Podsumowanie cyberbezpieczeństwa, maj 2024 r

Zapoznaj się z majowym podsumowaniem SSL.com na temat krytycznych zagrożeń cyberbezpieczeństwa, w tym złośliwego oprogramowania SugarGh0st i ataku ransomware na Wichita, i dowiedz się, jak certyfikaty SSL.com chronią przed tymi zagrożeniami.

Related Content

Chcesz dalej się uczyć?

Zapisz się do newslettera SSL.com, bądź na bieżąco i bezpiecznie.

Hakerzy powiązani z Chinami atakują amerykańskich ekspertów ds. sztucznej inteligencji, używając złośliwego oprogramowania SugarGh0st 

Badacze z Proofpoint odkryli wysoce ukierunkowaną kampanię prowadzoną przez podejrzanego chińskiego ugrupowanie cyberprzestępcze, nazwaną „UNK_SweetSpecter”, mającą na celu kradzież informacji od ekspertów w dziedzinie sztucznej inteligencji w Stanach Zjednoczonych. Napastnicy wykorzystali dostosowany wariant cieszącego się złą sławą szkodliwego oprogramowania Gh0st RAT, zwanego SugarGh0st, do zainfekowania systemów wybranej grupy osób powiązanych z wiodącą amerykańską organizacją zajmującą się sztuczną inteligencją.  Kampania, która pojawiła się w maju 2024 r., obejmowała e-maile phishingowe o tematyce sztucznej inteligencji, zawierające złośliwe archiwum ZIP. Po uruchomieniu szkodliwe oprogramowanie nawiązało komunikację z kontrolowanym przez osobę atakującą serwerem dowodzenia i kontroli, potencjalnie umożliwiając hakerom eksfiltrację wrażliwych danych związanych z generatywnymi technologiami sztucznej inteligencji.  Proofpoint sugeruje, że ta kampania może być odpowiedzią na niedawne wysiłki rządu USA mające na celu ograniczenie dostępu Chin do generatywnych technologii AI. Ukierunkowany charakter ataku i jego skupienie się na ekspertach w dziedzinie sztucznej inteligencji wskazują, że celem ugrupowania zagrażającego było prawdopodobnie uzyskanie niepublicznych informacji na temat generatywnej sztucznej inteligencji w celu realizacji celów rozwojowych Chin w tej dziedzinie. 
Statystyki SSL.com: Aby zabezpieczyć się przed wyrafinowanymi zagrożeniami cybernetycznymi, takimi jak kampania SugarGh0st RAT, organizacje powinny ulepszyć swoje protokoły bezpieczeństwa poczty e-mail, stosując zaawansowane filtry sprawdzające załączniki i linki pod kątem potencjalnych zagrożeń, zwłaszcza w komunikacji, która zabiegać techniczny wsparcie lub mają na celu rozwiązanie problemów z oprogramowaniem. Konieczne jest także edukowanie ekspertów ds. sztucznej inteligencji i innego personelu wysokiego ryzyka w zakresie specyfiki ukierunkowanych ataków phishingowych, upewniając się, że są oni biegli w rozpoznawaniu podejrzanych wiadomości e-mail i obsłudze ich. Wdrażanie oprogramowania, które monitory za nieuprawnione użycie narzędzi administracyjnych i nieoczekiwaną komunikację zewnętrzną mogą dodatkowo chronić poufne informacje przed ujawnieniem. SSL.com's S/MIME Certyfikaty zapewniają solidną warstwę bezpieczeństwa, zapewniając autentyczność i integralność wiadomości e-mail, co jest niezbędne, aby uniemożliwić atakującym podszywanie się pod legalne źródła, a dzięki szyfrowaniu treści wiadomości e-mail chronią wrażliwe informacje przed nieupoważnionym dostępem, nawet w przypadku naruszenia. 

Zabezpiecz teraz swoje e-maile  

Uzyskaj ochronę

CISA ostrzega przed aktywnie wykorzystywaną luką w NextGen Healthcare Mirth Connect 

Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wydała pilne ostrzeżenie dotyczące krytycznej luki w zabezpieczeniach NextGen Healthcare Mirth Connect, platformy integracji danych typu open source, szeroko stosowanej w branży opieki zdrowotnej. Luka, oznaczona jako CVE-2023-43208, umożliwia nieuwierzytelnione zdalne wykonanie kodu i uważa się, że jest aktywnie wykorzystywana w środowisku naturalnym.  Luka wynika z niekompletnej łaty innej krytycznej luki, CVE-2023-37679, i jest związana z niebezpiecznym użyciem biblioteki Java XStream do unmarshallingu ładunków XML. Badacze z Horizon3.ai po raz pierwszy ujawnili tę lukę w październiku 2023 r., a dodatkowe szczegóły techniczne i exploit weryfikujący koncepcję opublikowano w styczniu 2024 r.  CISA dodała CVE-2023-43208 do swojego katalogu znanych luk w zabezpieczeniach (KEV), zlecając agencjom federalnym aktualizację swoich systemów do wersji Mirth Connect 4.4.1 lub nowszej do 10 czerwca 2024 r. Chociaż agencja nie podała szczegółów na temat trwających ataków, lukę uważa się za łatwą do wykorzystania i stwarzającą znaczne ryzyko dla organizacji opieki zdrowotnej.  Oprócz luki w zabezpieczeniach Mirth Connect firma CISA dodała do katalogu KEV również niedawno ujawniony błąd powodujący pomylenie typów, wpływający na przeglądarkę Google Chrome (CVE-2024-4947), ponieważ Google uznał, że może być wykorzystywany w atakach w świecie rzeczywistym. 
Statystyki SSL.com: Niedawny dodatek NextGen Healthcare Mirth Połącz Luka w katalogu znanych luk w zabezpieczeniach CISA oznacza krytyczny rozwój cyberbezpieczeństwa, podkreślając rosnące zagrożenia stojące przed systemami danych w służbie zdrowia. Organizacje muszą priorytetowo traktować szybkie wdrażanie aktualizacji i poprawek takich luk, aby chronić wrażliwe dane dotyczące opieki zdrowotnej przed nieautoryzowanym dostępem i potencjalnym wykorzystaniem. Jako wiodący dostawca certyfikatów cyfrowych, SSL.com kładzie nacisk na konieczność wdrożenia solidnych środków szyfrowania i stosowania certyfikatów cyfrowych w celu zapewnienia integralności danych i bezpiecznych kanałów komunikacji, wzmacniając w ten sposób ochronę przed tak wyrafinowanymi zagrożeniami cybernetycznymi.

Miasto Wichita celem weekendowego ataku ransomware 

Miasto Wichita w stanie Kansas, największe miasto stanu i jedno z 50 największych miast w Stanach Zjednoczonych, ujawniło, że w weekend ucierpiało na skutek ataku oprogramowania typu ransomware. Incydent, który miał miejsce w niedzielę 5 maja, zmusił miasto do zamknięcia części swojej sieci, aby zapobiec rozprzestrzenianiu się oprogramowania ransomware na inne urządzenia.  Miasto w niezwykle przejrzysty sposób potwierdziło atak na swojej stronie internetowej, stwierdzając, że trwa dokładny przegląd i ocena incydentu, w tym potencjalnego wpływu na dane. W wyniku ataku miejskie systemy płatności online, w tym te służące do płacenia rachunków za wodę oraz wezwań i mandatów sądowych, są obecnie wyłączone.  Chociaż miasto nie ujawniło tożsamości gangu zajmującego się oprogramowaniem ransomware odpowiedzialnym za atak, zgłosiło incydent lokalnym i federalnym organom ścigania, które pomagają w reagowaniu. Nie wiadomo jeszcze, czy jakiekolwiek dane zostały skradzione, chociaż gangi zajmujące się oprogramowaniem ransomware często wydobywają dane z zaatakowanych sieci przez kilka dni lub nawet tygodni przed wdrożeniem programów szyfrujących.  Pomimo ataku Miasto zapewnił mieszkańców, że służby ratownicze, w tym policja i straż pożarna, nadal świadczą usługi, w razie potrzeby przechodząc na środki zapewniające ciągłość działania. 
Statystyki SSL.com: W odpowiedzi na rosnące zagrożenie atakami ransomware, czego przykładem jest niedawny incydent w Wichita, organizacje powinny zwiększyć bezpieczeństwo swoich sieci poprzez wdrożenie silnej kontroli dostępu i segmentację sieci, aby ograniczyć rozprzestrzenianie się takich ataków. Zapewnienie izolacji wrażliwych systemów i umożliwienie dostępu do infrastruktury krytycznej dopiero po uwierzytelnieniu wieloskładnikowym może drastycznie zmniejszyć wpływ oprogramowania ransomware. Regularnie zaplanowane kopie zapasowe i możliwość szybkiego przywracania systemów są również kluczowe dla odzyskiwania danych po ataku, minimalizując przestoje i potencjalną utratę danych. SSL.com's Certyfikaty uwierzytelniania klienta wzmacniają te środki bezpieczeństwa, zapewniając metodę uwierzytelniania użytkowników i urządzeń, zapewniając, że tylko autoryzowany personel może uzyskać dostęp do krytycznych systemów i danych, co jest niezbędne do zapobiegania nieautoryzowanemu dostępowi, który mógłby prowadzić do wdrożenia oprogramowania ransomware.

Ufortyfikować Infrastruktura krytyczna Obronas  

Aktywuj ochronę

Ransomware Black Basta atakuje ponad 500 organizacji na całym świecie 

Jak wynika ze wspólnego poradnika opublikowanego przez CISA, FBI, od chwili jego pojawienia się w kwietniu 500 r. operacja Black Basta typu ransomware jako usługa (RaaS) zaatakowała ponad 2022 prywatnych podmiotów z branży przemysłu i infrastruktury krytycznej w Ameryce Północnej, Europie i Australii. , HHS i MS-ISAC.  Przestępcy stojący za Black Bastą szyfrowali i kradli dane z co najmniej 12 z 16 sektorów infrastruktury krytycznej, stosując model podwójnego wymuszenia. Podmioty stowarzyszone z grupą stosują powszechne techniki pierwszego dostępu, takie jak phishing i wykorzystywanie znanych luk w zabezpieczeniach, i udostępniają ofiarom unikalny kod umożliwiający skontaktowanie się z nimi za pośrednictwem adresu URL z rozszerzeniem .onion w celu uzyskania instrukcji dotyczących zapłaty okupu.  Black Basta powiązano z 28 z 373 potwierdzonych ataków oprogramowania ransomware w kwietniu 2024 r., a w pierwszym kwartale 41 r. odnotowano 1% wzrost aktywności w ujęciu kwartał do kwartału. Uważa się, że grupa ta jest powiązana z grupą cyberprzestępczą FIN2024.  Krajobraz oprogramowania ransomware przechodzi zmiany – w pierwszym kwartale 18 r. jego aktywność spadła o 1% w porównaniu z poprzednim kwartałem, głównie z powodu działań organów ścigania przeciwko ALPHV (znanym także jako BlackCat) i LockBit. W ostatnich tygodniach pojawiły się również nowe grupy oprogramowania ransomware, takie jak APT2024, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt i Shinra.  Jak wynika z ankiety przeprowadzonej przez firmę Sophos, pomimo ogólnego spadku aktywności oprogramowania ransomware, w ciągu ostatniego roku średnia wysokość okupu wzrosła pięciokrotnie, z 5 400,000 dolarów do 2 milionów dolarów. Jednak ofiary coraz częściej odmawiają zapłaty początkowej żądanej kwoty – jedynie 24% respondentów płaci pierwotną kwotę. 
Statystyki SSL.com: Aby walczyć z rosnącym zagrożeniem oprogramowaniem ransomware, którego przykładem jest operacja Black Basta, organizacje powinny wdrożyć solidną, wielowarstwową strategię bezpieczeństwa, która obejmuje wczesne wykrywanie prób phishingu i wykorzystywanie znanych luk w zabezpieczeniach, które są powszechne początkowy techniki dostępu do ataków ransomware. Niezwykle istotne jest ciągłe aktualizowanie i łatanie systemów w celu ochrony przed znanymi exploitami oraz stosowanie zaawansowanych narzędzi do wykrywania punktów końcowych i reagowania, które to umożliwiają zidentyfikować i neutralizować zagrożenia, zanim się eskalują. Ponadto organizacje powinny regularnie szkolić swoich pracowników w zakresie najlepszych praktyk w zakresie cyberbezpieczeństwa i świadomości oprogramowania ransomware, aby zapobiegać skutecznym atakom phishingowym. SSL.com's Certyfikaty uwierzytelniania klienta mogą znacznie zwiększyć środki bezpieczeństwa, zapewniając, że tylko uwierzytelnione urządzenia i użytkownicy mogą uzyskać dostęp do zasobów sieciowych, zmniejszając ryzyko nieautoryzowanego dostępu, który może prowadzić do wdrożenia oprogramowania ransomware; co więcej, certyfikaty te mogą pomóc w zabezpieczeniu komunikacji e-mailowej, która jest częstym wektorem dystrybucji oprogramowania ransomware, dodając w ten sposób istotną warstwę ochrony przed takimi zagrożeniami cybernetycznymi.

Zwiększ swoją odporność cybernetyczną  

Szyfruj już dziś

Ogłoszenia SSL.com

SSL.com's S/MIME Certyfikaty można teraz zintegrować z siecią obsługującą LDAP

LDAP (Lightweight Directory Access Protocol) to standardowy protokół branżowy umożliwiający dostęp do usług informacji katalogowych i zarządzanie nimi. Jest powszechnie używany do przechowywania i wyszukiwania informacji o użytkownikach, grupach, strukturach organizacyjnych i innych zasobach w środowisku sieciowym.

Integracja LDAP z S/MIME certyfikaty polega na wykorzystaniu protokołu LDAP jako usługi katalogowej do przechowywania certyfikatów użytkowników i zarządzania nimi. 

Integrując LDAP z S/MIME certyfikatów organizacje mogą scentralizować zarządzanie certyfikatami, zwiększyć bezpieczeństwo i usprawnić proces odzyskiwania certyfikatów i uwierzytelniania w różnych aplikacjach i usługach wykorzystujących LDAP jako usługę katalogową.

Kontakt sprzedaż@ssl.com aby uzyskać więcej informacji na temat integracji z LDAP. 

Dla kont SSL.com można teraz włączyć funkcję pojedynczego logowania (SSO). 

Użytkownicy SSL.com mogą teraz aktywować jednokrotne logowanie (SSO) na swoich kontach. Ta funkcja umożliwia użytkownikom łączenie kont Google, Microsoft, GitHub i Facebook z kontami SSL.com. Po połączeniu i zalogowaniu się do któregokolwiek z czterech wymienionych dostawców usług użytkownicy nie muszą wielokrotnie logować się do swoich kont SSL.com przy użyciu nazwy użytkownika i hasła. Przyjęcie SSO przez SSL.com oznacza zobowiązanie do utrzymania wysokich standardów bezpieczeństwa przy jednoczesnym zapewnieniu przyjaznego dla użytkownika środowiska, co ostatecznie sprzyja bezpieczniejszemu i bezpieczniejszemu korzystaniu z Internetu przez użytkowników. 

Zautomatyzuj walidację i wydawanie certyfikatów podpisywania i szyfrowania wiadomości e-mail dla pracowników 

< p align="justify">Rejestracja zbiorcza jest teraz dostępny dla Dowód osobisty + Organizacja S/MIME Certyfikaty (znany również jako IV+OV S/MIME), A Certyfikaty NAESB za pośrednictwem narzędzia do zamawiania zbiorczego SSL.com. Zbiorcza rejestracja Personal ID+Organizacja S/MIME a certyfikaty NAESB mają dodatkowy wymóg an Enterprise PKI (EPKI) Porozumienie. EPKI Umowa umożliwia jednemu upoważnionemu przedstawicielowi organizacji zamawianie, zatwierdzanie, wydawanie i unieważnianie dużej liczby tych dwóch typów certyfikatów dla innych członków, umożliwiając w ten sposób szybszy zwrot w zabezpieczaniu danych i systemów komunikacyjnych organizacji.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.