Cybersecurity Roundup april 2024

Kitchen-Sink Attack Chains: The Primary Cyber ​​Threat to 2024 Elections    

Når valget i 2024 nærmer seg, advarer nettsikkerhetseksperter at den viktigste trusselen mot den demokratiske prosessen sannsynligvis vil være en kombinasjon av ulike nettangrep, snarere enn en enkelt, isolert hendelse. Disse "kjøkkenvask"-angrepskjedene, som de kalles, involverer hackere som bruker flere taktikker i tandem for å oppnå sine ondsinnede mål, noe som gjør dem vanskeligere å oppdage og forsvare seg mot. I følge en fersk rapport fra Mandiant, en del av Google Cloud, er de mest potente truslene mot valg lenkede angrep, der trusselaktører bevisst legger flere taktikker i hybridoperasjoner for å forstørre effekten av hver komponent. Denne tilnærmingen har blitt brukt i tidligere valg, som det ukrainske presidentvalget i 2014, der russiske skuespillere satte i gang DDoS-angrep, slettet filer fra landets sentrale valgdatamaskiner, lekket e-poster og dokumenter og forsøkte å presentere falske resultater som favoriserte en spesifikk kandidat. I det amerikanske valget i 2020 gjennomførte to iranske statsborgere en kampanje mot flere staters stemmerelaterte nettsteder, innhentet konfidensiell velgerinformasjon, sendte skremmende og villedende e-poster og spredte desinformasjon om sårbarheter i valginfrastrukturen. De brøt også et medieselskap, som kunne ha gitt en annen kanal for å spre falske påstander. Bortsett fra statsstøttede aktører, utgjør også innsidere, hacktivister og nettkriminelle en trussel mot den demokratiske prosessen. Falske sosiale medier-kontoer og nettsteder tilknyttet presidentkandidater kan brukes til å spre svindel, skadelig programvare, stjele midler eller påvirke velgernes synspunkter ved å distribuere falske nyheter. Disse etterligningene kan også brukes til å samhandle med ekte mennesker fra kampanjer og infiltrere systemene deres. Etter hvert som den digitale slagmarken blir stadig mer tilgjengelig, er det avgjørende for valgfunksjonærer, kampanjer og velgere å være årvåkne og proaktive for å ivareta integriteten til den demokratiske prosessen mot disse utviklende cybertruslene.
SSL.com-innsikt: For å forsvare seg mot de intrikate og flerlags truslene beskrevet i artikkelen, bør selskaper og organisasjoner som er involvert i valgprosesser forbedre forsvaret sitt ved å integrere systemer som undersøker innhold som går gjennom nettverkene deres for å oppdage skadelige datapakker og tegn på tukling . De bør også distribuere teknologier som verifiserer ektheten og sikkerheten til nettsteder, og forhindrer uautorisert tilgang til sensitive data og systemer. Implementering av tiltak som kontinuerlig overvåker og analyserer nettverkstrafikk kan bidra til å oppdage uvanlige mønstre som kan indikere et koordinert angrep. SSL.coms SSL-sertifikater kan spille en avgjørende rolle i disse strategiene ved å sikre at data som overføres på tvers av nettverk er kryptert, noe som reduserer risikoen for avskjæring og tukling betydelig, og ved å autentisere identitetene til involverte enheter, og dermed styrke tilliten og sikkerheten i digital kommunikasjon.

Styrk sikkerhet, stol på SSL.com-sertifikater.  

Krypter i dag

Statssponsede hackere bryter MITER R&D-nettverket via Ivanti Zero-Day Vulnerabilities     

MITRE, et føderalt finansiert ikke-for-profitt selskap, avslørte nylig et brudd på sitt nettverksbaserte eksperiment-, forsknings- og virtualiseringsmiljø (NERVE) av en utenlandsk statsstøttet trusselaktør i begynnelsen av januar. Angriperne utnyttet to nulldagssårbarheter, CVE-2023-46805 og CVE-2024-21887, i Ivanti Connect Secure VPN-enheter for å få førstegangstilgang. Disse sårbarhetene ble først rapportert av Volexity 10. januar, og tilskrev deres utnyttelse til kinesiske regjeringsstøttede hackere. Etter å ha fått tilgang gjennomførte angriperne rekognosering, omgikk multifaktorautentisering ved bruk av øktkapring og beveget seg sideveis innenfor MITREs nettverk. De brukte sofistikerte bakdører og webshell for å opprettholde utholdenhet og høste legitimasjon, og målrettet mot organisasjonens VMware-infrastruktur ved å bruke en kompromittert administratorkonto. Mens MITER ikke har gitt attribusjonsdetaljer utover å identifisere angriperne som en utenlandsk nasjonalstatstrusselaktør, er Google Clouds Mandiant klar over flere Kina-tilknyttede trusselaktører som utnytter Ivanti VPN-sårbarhetene i sine angrep. MITREs pågående etterforskning har ikke funnet noen bevis for innvirkning på kjernenettverket eller partnernes systemer. Organisasjonen har delt informasjon om de observerte ATT&CK-teknikkene, beste praksis for å oppdage slike angrep og anbefalinger for herding av nettverk. De samme Ivanti-sårbarhetene ble også brukt til å hacke seg inn i systemer som tilhører US Cybersecurity and Infrastructure Security Agency (CISA), som potensielt kan påvirke 100,000 XNUMX individer. MITRE, viden kjent for sin ATT&CK kunnskapsbase om motstanders taktikker og teknikker, åpnet nylig et nytt AI Assurance and Discovery Lab for å oppdage og administrere risikoer i AI-aktiverte systemer. 
SSL.com Insights: For å øke sikkerheten mot statssponsede nettangrep, slik som MITER opplever gjennom utnyttede produktsårbarheter, må organisasjoner distribuere teknologier som tillater inspeksjon og validering av kryptert nettverkstrafikk som deretter vil bidra til å identifisere og redusere mistenkelige aktiviteter før de eskalerer. På SSL.com tilbyr vi robust SSL/TLS sertifikatløsninger skreddersydd for IoT-enheter, som sikrer sikre og pålitelige enhetstilkoblinger helt fra starten. Ved å samarbeide med oss ​​kan organisasjoner utnytte vår Hosted PKI og tilpassede ACME-aktiverte CAer for å administrere sertifikatlivssykluser effektivt, og redusere risiko forbundet med enhets- og nettverkssikkerhet. Vår SWS API forenkler sømløs sertifikatadministrasjon direkte fra din IoT-infrastruktur.

Utforsk hvordan SSL.com kan forbedre din IoT-sikkerhet.  

lær MER

CoralRaider Threat Actor lanserer en global angrepskampanje med flere infotyvere  

Ciscos Talos-sikkerhetsforskningsenhet har avdekket en utbredt angrepskampanje av en trusselaktør kjent som CoralRaider, som bruker en kombinasjon av informasjonstyvere for å samle inn legitimasjon og økonomiske data fra brukere over hele verden. Trusselaktøren, som antas å være av vietnamesisk opprinnelse, har vært rettet mot enkeltpersoner på tvers av ulike forretningsvertikaler og geografier siden minst 2023. CoralRaiders angrepskampanje har utviklet seg over tid, med trusselaktøren tidligere brukt en tilpasset QuasarRAT-variant kalt RotBot og XClient-tyveren å målrette finans- og påloggingsinformasjon og stjele kontoer på sosiale medier. Siden februar 2024 har trusselaktøren utvidet sitt arsenal til å omfatte tre informasjonstyvere: Cryptbot, LummaC2 og Rhadamanthys. Angrepene har rettet seg mot brukere i Ecuador, Egypt, Tyskland, Japan, Nigeria, Norge, Pakistan, Filippinene, Polen, Syria, Tyrkia, Storbritannia og USA, med noen ofre identifisert som ansatte i telefonsenterorganisasjoner for datatjenester i Japan og sivilforsvarsorganisasjoner i Syria. CoralRaider har brukt phishing-e-poster som inneholder ondsinnede lenker for å levere ZIP-arkiver med utformede snarveisfiler, som utløser en flertrinns infeksjonskjede som til slutt utfører informasjonstyvere på de målrettede systemene. CryptBot, LummaC2 og Rhadamanthys er velkjente informasjonstyvere med ulike muligheter, inkludert å hente inn legitimasjon fra nettlesere, stjele sensitive filer og eksfiltrere data fra kryptovaluta-lommebøker og andre applikasjoner. Bruken av disse stjelerne i kombinasjon gjør at CoralRaider kan maksimere effekten av angrepene sine og samle et bredt spekter av verdifull informasjon fra ofrene. Ettersom CoralRaider fortsetter å utvikle seg og utvide sin globale rekkevidde, må organisasjoner og enkeltpersoner være årvåkne og vedta robuste nettsikkerhetstiltak for å beskytte mot disse stadig mer sofistikerte truslene. Regelmessig oppdatering av programvare, bruk av sterke og unike passord, muliggjør multifaktorautentisering og opplæring av brukere om farene ved phishing-e-poster er viktige skritt for å redusere risikoen for å bli offer for slike angrep. 
SSL.com-innsikt: For å motvirke den globale kampanjen til trusselaktører som bruker flere infotyvere som rapportert av Cisco, må organisasjoner implementere robuste filintegritetsovervåkings- og atferdsanalyseverktøy som kan oppdage og svare på uautorisert tilgang og modifikasjoner av sensitive data. Regelmessige oppdateringer og omfattende endepunktsikkerhetsløsninger er avgjørende for å beskytte mot avanserte skadevarestammer som retter seg mot legitimasjon og finansiell informasjon gjennom skjulte mekanismer. I tillegg kan utplassering av kryptering for sensitive filer og bruk av forbedrede deteksjonsprotokoller redusere risikoen for at informasjon blir stjålet og misbrukt. SSL.com sine S/MIME sertifikater sikrer integriteten og konfidensialiteten til e-postkommunikasjon, og gir et kritisk lag med beskyttelse mot phishing-opplegg som ellers kan føre til utplassering av infostelere, og de bekrefter også avsenderens identitet for å forhindre etterligningsforsøk, og sikrer dermed e-post som en kommunikasjonskanal.

Sikker e-post, Trust SSL.com S/MIME.  

Beskytt e-poster

Change Healthcare lider av andre Ransomware-angrep av RansomHub   

Change Healthcare, et datterselskap av United Healthcare, har angivelig blitt utsatt for nok et ransomware-angrep, denne gangen av RansomHub-gjengen, bare uker etter å ha blitt målrettet av ALPHV/BlackCat. RansomHub hevder å ha stjålet 4 TB med sensitive data, inkludert informasjon om amerikansk militærpersonell, pasienter, medisinske journaler og finansiell informasjon. Gjengen krever utpressingsbetaling og truer med å selge dataene til høystbydende dersom løsepengene ikke betales innen 12 dager. Dette andre angrepet kommer på en utfordrende tid for Change Healthcare, som først nylig har kommet seg etter det forrige ALPHV/BlackCat-cyberangrepet. Selskapet står nå overfor en vanskelig avgjørelse om hvorvidt de skal betale løsepenger for å beskytte sine klienters sensitive informasjon. Malachi Walker, en sikkerhetsrådgiver hos DomainTools, antyder at selv om RansomHub ikke er direkte koblet til ALPHV/BlackCat, kan gruppen kreve bånd til ofrene for å skremme dem til å betale. Han fremhever også den blomstrende undergrunnsøkonomien rundt løsepengevarescenen, med ulike aktører som samarbeider for å dele informasjon. Mens det er spekulasjoner om en mulig forbindelse mellom ALPHV/BlackCat og RansomHub, eller om ALPHV har endret navn til RansomHub, uttaler Walker at det er for tidlig å bekrefte noen direkte kobling mellom de to gruppene. Denne hendelsen understreker den pågående trusselen fra løsepengevaregjenger og viktigheten av robuste cybersikkerhetstiltak for å beskytte sensitive data i helsesektoren. Mens Change Healthcare navigerer i dette andre løsepengevareangrepet, står det overfor en utfordrende situasjon når det gjelder å sikre sikkerheten til kundenes informasjon. 
SSL.com-innsikt: For å effektivt beskytte sensitiv informasjon, som medisinske journaler og økonomiske detaljer, mot nye trusler som løsepengevare, må organisasjoner prioritere avanserte sikkerhetsstrategier skreddersydd for deres spesifikke behov. Implementering av strenge overvåkingsverktøy som skanner nettverkstrafikk for å oppdage uvanlige mønstre kan gi tidlige advarsler om et potensielt brudd. I tillegg kan det å forsterke nettvendte applikasjoner med verktøy som spesifikt blokkerer uautoriserte forsøk på å utnytte sårbarheter beskytte kritiske eiendeler. For omfattende databeskyttelse bør krypteringsteknologier brukes for å gjøre sensitive data uleselige for uautoriserte brukere, og sikre at selv om data blir kompromittert, forblir de sikre.

SSL.com-kunngjøringer

SSL.coms S/MIME Sertifikater kan nå integreres med et LDAP-aktivert nettverk

LDAP (Lightweight Directory Access Protocol) er en industristandardprotokoll for tilgang til og administrasjon av kataloginformasjonstjenester. Det brukes ofte til å lagre og hente informasjon om brukere, grupper, organisasjonsstrukturer og andre ressurser i et nettverksmiljø.

Integrering av LDAP med S/MIME sertifikater innebærer å bruke LDAP som en katalogtjeneste for å lagre og administrere brukersertifikater. 

Ved å integrere LDAP med S/MIME sertifikater, kan organisasjoner sentralisere sertifikatadministrasjon, forbedre sikkerheten og strømlinjeforme prosessen med sertifikathenting og autentisering i ulike applikasjoner og tjenester som utnytter LDAP som en katalogtjeneste.

Kontakt sales@ssl.com for mer informasjon om LDAP-integrasjon. 

Single Sign On (SSO) kan nå aktiveres for SSL.com-kontoer 

SSL.com-brukere kan nå aktivere Single Sign On (SSO) for sine kontoer. Denne funksjonen lar brukere koble sine Google-, Microsoft-, GitHub- og Facebook-kontoer til sine SSL.com-kontoer. Når de er koblet til og logget på noen av de fire tjenesteleverandørene som er nevnt, er det ikke nødvendig for brukere å logge på SSL.com-kontoene sine gjentatte ganger med brukernavn og passord. Adopsjonen av SSO av SSL.com representerer en forpliktelse til å opprettholde høye sikkerhetsstandarder samtidig som det gir et brukervennlig miljø, og til slutt fremme en tryggere og sikrere online opplevelse for brukerne. 

Automatiser validering og utstedelse av e-postsignerings- og krypteringssertifikater for ansatte 

< p align="justify">Masseinnmelding er nå tilgjengelig for Personlig ID+Organisasjon S/MIME sertifikater (også kjent som IV+OV S/MIME), Og NAESB-sertifikater gjennom SSL.com Bulk Order Tool. Masseregistrering av personlig ID+organisasjon S/MIME og NAESB-sertifikater har tilleggskravet til en Enterprise PKI (EPKI) Avtale. En EPKI Avtalen lar en enkelt autorisert representant for en organisasjon bestille, validere, utstede og tilbakekalle et stort volum av disse to typene sertifikater for andre medlemmer, og dermed muliggjøre en raskere behandlingstid i sikringen av en organisasjons data- og kommunikasjonssystemer. 

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.