Łańcuchy ataków na zlew kuchenny: główne zagrożenie cybernetyczne dla wyborów w 2024 r
W miarę zbliżania się wyborów w 2024 r. eksperci ds. cyberbezpieczeństwa ostrzegają, że najbardziej znaczącym zagrożeniem dla procesu demokratycznego będzie prawdopodobnie kombinacja różnych cyberataków, a nie pojedynczy, odosobniony incydent. Te łańcuchy ataków typu „zlew kuchenny”, jak się je nazywa, obejmują hakerów stosujących jednocześnie wiele taktyk, aby osiągnąć swoje złośliwe cele, co utrudnia ich wykrycie i obronę. Według niedawnego raportu firmy Mandiant, będącej częścią Google Cloud, najpotężniejszymi zagrożeniami dla wyborów są ataki łańcuchowe, podczas których przestępcy celowo łączą wiele taktyk w operacje hybrydowe, aby wzmocnić efekt każdego komponentu. Podejście to stosowano podczas poprzednich wyborów, np. wyborów prezydenckich na Ukrainie w 2014 r., podczas których rosyjscy aktorzy przeprowadzali ataki DDoS, usuwali pliki z centralnych komputerów wyborczych w kraju, dochodziło do wycieku wiadomości e-mail i dokumentów oraz próbowano przedstawiać fałszywe wyniki faworyzujące konkretnego kandydata. Podczas wyborów w USA w 2020 r. dwóch obywateli Iranu przeprowadziło kampanię przeciwko stronom internetowym wielu stanów poświęconym głosowaniu, uzyskując poufne informacje o wyborcach, wysyłając zastraszające i wprowadzające w błąd e-maile oraz rozpowszechniając dezinformację na temat luk w infrastrukturze wyborczej. Naruszyli także firmę medialną, która mogła zapewnić kolejny kanał rozpowszechniania fałszywych twierdzeń. Oprócz podmiotów sponsorowanych przez państwo zagrożenie dla procesu demokratycznego stanowią także insiderzy, haktywiści i cyberprzestępcy. Fałszywe konta w mediach społecznościowych i strony internetowe powiązane z kandydatami na prezydenta mogą być wykorzystywane do rozpowszechniania oszustw, złośliwego oprogramowania, kradzieży funduszy lub wpływania na poglądy wyborców poprzez rozpowszechnianie fałszywych wiadomości. Podszywania się można również wykorzystywać do interakcji z prawdziwymi osobami z kampanii i infiltrowania ich systemów. W miarę jak cyfrowe pole bitwy staje się coraz bardziej dostępne, niezwykle ważne jest, aby urzędnicy wyborczy, kampanie i wyborcy zachowali czujność i proaktywność w ochronie integralności procesu demokratycznego przed tymi ewoluującymi zagrożeniami cybernetycznymi.Wzmocnij bezpieczeństwo, zaufaj certyfikatom SSL.com.
Sponsorowani przez państwo hakerzy włamują się do sieci badawczo-rozwojowej MITER poprzez luki w zabezpieczeniach Ivanti Zero-Day
MITRE, finansowana ze środków federalnych firma non-profit, niedawno ujawniła na początku stycznia naruszenie swojego sieciowego środowiska eksperymentów, badań i wirtualizacji (NERVE) przez sponsorowanego przez zagraniczne państwo ugrupowania cyberprzestępczego. Napastnicy wykorzystali dwie luki dnia zerowego, CVE-2023-46805 i CVE-2024-21887, w urządzeniach Ivanti Connect Secure VPN, aby uzyskać początkowy dostęp. Luki te zostały po raz pierwszy zgłoszone przez Volexity 10 stycznia, przypisując ich wykorzystanie hakerom wspieranym przez chiński rząd. Po uzyskaniu dostępu napastnicy przeprowadzili rekonesans, ominęli uwierzytelnianie wieloskładnikowe za pomocą przechwytywania sesji i przedostali się w głąb sieci MITRE. Wykorzystali zaawansowane backdoory i powłoki internetowe, aby utrzymać trwałość i zebrać dane uwierzytelniające, atakując infrastrukturę VMware organizacji przy użyciu zhakowanego konta administratora. Chociaż MITER nie podał szczegółów przypisania poza zidentyfikowaniem napastników jako podmiotu stwarzającego zagrożenie ze strony obcego państwa narodowego, Mandiant z Google Cloud wie o kilku powiązanych z Chinami ugrupowaniach zagrażających, które wykorzystują luki w zabezpieczeniach Ivanti VPN w swoich atakach. Trwające dochodzenie MITRE nie znalazło żadnych dowodów na wpływ na podstawową sieć przedsiębiorstwa ani systemy partnerów. Organizacja podzieliła się informacjami na temat zaobserwowanych technik ATT&CK, najlepszymi praktykami wykrywania takich ataków oraz zaleceniami dotyczącymi wzmacniania sieci. Te same luki w zabezpieczeniach Ivanti wykorzystano także do włamania się do systemów należących do amerykańskiej Agencji ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), potencjalnie dotykając 100,000 XNUMX osób. MITRE, powszechnie znana ze swojej bazy wiedzy ATT&CK na temat taktyk i technik przeciwnika, niedawno otworzyła nowe laboratorium AI Assurance and Discovery Lab, którego zadaniem jest odkrywanie zagrożeń w systemach obsługujących sztuczną inteligencję i zarządzanie nimi.Dowiedz się, jak SSL.com może zwiększyć Twoje bezpieczeństwo IoT.
Podmiot zajmujący się zagrożeniami CoralRaider rozpoczyna globalną kampanię ataków z udziałem wielu osób kradnących informacje
Jednostka badawcza firmy Cisco zajmująca się bezpieczeństwem Talos odkryła szeroko zakrojoną kampanię ataków przeprowadzaną przez ugrupowanie zagrażające znane jako CoralRaider, które wykorzystuje kombinację osób kradnących informacje w celu gromadzenia danych uwierzytelniających i finansowych od użytkowników na całym świecie. Ugrupowanie zagrażające, prawdopodobnie pochodzenia wietnamskiego, atakuje osoby z różnych branż i lokalizacji geograficznych co najmniej od 2023 r. Kampania ataków CoralRaidera ewoluowała z biegiem czasu, przy czym ugrupowanie zagrażające korzystało wcześniej ze dostosowanego wariantu QuasarRAT o nazwie RotBot i narzędzia do kradzieży XClient aby atakować dane finansowe i dane logowania oraz kraść konta w mediach społecznościowych. Od lutego 2024 r. ugrupowanie zagrażające rozszerzyło swój arsenał o trzech kradnących informacje: Cryptbot, LummaC2 i Rhadamanthys. Celem ataków byli użytkownicy w Ekwadorze, Egipcie, Niemczech, Japonii, Nigerii, Norwegii, Pakistanie, Filipinach, Polsce, Syrii, Turcji, Wielkiej Brytanii i USA, a niektóre ofiary zidentyfikowano jako pracowników organizacji call center w zakresie usług komputerowych w Japonii i organizacje służby obrony cywilnej w Syrii. CoralRaider wykorzystuje wiadomości e-mail phishingowe zawierające złośliwe łącza do dostarczania archiwów ZIP ze spreparowanymi plikami skrótów, uruchamiając wieloetapowy łańcuch infekcji, który ostatecznie uruchamia złodziei informacji w docelowych systemach. CryptBot, LummaC2 i Rhadamanthys to dobrze znani złodzieje informacji o różnych możliwościach, w tym zbieraniu danych uwierzytelniających z przeglądarek, kradzieży wrażliwych plików i eksfiltracji danych z portfeli kryptowalut i innych aplikacji. Połączenie tych złodziei pozwala CoralRaiderowi zmaksymalizować skuteczność ataków i zebrać szeroki zakres cennych informacji od ofiar. W miarę jak CoralRaider stale ewoluuje i rozszerza swój globalny zasięg, organizacje i osoby prywatne muszą zachować czujność i przyjąć solidne środki bezpieczeństwa cybernetycznego, aby chronić się przed coraz bardziej wyrafinowanymi zagrożeniami. Regularna aktualizacja oprogramowania, używanie silnych i unikalnych haseł, umożliwianie uwierzytelniania wieloskładnikowego i edukowanie użytkowników o niebezpieczeństwach związanych z wiadomościami phishingowymi to istotne kroki w ograniczaniu ryzyka stania się ofiarą takich ataków.Bezpieczny e-mail, zaufaj SSL.com S/MIME.
Firma Change Healthcare stała się ofiarą drugiego ataku ransomware ze strony RansomHub
Według doniesień Change Healthcare, spółka zależna United Healthcare, padła ofiarą kolejnego ataku oprogramowania ransomware, tym razem przeprowadzonego przez gang RansomHub, zaledwie kilka tygodni po tym, jak stała się celem ALPHV/BlackCat. RansomHub twierdzi, że ukradł 4 TB wrażliwych danych, w tym informacje o amerykańskim personelu wojskowym, pacjentach, dokumentacji medycznej i informacjach finansowych. Gang żąda wymuszenia zapłaty i grozi sprzedażą danych temu, kto zaoferuje najwyższą cenę, jeśli okup nie zostanie zapłacony w ciągu 12 dni. Ten drugi atak następuje w trudnym momencie dla Change Healthcare, która dopiero niedawno otrząsnęła się z poprzedniego cyberataku ALPHV/BlackCat. Firma stoi obecnie przed trudną decyzją dotyczącą zapłacenia okupu w celu ochrony wrażliwych informacji swoich klientów. Malachi Walker, doradca ds. bezpieczeństwa w DomainTools, sugeruje, że nawet jeśli RansomHub nie jest bezpośrednio połączony z ALPHV/BlackCat, grupa może powoływać się na powiązania ze swoimi ofiarami, aby zastraszyć je do dokonania płatności. Zwraca także uwagę na kwitnącą szarą strefę wokół sceny oprogramowania ransomware, w ramach której różne podmioty współpracują w celu wymiany informacji. Chociaż istnieją spekulacje na temat możliwego powiązania między ALPHV/BlackCat i RansomHub lub zmiany nazwy ALPHV na RansomHub, Walker stwierdza, że jest zbyt wcześnie, aby potwierdzić jakiekolwiek bezpośrednie powiązanie między obiema grupami. Ten incydent podkreśla ciągłe zagrożenie stwarzane przez gangi zajmujące się oprogramowaniem ransomware oraz znaczenie solidnych środków cyberbezpieczeństwa w celu ochrony wrażliwych danych w branży opieki zdrowotnej. W miarę jak firma Change Healthcare radzi sobie z drugim atakiem oprogramowania ransomware, staje przed trudną sytuacją związaną z zapewnieniem bezpieczeństwa informacji swoich klientów.Ogłoszenia SSL.com
SSL.com's S/MIME Certyfikaty można teraz zintegrować z siecią obsługującą LDAP
LDAP (Lightweight Directory Access Protocol) to standardowy protokół branżowy umożliwiający dostęp do usług informacji katalogowych i zarządzanie nimi. Jest powszechnie używany do przechowywania i wyszukiwania informacji o użytkownikach, grupach, strukturach organizacyjnych i innych zasobach w środowisku sieciowym.
Integracja LDAP z S/MIME certyfikaty polega na wykorzystaniu protokołu LDAP jako usługi katalogowej do przechowywania certyfikatów użytkowników i zarządzania nimi.
Integrując LDAP z S/MIME certyfikatów organizacje mogą scentralizować zarządzanie certyfikatami, zwiększyć bezpieczeństwo i usprawnić proces odzyskiwania certyfikatów i uwierzytelniania w różnych aplikacjach i usługach wykorzystujących LDAP jako usługę katalogową.
Kontakt sprzedaż@ssl.com aby uzyskać więcej informacji na temat integracji z LDAP.