Kitchen-Sink Attack Chains: The Primary Cyber Threat to 2024 Elections
När valet 2024 närmar sig varnar cybersäkerhetsexperter för att det mest betydande hotet mot den demokratiska processen sannolikt kommer att vara en kombination av olika cyberattacker, snarare än en enskild, isolerad incident. Dessa attackkedjor för "köksvask", som de kallas, involverar hackare som använder flera taktiker i tandem för att uppnå sina skadliga mål, vilket gör dem svårare att upptäcka och försvara sig mot. Enligt en färsk rapport från Mandiant, en del av Google Cloud, är de mest potenta hoten mot val kedjade attacker, där hotaktörer medvetet lägger flera taktiker i hybridoperationer för att förstärka effekten av varje komponent. Det här tillvägagångssättet har använts i tidigare val, som det ukrainska presidentvalet 2014, där ryska aktörer inledde DDoS-attacker, raderade filer från landets centrala valdatorer, läckte e-postmeddelanden och dokument och försökte presentera falska resultat som gynnade en specifik kandidat. I det amerikanska valet 2020 genomförde två iranska medborgare en kampanj mot flera staters röstningsrelaterade webbplatser, inhämtade konfidentiell väljarinformation, skickade skrämmande och vilseledande e-postmeddelanden och spred desinformation om valinfrastrukturens sårbarheter. De gjorde också intrång i ett medieföretag, som kunde ha tillhandahållit en annan kanal för att sprida falska påståenden. Förutom statligt sponsrade aktörer utgör även insiders, hacktivister och cyberkriminella ett hot mot den demokratiska processen. Falska konton i sociala medier och webbplatser anslutna till presidentkandidater kan användas för att sprida bedrägerier, skadlig programvara, stjäla pengar eller påverka väljarnas åsikter genom att distribuera falska nyheter. Dessa personifieringar kan också användas för att interagera med riktiga människor från kampanjer och infiltrera deras system. När det digitala slagfältet blir alltmer tillgängligt är det avgörande för valförrättare, kampanjer och väljare att förbli vaksamma och proaktiva för att skydda den demokratiska processens integritet mot dessa föränderliga cyberhot.Förstärk säkerheten, lita på SSL.com-certifikat.
Statssponsrade hackare bryter mot MITER FoU-nätverket via Ivanti Zero-Day Vulnerabilities
MITRE, ett federalt finansierat icke-vinstdrivande företag, avslöjade nyligen ett brott mot sin nätverksbaserade experiment-, forsknings- och virtualiseringsmiljö (NERVE) av en utländsk statssponsrad hotaktör i början av januari. Angriparna utnyttjade två nolldagssårbarheter, CVE-2023-46805 och CVE-2024-21887, i Ivanti Connect Secure VPN-enheter för att få första åtkomst. Dessa sårbarheter rapporterades först av Volexity den 10 januari, och tillskrev deras utnyttjande till kinesiska regeringsstödda hackare. Efter att ha fått tillgång genomförde angriparna spaning, kringgick multifaktorautentisering med sessionskapning och flyttade i sidled inom MITREs nätverk. De använde sofistikerade bakdörrar och webbskal för att upprätthålla uthållighet och skörda referenser, inriktade på organisationens VMware-infrastruktur med hjälp av ett äventyrat administratörskonto. Även om MITER inte har tillhandahållit attributionsdetaljer utöver att identifiera angriparna som en utländsk nationalstats hotaktör, är Google Clouds Mandiant medveten om flera Kina-länkade hotaktörer som utnyttjar Ivanti VPN-sårbarheter i sina attacker. MITREs pågående undersökning har inte hittat några bevis för påverkan på företagets kärnnätverk eller partners system. Organisationen har delat information om de observerade ATT&CK-teknikerna, bästa praxis för att upptäcka sådana attacker och rekommendationer för att härda nätverk. Samma Ivanti-sårbarheter användes också för att hacka sig in i system som tillhör den amerikanska Cybersecurity and Infrastructure Security Agency (CISA), som potentiellt påverkar 100,000 XNUMX individer. MITRE, allmänt känt för sin ATT&CK-kunskapsbas om motståndares taktik och tekniker, öppnade nyligen ett nytt AI Assurance and Discovery Lab för att upptäcka och hantera risker i AI-aktiverade system.Utforska hur SSL.com kan förbättra din IoT-säkerhet.
CoralRaider Threat Actor lanserar en global attackkampanj med flera infostjälare
Ciscos säkerhetsforskningsenhet Talos har avslöjat en utbredd attackkampanj av en hotaktör känd som CoralRaider, som använder en kombination av informationsstöldare för att samla in autentiseringsuppgifter och ekonomisk data från användare över hela världen. Hotaktören, som tros vara av vietnamesiskt ursprung, har riktat in sig på individer över olika affärsvertikaler och geografier sedan åtminstone 2023. CoralRaiders attackkampanj har utvecklats över tiden, med hotaktören som tidigare använde en anpassad QuasarRAT-variant som heter RotBot och XClient-stjuven att rikta in sig på finansiell information och inloggningsinformation och stjäla konton i sociala medier. Sedan februari 2024 har hotaktören utökat sin arsenal till att omfatta tre informationsstöldare: Cryptbot, LummaC2 och Rhadamanthys. Attackerna har riktats mot användare i Ecuador, Egypten, Tyskland, Japan, Nigeria, Norge, Pakistan, Filippinerna, Polen, Syrien, Turkiet, Storbritannien och USA, med några offer som identifierats som anställda i organisationer för datortjänstens callcenter i Japan och civilförsvarsorganisationer i Syrien. CoralRaider har använt nätfiske-e-postmeddelanden som innehåller skadliga länkar för att leverera ZIP-arkiv med skapade genvägsfiler, vilket utlöser en infektionskedja i flera steg som i slutändan kör informationsstöldarna på de riktade systemen. CryptBot, LummaC2 och Rhadamanthys är välkända informationsstöldare med olika möjligheter, inklusive att samla in autentiseringsuppgifter från webbläsare, stjäla känsliga filer och exfiltrera data från kryptovaluta-plånböcker och andra applikationer. Användningen av dessa stjälare i kombination gör att CoralRaider kan maximera effekten av sina attacker och samla ett brett utbud av värdefull information från sina offer. När CoralRaider fortsätter att utvecklas och utöka sin globala räckvidd måste organisationer och individer förbli vaksamma och vidta robusta cybersäkerhetsåtgärder för att skydda mot dessa allt mer sofistikerade hot. Att regelbundet uppdatera programvara, använda starka och unika lösenord, möjliggöra multifaktorautentisering och att utbilda användare om farorna med nätfiske-e-post är viktiga steg för att minska risken att falla offer för sådana attacker.Säker e-post, Trust SSL.com S/MIME.
Change Healthcare drabbas av andra Ransomware-attack av RansomHub
Change Healthcare, ett dotterbolag till United Healthcare, har enligt uppgift drabbats av ytterligare en ransomware-attack, denna gång av RansomHub-gänget, bara veckor efter att ha blivit måltavla av ALPHV/BlackCat. RansomHub påstår sig ha stulit 4 TB med känslig data, inklusive information om amerikansk militär personal, patienter, medicinska register och finansiell information. Gänget kräver utpressningsbetalning och hotar att sälja uppgifterna till högstbjudande om lösensumman inte betalas inom 12 dagar. Denna andra attack kommer vid en utmanande tidpunkt för Change Healthcare, som bara nyligen har återhämtat sig från den tidigare ALPHV/BlackCat cyberattacken. Företaget står nu inför ett svårt beslut om huruvida de ska betala lösensumman eller inte för att skydda sina kunders känsliga information. Malachi Walker, en säkerhetsrådgivare på DomainTools, föreslår att även om RansomHub inte är direkt kopplad till ALPHV/BlackCat, kan gruppen hävda band till sina offer för att skrämma dem att göra en betalning. Han lyfter också fram den blomstrande underjordiska ekonomin kring ransomware-scenen, med olika aktörer som samarbetar för att dela information. Medan det finns spekulationer om en möjlig koppling mellan ALPHV/BlackCat och RansomHub, eller om ALPHV har bytt namn till RansomHub, säger Walker att det är för tidigt att bekräfta någon direkt koppling mellan de två grupperna. Den här incidenten understryker det pågående hotet från ransomware-gäng och vikten av robusta cybersäkerhetsåtgärder för att skydda känslig data inom sjukvårdsindustrin. När Change Healthcare navigerar i denna andra ransomware-attack står den inför en utmanande situation när det gäller att säkerställa säkerheten för sina kunders information.SSL.com-meddelanden
SSL.com s S/MIME Certifikat kan nu integreras med ett LDAP-aktiverat nätverk
LDAP (Lightweight Directory Access Protocol) är ett industristandardprotokoll för åtkomst och hantering av kataloginformationstjänster. Det används vanligtvis för att lagra och hämta information om användare, grupper, organisationsstrukturer och andra resurser i en nätverksmiljö.
Integrera LDAP med S/MIME certifikat innebär att man använder LDAP som en katalogtjänst för att lagra och hantera användarcertifikat.
Genom att integrera LDAP med S/MIME certifikat kan organisationer centralisera certifikathantering, förbättra säkerheten och effektivisera processen för certifikathämtning och autentisering i olika applikationer och tjänster som utnyttjar LDAP som en katalogtjänst.
Kontakta oss sales@ssl.com för mer information om LDAP-integration.