Cybersäkerhetsrunda maj 2024

Utforska SSL.coms sammanfattning i maj om kritiska cybersäkerhetshot, inklusive skadlig programvara SugarGh0st och ransomware-attacken på Wichita, och lär dig hur SSL.com-certifikat skyddar mot dessa risker.

Relaterat innehåll

Vill du fortsätta lära dig?

Prenumerera på SSL.coms nyhetsbrev, håll dig informerad och säker.

Kina-länkade hackare riktar in sig på amerikanska AI-experter med SugarGh0st Malware 

Forskare vid Proofpoint har avslöjat en mycket riktad kampanj av en misstänkt kinesisk hotaktör, kallad "UNK_SweetSpecter", som syftar till att stjäla information från experter på artificiell intelligens i USA. Angriparna använde en anpassad variant av den ökända Gh0st RAT malware, kallad SugarGh0st, för att infektera systemen hos en utvald grupp individer som är associerade med en ledande USA-baserad AI-organisation.  Kampanjen, som dök upp i maj 2024, involverade nätfiske-e-postmeddelanden med AI-tema som innehöll ett skadligt ZIP-arkiv. När den väl körts etablerade den skadliga programvaran kommunikation med en angriparkontrollerad kommando-och-kontrollserver, vilket möjligen gjorde det möjligt för hackarna att exfiltrera känslig data relaterad till generativ AI-teknik.  Proofpoint föreslår att den här kampanjen kan vara ett svar på de senaste försöken från den amerikanska regeringen att begränsa kinesisk tillgång till generativ AI-teknik. Attackens målinriktade karaktär och dess fokus på AI-experter indikerar att hotaktörens mål sannolikt var att få icke-offentlig information om generativ artificiell intelligens för att främja Kinas utvecklingsmål inom detta område. 
SSL.com Insikter: För att skydda sig mot sofistikerade cyberhot som SugarGh0st RAT-kampanjen bör organisationer förbättra sina e-postsäkerhetsprotokoll genom att använda avancerade filter som granskar bilagor och länkar för potentiella hot, särskilt i kommunikationer som värva teknisk hjälp eller utger sig för att ta itu med programvaruproblem. Det är också absolut nödvändigt att utbilda AI-experter och annan högriskpersonal om detaljerna kring riktade nätfiskeattacker, för att säkerställa att de är skickliga på att känna igen och hantera misstänkta e-postmeddelanden. Distribuerar programvara som monitorer för obehörig användning av administrativa verktyg och oväntad extern kommunikation kan ytterligare skydda känslig information från att äventyras. SSL.com s S/MIME certifikat ger ett robust lager av säkerhet genom att säkerställa äktheten och integriteten hos e-postmeddelanden, vilket är avgörande för att förhindra angripare från att maskera sig som legitima källor, och genom att kryptera e-postinnehåll skyddar de känslig information från obehörig åtkomst även om ett intrång inträffar. 

Skydda dina e-postmeddelanden nu  

Bli skyddad

CISA varnar för aktivt utnyttjade fel i NextGen Healthcare Mirth Connect 

Den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet (CISA) har utfärdat en brådskande varning om en kritisk säkerhetssårbarhet i NextGen Healthcare Mirth Connect, en dataintegrationsplattform med öppen källkod som ofta används inom hälsovårdsindustrin. Felet, spårat som CVE-2023-43208, möjliggör oautentiserad fjärrkörning av kod och tros vara aktivt utnyttjad i naturen.  Sårbarheten härrör från en ofullständig korrigering för ett annat kritiskt fel, CVE-2023-37679, och är relaterat till den osäkra användningen av Java XStream-biblioteket för att demontera XML-nyttolaster. Forskare vid Horizon3.ai avslöjade först sårbarheten i oktober 2023, med ytterligare tekniska detaljer och en proof-of-concept-missbruk som släpptes i januari 2024.  CISA har lagt till CVE-2023-43208 i sin katalog över kända exploaterade sårbarheter (KEV), vilket ger federala myndigheter i uppdrag att uppdatera sina system till Mirth Connect version 4.4.1 eller senare senast den 10 juni 2024. Även om byrån inte har lämnat några detaljer om det pågående attacker anses bristen vara lätt att exploatera och utgör en betydande risk för vårdorganisationer.  Förutom Mirth Connect-sårbarheten har CISA också lagt till en nyligen avslöjad typförvirringsbugg som påverkar Google Chrome (CVE-2024-4947) till KEV-katalogen, eftersom den har erkänts av Google för att utnyttjas i verkliga attacker. 
SSL.com Insikter: Det senaste tillskottet av NextGen Healthcare Mirth Connect's sårbarhet för CISA:s katalog över kända exploaterade sårbarheter betyder en kritisk utveckling inom cybersäkerhet, som lyfter fram de eskalerande hoten som hälso- och sjukvårdens datasystem står inför. Organisationer måste prioritera distributionen av uppdateringar och patchar för sådana sårbarheter omedelbart för att skydda känslig vårddata från obehörig åtkomst och potentiellt utnyttjande. Som en ledande leverantör av digitala certifikat betonar SSL.com nödvändigheten av att implementera robusta krypteringsåtgärder och använda digitala certifikat för att säkerställa dataintegritet och säkra kommunikationskanaler, och därigenom stärka försvaret mot sådana sofistikerade cyberhot.

City of Wichita inriktad på helgens Ransomware-attack 

City of Wichita, Kansas, den största staden i delstaten och en av de 50 största städerna i USA, har avslöjat att den drabbades av en ransomware-attack under helgen. Incidenten, som inträffade söndagen den 5 maj, tvingade staden att stänga av delar av sitt nätverk för att förhindra spridningen av ransomware till andra enheter.  I ett ovanligt genomskinligt drag bekräftade staden attacken på sin hemsida och uppgav att en grundlig granskning och bedömning av incidenten pågår, inklusive den potentiella påverkan på data. Som ett resultat av attacken är onlinebetalningssystem för staden, inklusive de för att betala vattenräkningar och domstolsförhandlingar och biljetter, för närvarande offline.  Även om staden inte har avslöjat identiteten på gänget som ansvarade för attacken, har de rapporterat händelsen till lokala och federala brottsbekämpande myndigheter, som hjälper till med svaret. Det är ännu inte känt om någon data har stulits, även om det är vanligt att ransomware-gäng exfiltrerar data från komprometterade nätverk i dagar eller till och med veckor innan de distribuerar sina krypteringar.  Trots attacken har Stad har försäkrat invånarna att räddningspersonal, inklusive polis och brandkårer, fortfarande tillhandahåller tjänster, efter att ha övergått till åtgärder för kontinuitet i verksamheten vid behov. 
SSL.com Insikter: Som svar på det eskalerande hotet från ransomware-attacker, som exemplifieras av den senaste incidenten i Wichita, bör organisationer förbättra sin nätverkssäkerhet genom att implementera starka åtkomstkontroller och segmentera nätverk för att begränsa spridningen av sådana attacker. Att se till att känsliga system är isolerade och att tillgång till kritisk infrastruktur endast ges efter multifaktorautentisering kan drastiskt minska effekten av ransomware. Regelbundna schemalagda säkerhetskopieringar och möjligheten att snabbt återställa system är också avgörande för återställning i efterdyningarna av en attack, vilket minimerar driftstopp och risken för dataförlust. SSL.com s Klientautentiseringscertifikat stärker dessa säkerhetsåtgärder genom att tillhandahålla en metod för att autentisera användare och enheter, vilket säkerställer att endast auktoriserad personal kan komma åt kritiska system och data, vilket är avgörande för att förhindra obehörig åtkomst som kan leda till utplacering av ransomware.

Befästa Kritisk infrastruktur Försvars  

Aktivera skydd

Black Basta Ransomware riktar sig till över 500 organisationer globalt 

Operationen Black Basta ransomware-as-a-service (RaaS) har riktat sig mot mer än 500 privata industri- och kritiska infrastrukturenheter i Nordamerika, Europa och Australien sedan dess uppkomst i april 2022, enligt en gemensam rådgivning publicerad av CISA, FBI , HHS och MS-ISAC.  Hotaktörerna bakom Black Basta har krypterat och stulit data från minst 12 av 16 kritiska infrastruktursektorer, med hjälp av en modell för dubbel utpressning. Gruppens affiliates använder vanliga inledande åtkomsttekniker, såsom nätfiske och utnyttjande av kända sårbarheter, och ger offren en unik kod för att kontakta dem via en .onion-URL för betalningsinstruktioner för lösen.  Black Basta har kopplats till 28 av de 373 bekräftade ransomware-attackerna i april 2024 och bevittnade en 41% ökning av aktiviteten kvartal över kvartal under Q1 2024. Gruppen tros ha kopplingar till cyberbrottsgruppen FIN7.  Ransomware-landskapet genomgår förändringar, med en aktivitetsminskning på 18 % under Q1 2024 jämfört med föregående kvartal, främst på grund av brottsbekämpande åtgärder mot ALPHV (aka BlackCat) och LockBit. Nya ransomware-grupper, som APT73, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt och Shinra, har också dykt upp under de senaste veckorna.  Trots den totala nedgången i ransomware-aktivitet har den genomsnittliga lösensumman ökat 5-faldigt under det senaste året, från $400,000 2 till $24 miljoner, enligt en Sophos-undersökning. Men offren vägrar i allt högre grad att betala det ursprungliga beloppet som krävdes, och endast XNUMX % av de tillfrågade betalade den ursprungliga begäran. 
SSL.com Insikter: För att bekämpa det ökande hotet från ransomware som exemplifieras av Black Basta-operationen, bör organisationer implementera en robust säkerhetsstrategi med flera lager som inkluderar tidig upptäckt av nätfiskeförsök och utnyttjande av kända sårbarheter, som är vanliga inledande åtkomsttekniker för ransomware-attacker. Det är viktigt att kontinuerligt uppdatera och korrigera system för att försvara sig mot kända exploateringar och att använda sofistikerade endpoint-detekterings- och svarsverktyg som kan identifiera och neutralisera hot innan de eskalerar. Dessutom bör organisationer utbilda sin personal regelbundet i bästa praxis för cybersäkerhet och medvetenhet om ransomware för att förhindra framgångsrika nätfiskeattacker. SSL.com s Klientautentiseringscertifikat kan avsevärt förbättra säkerhetsåtgärderna genom att säkerställa att endast autentiserade enheter och användare kan komma åt nätverksresurser, vilket minskar risken för obehörig åtkomst som kan leda till utplacering av ransomware; Dessutom kan dessa certifikat hjälpa till att säkra e-postkommunikation, en vanlig vektor för distribution av ransomware, och därigenom lägga till ett väsentligt lager av försvar mot sådana cyberhot.

Öka din cyberresiliens  

Kryptera idag

SSL.com-meddelanden

SSL.com s S/MIME Certifikat kan nu integreras med ett LDAP-aktiverat nätverk

LDAP (Lightweight Directory Access Protocol) är ett industristandardprotokoll för åtkomst och hantering av kataloginformationstjänster. Det används vanligtvis för att lagra och hämta information om användare, grupper, organisationsstrukturer och andra resurser i en nätverksmiljö.

Integrera LDAP med S/MIME certifikat innebär att man använder LDAP som en katalogtjänst för att lagra och hantera användarcertifikat. 

Genom att integrera LDAP med S/MIME certifikat kan organisationer centralisera certifikathantering, förbättra säkerheten och effektivisera processen för certifikathämtning och autentisering i olika applikationer och tjänster som utnyttjar LDAP som en katalogtjänst.

Kontakta oss sales@ssl.com för mer information om LDAP-integration. 

Single Sign On (SSO) kan nu aktiveras för SSL.com-konton 

SSL.com-användare kan nu aktivera Single Sign On (SSO) för sina konton. Denna funktion tillåter användare att länka sina Google-, Microsoft-, GitHub- och Facebook-konton till sina SSL.com-konton. När de väl är länkade och inloggade till någon av de fyra nämnda tjänsteleverantörerna behöver användarna inte upprepade gånger logga in på sina SSL.com-konton med sitt användarnamn och lösenord. Antagandet av SSO av SSL.com representerar ett åtagande att upprätthålla höga säkerhetsstandarder samtidigt som de tillhandahåller en användarvänlig miljö, vilket i slutändan främjar en säkrare och säkrare onlineupplevelse för sina användare. 

Automatisera validering och utfärdande av e-postsignerings- och krypteringscertifikat för anställda 

< p align="justify">Bulk registrering finns nu tillgänglig för Personligt ID+Organisation S/MIME Certifieringar (även känd som IV+OV S/MIME), Och NAESB-certifikat genom SSL.com Bulk Order Tool. Massregistrering av personligt ID+organisation S/MIME och NAESB-certifikat har ytterligare krav på en Företag PKI (EPKI) Avtal. Ett EPKI Avtalet gör det möjligt för en enda auktoriserad representant för en organisation att beställa, validera, utfärda och återkalla en stor volym av dessa två typer av certifikat för andra medlemmar, vilket möjliggör en snabbare vändning när det gäller att säkra en organisations data- och kommunikationssystem.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.