Kitchen-Sink Attack Chains: The Primary Cyber Threat to 2024 Elections
Når valget i 2024 nærmer seg, advarer nettsikkerhetseksperter at den viktigste trusselen mot den demokratiske prosessen sannsynligvis vil være en kombinasjon av ulike nettangrep, snarere enn en enkelt, isolert hendelse. Disse "kjøkkenvask"-angrepskjedene, som de kalles, involverer hackere som bruker flere taktikker i tandem for å oppnå sine ondsinnede mål, noe som gjør dem vanskeligere å oppdage og forsvare seg mot. I følge en fersk rapport fra Mandiant, en del av Google Cloud, er de mest potente truslene mot valg lenkede angrep, der trusselaktører bevisst legger flere taktikker i hybridoperasjoner for å forstørre effekten av hver komponent. Denne tilnærmingen har blitt brukt i tidligere valg, som det ukrainske presidentvalget i 2014, der russiske skuespillere satte i gang DDoS-angrep, slettet filer fra landets sentrale valgdatamaskiner, lekket e-poster og dokumenter og forsøkte å presentere falske resultater som favoriserte en spesifikk kandidat. I det amerikanske valget i 2020 gjennomførte to iranske statsborgere en kampanje mot flere staters stemmerelaterte nettsteder, innhentet konfidensiell velgerinformasjon, sendte skremmende og villedende e-poster og spredte desinformasjon om sårbarheter i valginfrastrukturen. De brøt også et medieselskap, som kunne ha gitt en annen kanal for å spre falske påstander. Bortsett fra statsstøttede aktører, utgjør også innsidere, hacktivister og nettkriminelle en trussel mot den demokratiske prosessen. Falske sosiale medier-kontoer og nettsteder tilknyttet presidentkandidater kan brukes til å spre svindel, skadelig programvare, stjele midler eller påvirke velgernes synspunkter ved å distribuere falske nyheter. Disse etterligningene kan også brukes til å samhandle med ekte mennesker fra kampanjer og infiltrere systemene deres. Etter hvert som den digitale slagmarken blir stadig mer tilgjengelig, er det avgjørende for valgfunksjonærer, kampanjer og velgere å være årvåkne og proaktive for å ivareta integriteten til den demokratiske prosessen mot disse utviklende cybertruslene.Styrk sikkerhet, stol på SSL.com-sertifikater.
Statssponsede hackere bryter MITER R&D-nettverket via Ivanti Zero-Day Vulnerabilities
MITRE, et føderalt finansiert ikke-for-profitt selskap, avslørte nylig et brudd på sitt nettverksbaserte eksperiment-, forsknings- og virtualiseringsmiljø (NERVE) av en utenlandsk statsstøttet trusselaktør i begynnelsen av januar. Angriperne utnyttet to nulldagssårbarheter, CVE-2023-46805 og CVE-2024-21887, i Ivanti Connect Secure VPN-enheter for å få førstegangstilgang. Disse sårbarhetene ble først rapportert av Volexity 10. januar, og tilskrev deres utnyttelse til kinesiske regjeringsstøttede hackere. Etter å ha fått tilgang gjennomførte angriperne rekognosering, omgikk multifaktorautentisering ved bruk av øktkapring og beveget seg sideveis innenfor MITREs nettverk. De brukte sofistikerte bakdører og webshell for å opprettholde utholdenhet og høste legitimasjon, og målrettet mot organisasjonens VMware-infrastruktur ved å bruke en kompromittert administratorkonto. Mens MITER ikke har gitt attribusjonsdetaljer utover å identifisere angriperne som en utenlandsk nasjonalstatstrusselaktør, er Google Clouds Mandiant klar over flere Kina-tilknyttede trusselaktører som utnytter Ivanti VPN-sårbarhetene i sine angrep. MITREs pågående etterforskning har ikke funnet noen bevis for innvirkning på kjernenettverket eller partnernes systemer. Organisasjonen har delt informasjon om de observerte ATT&CK-teknikkene, beste praksis for å oppdage slike angrep og anbefalinger for herding av nettverk. De samme Ivanti-sårbarhetene ble også brukt til å hacke seg inn i systemer som tilhører US Cybersecurity and Infrastructure Security Agency (CISA), som potensielt kan påvirke 100,000 XNUMX individer. MITRE, viden kjent for sin ATT&CK kunnskapsbase om motstanders taktikker og teknikker, åpnet nylig et nytt AI Assurance and Discovery Lab for å oppdage og administrere risikoer i AI-aktiverte systemer.Utforsk hvordan SSL.com kan forbedre din IoT-sikkerhet.
CoralRaider Threat Actor lanserer en global angrepskampanje med flere infotyvere
Ciscos Talos-sikkerhetsforskningsenhet har avdekket en utbredt angrepskampanje av en trusselaktør kjent som CoralRaider, som bruker en kombinasjon av informasjonstyvere for å samle inn legitimasjon og økonomiske data fra brukere over hele verden. Trusselaktøren, som antas å være av vietnamesisk opprinnelse, har vært rettet mot enkeltpersoner på tvers av ulike forretningsvertikaler og geografier siden minst 2023. CoralRaiders angrepskampanje har utviklet seg over tid, med trusselaktøren tidligere brukt en tilpasset QuasarRAT-variant kalt RotBot og XClient-tyveren å målrette finans- og påloggingsinformasjon og stjele kontoer på sosiale medier. Siden februar 2024 har trusselaktøren utvidet sitt arsenal til å omfatte tre informasjonstyvere: Cryptbot, LummaC2 og Rhadamanthys. Angrepene har rettet seg mot brukere i Ecuador, Egypt, Tyskland, Japan, Nigeria, Norge, Pakistan, Filippinene, Polen, Syria, Tyrkia, Storbritannia og USA, med noen ofre identifisert som ansatte i telefonsenterorganisasjoner for datatjenester i Japan og sivilforsvarsorganisasjoner i Syria. CoralRaider har brukt phishing-e-poster som inneholder ondsinnede lenker for å levere ZIP-arkiver med utformede snarveisfiler, som utløser en flertrinns infeksjonskjede som til slutt utfører informasjonstyvere på de målrettede systemene. CryptBot, LummaC2 og Rhadamanthys er velkjente informasjonstyvere med ulike muligheter, inkludert å hente inn legitimasjon fra nettlesere, stjele sensitive filer og eksfiltrere data fra kryptovaluta-lommebøker og andre applikasjoner. Bruken av disse stjelerne i kombinasjon gjør at CoralRaider kan maksimere effekten av angrepene sine og samle et bredt spekter av verdifull informasjon fra ofrene. Ettersom CoralRaider fortsetter å utvikle seg og utvide sin globale rekkevidde, må organisasjoner og enkeltpersoner være årvåkne og vedta robuste nettsikkerhetstiltak for å beskytte mot disse stadig mer sofistikerte truslene. Regelmessig oppdatering av programvare, bruk av sterke og unike passord, muliggjør multifaktorautentisering og opplæring av brukere om farene ved phishing-e-poster er viktige skritt for å redusere risikoen for å bli offer for slike angrep.Sikker e-post, Trust SSL.com S/MIME.
Change Healthcare lider av andre Ransomware-angrep av RansomHub
Change Healthcare, et datterselskap av United Healthcare, har angivelig blitt utsatt for nok et ransomware-angrep, denne gangen av RansomHub-gjengen, bare uker etter å ha blitt målrettet av ALPHV/BlackCat. RansomHub hevder å ha stjålet 4 TB med sensitive data, inkludert informasjon om amerikansk militærpersonell, pasienter, medisinske journaler og finansiell informasjon. Gjengen krever utpressingsbetaling og truer med å selge dataene til høystbydende dersom løsepengene ikke betales innen 12 dager. Dette andre angrepet kommer på en utfordrende tid for Change Healthcare, som først nylig har kommet seg etter det forrige ALPHV/BlackCat-cyberangrepet. Selskapet står nå overfor en vanskelig avgjørelse om hvorvidt de skal betale løsepenger for å beskytte sine klienters sensitive informasjon. Malachi Walker, en sikkerhetsrådgiver hos DomainTools, antyder at selv om RansomHub ikke er direkte koblet til ALPHV/BlackCat, kan gruppen kreve bånd til ofrene for å skremme dem til å betale. Han fremhever også den blomstrende undergrunnsøkonomien rundt løsepengevarescenen, med ulike aktører som samarbeider for å dele informasjon. Mens det er spekulasjoner om en mulig forbindelse mellom ALPHV/BlackCat og RansomHub, eller om ALPHV har endret navn til RansomHub, uttaler Walker at det er for tidlig å bekrefte noen direkte kobling mellom de to gruppene. Denne hendelsen understreker den pågående trusselen fra løsepengevaregjenger og viktigheten av robuste cybersikkerhetstiltak for å beskytte sensitive data i helsesektoren. Mens Change Healthcare navigerer i dette andre løsepengevareangrepet, står det overfor en utfordrende situasjon når det gjelder å sikre sikkerheten til kundenes informasjon.SSL.com-kunngjøringer
SSL.coms S/MIME Sertifikater kan nå integreres med et LDAP-aktivert nettverk
LDAP (Lightweight Directory Access Protocol) er en industristandardprotokoll for tilgang til og administrasjon av kataloginformasjonstjenester. Det brukes ofte til å lagre og hente informasjon om brukere, grupper, organisasjonsstrukturer og andre ressurser i et nettverksmiljø.
Integrering av LDAP med S/MIME sertifikater innebærer å bruke LDAP som en katalogtjeneste for å lagre og administrere brukersertifikater.
Ved å integrere LDAP med S/MIME sertifikater, kan organisasjoner sentralisere sertifikatadministrasjon, forbedre sikkerheten og strømlinjeforme prosessen med sertifikathenting og autentisering i ulike applikasjoner og tjenester som utnytter LDAP som en katalogtjeneste.
Kontakt sales@ssl.com for mer informasjon om LDAP-integrasjon.