Podsumowanie cyberbezpieczeństwa – kwiecień 2024 r

Łańcuchy ataków na zlew kuchenny: główne zagrożenie cybernetyczne dla wyborów w 2024 r    

W miarę zbliżania się wyborów w 2024 r. eksperci ds. cyberbezpieczeństwa ostrzegają, że najbardziej znaczącym zagrożeniem dla procesu demokratycznego będzie prawdopodobnie kombinacja różnych cyberataków, a nie pojedynczy, odosobniony incydent. Te łańcuchy ataków typu „zlew kuchenny”, jak się je nazywa, obejmują hakerów stosujących jednocześnie wiele taktyk, aby osiągnąć swoje złośliwe cele, co utrudnia ich wykrycie i obronę. Według niedawnego raportu firmy Mandiant, będącej częścią Google Cloud, najpotężniejszymi zagrożeniami dla wyborów są ataki łańcuchowe, podczas których przestępcy celowo łączą wiele taktyk w operacje hybrydowe, aby wzmocnić efekt każdego komponentu. Podejście to stosowano podczas poprzednich wyborów, np. wyborów prezydenckich na Ukrainie w 2014 r., podczas których rosyjscy aktorzy przeprowadzali ataki DDoS, usuwali pliki z centralnych komputerów wyborczych w kraju, dochodziło do wycieku wiadomości e-mail i dokumentów oraz próbowano przedstawiać fałszywe wyniki faworyzujące konkretnego kandydata. Podczas wyborów w USA w 2020 r. dwóch obywateli Iranu przeprowadziło kampanię przeciwko stronom internetowym wielu stanów poświęconym głosowaniu, uzyskując poufne informacje o wyborcach, wysyłając zastraszające i wprowadzające w błąd e-maile oraz rozpowszechniając dezinformację na temat luk w infrastrukturze wyborczej. Naruszyli także firmę medialną, która mogła zapewnić kolejny kanał rozpowszechniania fałszywych twierdzeń. Oprócz podmiotów sponsorowanych przez państwo zagrożenie dla procesu demokratycznego stanowią także insiderzy, haktywiści i cyberprzestępcy. Fałszywe konta w mediach społecznościowych i strony internetowe powiązane z kandydatami na prezydenta mogą być wykorzystywane do rozpowszechniania oszustw, złośliwego oprogramowania, kradzieży funduszy lub wpływania na poglądy wyborców poprzez rozpowszechnianie fałszywych wiadomości. Podszywania się można również wykorzystywać do interakcji z prawdziwymi osobami z kampanii i infiltrowania ich systemów. W miarę jak cyfrowe pole bitwy staje się coraz bardziej dostępne, niezwykle ważne jest, aby urzędnicy wyborczy, kampanie i wyborcy zachowali czujność i proaktywność w ochronie integralności procesu demokratycznego przed tymi ewoluującymi zagrożeniami cybernetycznymi.
Statystyki SSL.com: Aby chronić się przed skomplikowanymi i wielowarstwowymi zagrożeniami opisanymi w artykule, firmy i organizacje zaangażowane w procesy wyborcze powinny wzmocnić swoje zabezpieczenia, integrując systemy analizujące treści przechodzące przez ich sieci w celu wykrycia szkodliwych pakietów danych i oznak manipulacji . Powinni także wdrażać technologie weryfikujące autentyczność i bezpieczeństwo stron internetowych, zapobiegając nieuprawnionemu dostępowi do wrażliwych danych i systemów. Wdrożenie środków stale monitorujących i analizujących ruch sieciowy może pomóc w wykryciu nietypowych wzorców, które mogą wskazywać na skoordynowany atak. Certyfikaty SSL firmy SSL.com mogą odegrać kluczową rolę w tych strategiach, zapewniając szyfrowanie danych przesyłanych w sieciach, znacznie zmniejszając ryzyko przechwycenia i manipulacji, a także uwierzytelniając tożsamość zaangażowanych podmiotów, zwiększając w ten sposób zaufanie i bezpieczeństwo komunikacji cyfrowej.

Wzmocnij bezpieczeństwo, zaufaj certyfikatom SSL.com.  

Szyfruj już dziś

Sponsorowani przez państwo hakerzy włamują się do sieci badawczo-rozwojowej MITER poprzez luki w zabezpieczeniach Ivanti Zero-Day     

MITRE, finansowana ze środków federalnych firma non-profit, niedawno ujawniła na początku stycznia naruszenie swojego sieciowego środowiska eksperymentów, badań i wirtualizacji (NERVE) przez sponsorowanego przez zagraniczne państwo ugrupowania cyberprzestępczego. Napastnicy wykorzystali dwie luki dnia zerowego, CVE-2023-46805 i CVE-2024-21887, w urządzeniach Ivanti Connect Secure VPN, aby uzyskać początkowy dostęp. Luki te zostały po raz pierwszy zgłoszone przez Volexity 10 stycznia, przypisując ich wykorzystanie hakerom wspieranym przez chiński rząd. Po uzyskaniu dostępu napastnicy przeprowadzili rekonesans, ominęli uwierzytelnianie wieloskładnikowe za pomocą przechwytywania sesji i przedostali się w głąb sieci MITRE. Wykorzystali zaawansowane backdoory i powłoki internetowe, aby utrzymać trwałość i zebrać dane uwierzytelniające, atakując infrastrukturę VMware organizacji przy użyciu zhakowanego konta administratora. Chociaż MITER nie podał szczegółów przypisania poza zidentyfikowaniem napastników jako podmiotu stwarzającego zagrożenie ze strony obcego państwa narodowego, Mandiant z Google Cloud wie o kilku powiązanych z Chinami ugrupowaniach zagrażających, które wykorzystują luki w zabezpieczeniach Ivanti VPN w swoich atakach. Trwające dochodzenie MITRE nie znalazło żadnych dowodów na wpływ na podstawową sieć przedsiębiorstwa ani systemy partnerów. Organizacja podzieliła się informacjami na temat zaobserwowanych technik ATT&CK, najlepszymi praktykami wykrywania takich ataków oraz zaleceniami dotyczącymi wzmacniania sieci. Te same luki w zabezpieczeniach Ivanti wykorzystano także do włamania się do systemów należących do amerykańskiej Agencji ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), potencjalnie dotykając 100,000 XNUMX osób. MITRE, powszechnie znana ze swojej bazy wiedzy ATT&CK na temat taktyk i technik przeciwnika, niedawno otworzyła nowe laboratorium AI Assurance and Discovery Lab, którego zadaniem jest odkrywanie zagrożeń w systemach obsługujących sztuczną inteligencję i zarządzanie nimi. 
Statystyki SSL.com: Aby zwiększyć bezpieczeństwo przed cyberatakami sponsorowanymi przez państwo, takimi jak te, których doświadcza MITER w wyniku wykorzystania luk w zabezpieczeniach produktów, organizacje muszą wdrożyć technologie umożliwiające kontrolę i weryfikację zaszyfrowanego ruchu sieciowego, co pomoże następnie zidentyfikować i złagodzić podejrzane działania przed nasilają się. W SSL.com oferujemy solidny protokół SSL/TLS rozwiązania certyfikujące dostosowane do urządzeń IoT, zapewniające od samego początku bezpieczne i zaufane połączenia urządzeń. Współpracując z nami, organizacje mogą wykorzystać nasz Hosted PKI oraz niestandardowe urzędy certyfikacji z obsługą ACME w celu skutecznego zarządzania cyklami życia certyfikatów, ograniczając ryzyko związane z bezpieczeństwem urządzeń i sieci. Nasz interfejs API SWS dodatkowo ułatwia bezproblemowe zarządzanie certyfikatami bezpośrednio z infrastruktury IoT.

Dowiedz się, jak SSL.com może zwiększyć Twoje bezpieczeństwo IoT.  

Dowiedz się więcej

Podmiot zajmujący się zagrożeniami CoralRaider rozpoczyna globalną kampanię ataków z udziałem wielu osób kradnących informacje  

Jednostka badawcza firmy Cisco zajmująca się bezpieczeństwem Talos odkryła szeroko zakrojoną kampanię ataków przeprowadzaną przez ugrupowanie zagrażające znane jako CoralRaider, które wykorzystuje kombinację osób kradnących informacje w celu gromadzenia danych uwierzytelniających i finansowych od użytkowników na całym świecie. Ugrupowanie zagrażające, prawdopodobnie pochodzenia wietnamskiego, atakuje osoby z różnych branż i lokalizacji geograficznych co najmniej od 2023 r. Kampania ataków CoralRaidera ewoluowała z biegiem czasu, przy czym ugrupowanie zagrażające korzystało wcześniej ze dostosowanego wariantu QuasarRAT o nazwie RotBot i narzędzia do kradzieży XClient aby atakować dane finansowe i dane logowania oraz kraść konta w mediach społecznościowych. Od lutego 2024 r. ugrupowanie zagrażające rozszerzyło swój arsenał o trzech kradnących informacje: Cryptbot, LummaC2 i Rhadamanthys. Celem ataków byli użytkownicy w Ekwadorze, Egipcie, Niemczech, Japonii, Nigerii, Norwegii, Pakistanie, Filipinach, Polsce, Syrii, Turcji, Wielkiej Brytanii i USA, a niektóre ofiary zidentyfikowano jako pracowników organizacji call center w zakresie usług komputerowych w Japonii i organizacje służby obrony cywilnej w Syrii. CoralRaider wykorzystuje wiadomości e-mail phishingowe zawierające złośliwe łącza do dostarczania archiwów ZIP ze spreparowanymi plikami skrótów, uruchamiając wieloetapowy łańcuch infekcji, który ostatecznie uruchamia złodziei informacji w docelowych systemach. CryptBot, LummaC2 i Rhadamanthys to dobrze znani złodzieje informacji o różnych możliwościach, w tym zbieraniu danych uwierzytelniających z przeglądarek, kradzieży wrażliwych plików i eksfiltracji danych z portfeli kryptowalut i innych aplikacji. Połączenie tych złodziei pozwala CoralRaiderowi zmaksymalizować skuteczność ataków i zebrać szeroki zakres cennych informacji od ofiar. W miarę jak CoralRaider stale ewoluuje i rozszerza swój globalny zasięg, organizacje i osoby prywatne muszą zachować czujność i przyjąć solidne środki bezpieczeństwa cybernetycznego, aby chronić się przed coraz bardziej wyrafinowanymi zagrożeniami. Regularna aktualizacja oprogramowania, używanie silnych i unikalnych haseł, umożliwianie uwierzytelniania wieloskładnikowego i edukowanie użytkowników o niebezpieczeństwach związanych z wiadomościami phishingowymi to istotne kroki w ograniczaniu ryzyka stania się ofiarą takich ataków. 
Statystyki SSL.com: Aby przeciwdziałać globalnej kampanii prowadzonej przez ugrupowania zagrażające wykorzystujące wiele kradzieży informacji, zgodnie ze raportami Cisco, organizacje muszą wdrożyć niezawodne narzędzia do monitorowania integralności plików i analizy zachowań, które będą w stanie wykrywać nieautoryzowany dostęp i modyfikacje poufnych danych oraz reagować na nie. Regularne aktualizacje i kompleksowe rozwiązania w zakresie bezpieczeństwa punktów końcowych mają kluczowe znaczenie w ochronie przed zaawansowanymi odmianami złośliwego oprogramowania, których celem są dane uwierzytelniające i informacje finansowe za pomocą ukrytych mechanizmów. Ponadto wdrożenie szyfrowania wrażliwych plików i zastosowanie ulepszonych protokołów wykrywania może zmniejszyć ryzyko kradzieży i niewłaściwego wykorzystania informacji. SSL.com S/MIME Certyfikaty zapewniają integralność i poufność komunikacji e-mailowej, zapewniając krytyczną warstwę ochrony przed schematami phishingu, które w przeciwnym razie mogłyby doprowadzić do wdrożenia kradzieży informacji, a także weryfikują tożsamość nadawcy, aby zapobiec próbom podszywania się, zabezpieczając w ten sposób pocztę e-mail jako kanał komunikacji.

Bezpieczny e-mail, zaufaj SSL.com S/MIME.  

Chroń e-maile

Firma Change Healthcare stała się ofiarą drugiego ataku ransomware ze strony RansomHub   

Według doniesień Change Healthcare, spółka zależna United Healthcare, padła ofiarą kolejnego ataku oprogramowania ransomware, tym razem przeprowadzonego przez gang RansomHub, zaledwie kilka tygodni po tym, jak stała się celem ALPHV/BlackCat. RansomHub twierdzi, że ukradł 4 TB wrażliwych danych, w tym informacje o amerykańskim personelu wojskowym, pacjentach, dokumentacji medycznej i informacjach finansowych. Gang żąda wymuszenia zapłaty i grozi sprzedażą danych temu, kto zaoferuje najwyższą cenę, jeśli okup nie zostanie zapłacony w ciągu 12 dni. Ten drugi atak następuje w trudnym momencie dla Change Healthcare, która dopiero niedawno otrząsnęła się z poprzedniego cyberataku ALPHV/BlackCat. Firma stoi obecnie przed trudną decyzją dotyczącą zapłacenia okupu w celu ochrony wrażliwych informacji swoich klientów. Malachi Walker, doradca ds. bezpieczeństwa w DomainTools, sugeruje, że nawet jeśli RansomHub nie jest bezpośrednio połączony z ALPHV/BlackCat, grupa może powoływać się na powiązania ze swoimi ofiarami, aby zastraszyć je do dokonania płatności. Zwraca także uwagę na kwitnącą szarą strefę wokół sceny oprogramowania ransomware, w ramach której różne podmioty współpracują w celu wymiany informacji. Chociaż istnieją spekulacje na temat możliwego powiązania między ALPHV/BlackCat i RansomHub lub zmiany nazwy ALPHV na RansomHub, Walker stwierdza, że ​​jest zbyt wcześnie, aby potwierdzić jakiekolwiek bezpośrednie powiązanie między obiema grupami. Ten incydent podkreśla ciągłe zagrożenie stwarzane przez gangi zajmujące się oprogramowaniem ransomware oraz znaczenie solidnych środków cyberbezpieczeństwa w celu ochrony wrażliwych danych w branży opieki zdrowotnej. W miarę jak firma Change Healthcare radzi sobie z drugim atakiem oprogramowania ransomware, staje przed trudną sytuacją związaną z zapewnieniem bezpieczeństwa informacji swoich klientów. 
Statystyki SSL.com: Aby skutecznie chronić poufne informacje, takie jak dokumentacja medyczna i dane finansowe, przed pojawiającymi się zagrożeniami, takimi jak oprogramowanie ransomware, organizacje muszą nadać priorytet zaawansowanym strategiom bezpieczeństwa dostosowanym do ich konkretnych potrzeb. Wdrożenie rygorystycznych narzędzi monitorujących skanujących ruch sieciowy w celu wykrycia nietypowych wzorców może zapewnić wczesne ostrzeżenia o potencjalnym naruszeniu. Ponadto wzmocnienie aplikacji internetowych narzędziami, które w szczególności blokują nieautoryzowane próby wykorzystania luk, może chronić krytyczne zasoby. W celu zapewnienia kompleksowej ochrony danych należy stosować technologie szyfrowania, aby uczynić wrażliwe dane nieczytelnymi dla nieupoważnionych użytkowników, zapewniając, że nawet w przypadku naruszenia bezpieczeństwa danych pozostaną one bezpieczne.

Ogłoszenia SSL.com

SSL.com's S/MIME Certyfikaty można teraz zintegrować z siecią obsługującą LDAP

LDAP (Lightweight Directory Access Protocol) to standardowy protokół branżowy umożliwiający dostęp do usług informacji katalogowych i zarządzanie nimi. Jest powszechnie używany do przechowywania i wyszukiwania informacji o użytkownikach, grupach, strukturach organizacyjnych i innych zasobach w środowisku sieciowym.

Integracja LDAP z S/MIME certyfikaty polega na wykorzystaniu protokołu LDAP jako usługi katalogowej do przechowywania certyfikatów użytkowników i zarządzania nimi. 

Integrując LDAP z S/MIME certyfikatów organizacje mogą scentralizować zarządzanie certyfikatami, zwiększyć bezpieczeństwo i usprawnić proces odzyskiwania certyfikatów i uwierzytelniania w różnych aplikacjach i usługach wykorzystujących LDAP jako usługę katalogową.

Kontakt sales@ssl.com aby uzyskać więcej informacji na temat integracji z LDAP. 

Dla kont SSL.com można teraz włączyć funkcję pojedynczego logowania (SSO). 

Użytkownicy SSL.com mogą teraz aktywować jednokrotne logowanie (SSO) na swoich kontach. Ta funkcja umożliwia użytkownikom łączenie kont Google, Microsoft, GitHub i Facebook z kontami SSL.com. Po połączeniu i zalogowaniu się do któregokolwiek z czterech wymienionych dostawców usług użytkownicy nie muszą wielokrotnie logować się do swoich kont SSL.com przy użyciu nazwy użytkownika i hasła. Przyjęcie SSO przez SSL.com oznacza zobowiązanie do utrzymania wysokich standardów bezpieczeństwa przy jednoczesnym zapewnieniu przyjaznego dla użytkownika środowiska, co ostatecznie sprzyja bezpieczniejszemu i bezpieczniejszemu korzystaniu z Internetu przez użytkowników. 

Zautomatyzuj walidację i wydawanie certyfikatów podpisywania i szyfrowania wiadomości e-mail dla pracowników 

< p align="justify">Rejestracja zbiorcza jest teraz dostępny dla Dowód osobisty + Organizacja S/MIME certyfikaty (znany również jako IV+OV S/MIME), A Certyfikaty NAESB za pośrednictwem narzędzia do zamawiania zbiorczego SSL.com. Zbiorcza rejestracja Personal ID+Organizacja S/MIME a certyfikaty NAESB mają dodatkowy wymóg an Enterprise PKI (EPKI) Porozumienie. EPKI Umowa umożliwia jednemu upoważnionemu przedstawicielowi organizacji zamawianie, zatwierdzanie, wydawanie i unieważnianie dużej liczby tych dwóch typów certyfikatów dla innych członków, umożliwiając w ten sposób szybszy zwrot w zabezpieczaniu danych i systemów komunikacyjnych organizacji. 

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.