med en angriperkontrollert kommando-og-kontroll-server, noe som potensielt tillot hackerne å eksfiltrere sensitive data relatert til generative AI-teknologier. Proofpoint antyder at denne kampanjen kan være et svar på nylige amerikanske myndigheters innsats for å begrense kinesisk tilgang til generative AI-teknologier. Den målrettede karakteren av angrepet og dets fokus på AI-eksperter indikerer at trusselaktørens mål sannsynligvis var å skaffe ikke-offentlig informasjon om generativ kunstig intelligens for å fremme Kinas utviklingsmål på dette feltet.SSL.com-innsikt: For å beskytte mot sofistikerte cybertrusler som SugarGh0st RAT-kampanjen, bør organisasjoner forbedre e-postsikkerhetsprotokollene sine ved å bruke avanserte filtre som gransker vedlegg og lenker for potensielle trusler, spesielt i kommunikasjon som be om teknisk bistand eller hevder å løse programvareproblemer. Det er også viktig å utdanne AI-eksperter og annet høyrisikopersonell om spesifikasjonene ved målrettede phishing-angrep, for å sikre at de er flinke til å gjenkjenne og håndtere mistenkelige e-poster. Distribuerer programvare som skjermer for uautorisert bruk av administrative verktøy og uventet ekstern kommunikasjon kan ytterligere beskytte sensitiv informasjon fra å bli kompromittert. SSL.coms S/MIME sertifikater gir et robust lag med sikkerhet ved å sikre ektheten og integriteten til e-poster, noe som er avgjørende for å hindre angripere fra å forkle seg som legitime kilder, og ved å kryptere e-postinnhold, beskytter de sensitiv informasjon mot uautorisert tilgang selv om et brudd oppstår.
Sikre e-postene dine nå
CISA advarer mot aktivt utnyttet feil i NextGen Healthcare Mirth Connect
US Cybersecurity and Infrastructure Security Agency (CISA) har utstedt en presserende advarsel om en kritisk sikkerhetssårbarhet i NextGen Healthcare Mirth Connect, en åpen kildekode-dataintegrasjonsplattform som er mye brukt i helsesektoren. Feilen, sporet som CVE-2023-43208, tillater uautentisert ekstern kjøring av kode og antas å bli aktivt utnyttet i naturen. Sårbarheten stammer fra en ufullstendig oppdatering for en annen kritisk feil, CVE-2023-37679, og er relatert til usikker bruk av Java XStream-biblioteket for å fjerne XML-nyttelaster. Forskere ved Horizon3.ai avslørte først sårbarheten i oktober 2023, med ytterligere tekniske detaljer og en proof-of-concept-utnyttelse utgitt i januar 2024. CISA har lagt til CVE-2023-43208 i sin Known Exploited Vulnerabilities (KEV)-katalog, og gir føderale byråer mandat til å oppdatere systemene sine til Mirth Connect versjon 4.4.1 eller senere innen 10. juni 2024. Selv om byrået ikke har gitt detaljer om det pågående angrep, anses feilen som lett å utnytte og utgjør en betydelig risiko for helseorganisasjoner. I tillegg til Mirth Connect-sårbarheten, har CISA også lagt til en nylig avslørt type forvirringsfeil som påvirker Google Chrome (CVE-2024-4947) til KEV-katalogen, ettersom den har blitt erkjent av Google for å bli utnyttet i virkelige angrep.SSL.com-innsikt: Det nylige tilskuddet til NextGen Healthcare Mirth Connect's sårbarhet for CISAs katalog over kjente utnyttede sårbarheter betyr en kritisk utvikling innen cybersikkerhet, og fremhever de eskalerende truslene som helsevesenets datasystemer står overfor. Organisasjoner må prioritere distribusjon av oppdateringer og patcher for slike sårbarheter umiddelbart for å beskytte sensitive helsedata mot uautorisert tilgang og potensiell utnyttelse. Som en ledende leverandør av digitale sertifikater, understreker SSL.com nødvendigheten av å implementere robuste krypteringstiltak og bruke digitale sertifikater for å sikre dataintegritet og sikre kommunikasjonskanaler, og dermed styrke forsvaret mot slike sofistikerte cybertrusler.
City of Wichita målrettet i Weekend Ransomware Attack
City of Wichita, Kansas, den største byen i staten og en av de 50 største byene i USA, har avslørt at den ble rammet av et løsepengeangrep i helgen. Hendelsen, som skjedde søndag 5. mai, tvang byen til å stenge deler av nettverket for å forhindre spredning av løsepengevaren til andre enheter. I et uvanlig gjennomsiktig trekk bekreftet byen angrepet på nettsiden deres, og uttalte at en grundig gjennomgang og vurdering av hendelsen er i gang, inkludert den potensielle innvirkningen på data. Som et resultat av angrepet er nettbaserte betalingssystemer for byen, inkludert de for betaling av vannregninger og rettsangivelser og billetter, for øyeblikket offline. Selv om byen ikke har avslørt identiteten til løsepengegjengen som er ansvarlig for angrepet, har de rapportert hendelsen til lokale og føderale rettshåndhevelsesbyråer, som bistår i responsen. Det er foreløpig ikke kjent om noen data har blitt stjålet, selv om det er vanlig at løsepengevaregjenger eksfiltrerer data fra kompromitterte nettverk i dager eller til og med uker før de distribuerer krypteringene sine. Til tross for angrepet City har forsikret innbyggerne om at førstehjelp, inkludert politi og brannvesen, fortsatt yter tjenester, etter å ha byttet til virksomhetskontinuitetstiltak der det er nødvendig.SSL.com-innsikt: Som svar på den eskalerende trusselen om løsepengevare-angrep, som eksemplifisert av den nylige hendelsen i Wichita, bør organisasjoner forbedre nettverkssikkerheten ved å implementere sterke tilgangskontroller og segmentere nettverk for å begrense spredningen av slike angrep. Å sikre at sensitive systemer er isolert og at tilgang til kritisk infrastruktur kun gis etter multifaktorautentisering kan drastisk redusere virkningen av løsepengeprogramvare. Regelmessig planlagte sikkerhetskopier og muligheten til å raskt gjenopprette systemer er også avgjørende for gjenoppretting i kjølvannet av et angrep, og minimerer nedetid og potensialet for tap av data. SSL.coms Klientautentiseringssertifikater styrker disse sikkerhetstiltakene ved å tilby en metode for å autentisere brukere og enheter, som sikrer at bare autorisert personell kan få tilgang til kritiske systemer og data, noe som er avgjørende for å forhindre uautorisert tilgang som kan føre til distribusjon av løsepengevare.
Forsterke Kritisk infrastruktur Forsvars
Black Basta Ransomware retter seg mot over 500 organisasjoner globalt
Black Basta ransomware-as-a-service (RaaS)-operasjonen har rettet seg mot mer enn 500 private industri- og kritiske infrastrukturenheter over hele Nord-Amerika, Europa og Australia siden fremveksten i april 2022, ifølge en felles rådgivning publisert av CISA, FBI , HHS og MS-ISAC. Trusselaktørene bak Black Basta har kryptert og stjålet data fra minst 12 av 16 kritiske infrastruktursektorer, ved å bruke en dobbel utpressingsmodell. Gruppens tilknyttede selskaper bruker vanlige innledende tilgangsteknikker, som phishing og utnyttelse av kjente sårbarheter, og gir ofrene en unik kode for å kontakte dem via en .onion-URL for betalingsinstruksjoner for løsepenger. Black Basta har blitt koblet til 28 av de 373 bekreftede løsepengevare-angrepene i april 2024 og var vitne til en 41 % økning i aktiviteten kvartal over kvartal i Q1 2024. Gruppen antas å ha bånd til nettkriminalitetsgruppen FIN7. Ransomware-landskapet gjennomgår endringer, med en nedgang på 18 % i aktiviteten i 1. kvartal 2024 sammenlignet med forrige kvartal, primært på grunn av politioperasjoner mot ALPHV (aka BlackCat) og LockBit. Nye løsepengevaregrupper, som APT73, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt og Shinra, har også dukket opp de siste ukene. Til tross for den generelle nedgangen i løsepenge-aktiviteten, har den gjennomsnittlige løsepengebetalingen økt 5 ganger det siste året, fra $400,000 2 til $24 millioner, ifølge en Sophos-undersøkelse. Imidlertid nekter ofrene i økende grad å betale det opprinnelige beløpet som kreves, og bare XNUMX % av respondentene betaler den opprinnelige forespørselen.SSL.com-innsikt: For å bekjempe den økende trusselen om løsepengevare, som eksemplifisert ved Black Basta-operasjonen, bør organisasjoner implementere en robust sikkerhetsstrategi med flere lag som inkluderer tidlig oppdagelse av phishing-forsøk og utnyttelse av kjente sårbarheter, som er vanlige innledende tilgangsteknikker for ransomware-angrep. Det er avgjørende å kontinuerlig oppdatere og lappe systemer for å forsvare seg mot kjente utnyttelser og å bruke sofistikerte endepunktdeteksjons- og responsverktøy som kan identifisere og nøytralisere trusler før de eskalerer. I tillegg bør organisasjoner trene sine ansatte regelmessig i beste praksis for cybersikkerhet og bevissthet om løsepenger for å forhindre vellykkede phishing-angrep. SSL.coms Klientautentiseringssertifikater kan forbedre sikkerhetstiltakene betydelig ved å sikre at bare autentiserte enheter og brukere kan få tilgang til nettverksressurser, noe som reduserer risikoen for uautorisert tilgang som kan føre til distribusjon av løsepengevare; videre kan disse sertifikatene bidra til å sikre e-postkommunikasjon, en vanlig vektor for distribusjon av løsepengevare, og dermed legge til et viktig lag med forsvar mot slike cybertrusler.
Øk cyberresiliensen din
SSL.com-kunngjøringer
SSL.coms S/MIME Sertifikater kan nå integreres med et LDAP-aktivert nettverk
LDAP (Lightweight Directory Access Protocol) er en industristandardprotokoll for tilgang til og administrasjon av kataloginformasjonstjenester. Det brukes ofte til å lagre og hente informasjon om brukere, grupper, organisasjonsstrukturer og andre ressurser i et nettverksmiljø.
Integrering av LDAP med S/MIME sertifikater innebærer å bruke LDAP som en katalogtjeneste for å lagre og administrere brukersertifikater.
Ved å integrere LDAP med S/MIME sertifikater, kan organisasjoner sentralisere sertifikatadministrasjon, forbedre sikkerheten og strømlinjeforme prosessen med sertifikathenting og autentisering i ulike applikasjoner og tjenester som utnytter LDAP som en katalogtjeneste.
Kontakt sales@ssl.com for mer informasjon om LDAP-integrasjon.
