Den sydafrikanske regerings pensionsdatalækage frygter gnistsonde

Sydafrikanske regeringsembedsmænd undersøger rapporter om, at en ransomware-bande stjal og derefter lækkede 668 GB følsomme folkepensionsdata.

Det påståede kompromittering af data fra Government Pensions Administration Agency (GPAA) den 11. marts er endnu ikke blevet offentligt bekræftet, men hændelsen er allerede foretaget nationale nyheder i Sydafrika. South African Government Employees Pension Fund (GEPF) trådte til for at undersøge påstandene fra den berygtede LockBit-cyberkriminalitetsbande.

GEPF er en toppensionsfond i Sydafrika, hvis kunder omfatter 1.2 millioner nuværende statsansatte samt 473,000 pensionister og andre begunstigede.

"GEPF er i dialog med GPAA og dets tilsynsmyndighed, National Treasury, for at fastslå rigtigheden og virkningen af ​​det rapporterede databrud og vil give en yderligere opdatering til sin tid," forklarede pensionsfonden i en offentlig erklæring.

Ikke ordentligt sikret?

GPAA har angiveligt forsikret GEPF om, at den har handlet for at sikre systemer, mens brudundersøgelsen var i gang. Foreløbige undersøgelser tyder dog på, at LockBit-kravene kan være relateret til en sikkerhedshændelse GPAA oplevede i februar.

Agenturet hævdede, at et forsøg på at hacke sig ind i dets systemer den 16. februar var mislykket, men den påstand kom under beskydning efter det påståede LockBit-læk. GPAA sagde i et offentligt indlæg den 21. februar, at det lukkede systemer og isolerede de potentielt berørte systemer som svar på, hvad det karakteriserede som et forsøg på at "få uautoriseret adgang til GEPF-systemer."

Agenturet sagde, at dets administrationssystem ikke var blevet brudt.

"Det ser ud til, at de rigtige skridt er blevet taget for at sikre datasikkerheden efter hændelsen ved at sikre de kompromitterede servere," siger Matt Aldridge, hovedløsningskonsulent hos OpenText Cybersecurity. "Men hændelsen rejser bekymringer om den overordnede sikkerhedsposition og modstandsdygtighed i organisationens systemer."

Efterspillet til Operation Cronos

Det tilsyneladende angreb mod GPAA kommer kun få uger efter Operation Cronos nedtagning, en retshåndhævelsesledet indsats for at forstyrre driften af ​​LockBit og dets ransomware-as-a-service tilknyttede selskaber.

LockBit og dets partnere tog et slag fra denne handling, men har siden genoptaget angreb ved hjælp af nye krypteringer og en genopbygget infrastruktur, inklusive en nyt lækagested.

Amir Sadon, forskningsdirektør hos Sygnia, et konsulentfirma for hændelsesrespons, siger, at LockBit også har oprettet et nyt datalækagested og rekrutterer "erfarne pennetestere."

"LockBits hurtige tilpasning understreger udfordringerne ved permanent at neutralisere cybertrusler, især dem med sofistikerede operationelle og organisatoriske kapaciteter," bemærker han.

Andre eksperter advarer om, at lækagen af ​​data fra GPAA kan stamme fra et angreb, der faktisk går forud for nedtagningen af ​​Operation Cronos den 19. februar, så det ville være overilet at udlede, at LockBit allerede er tilbage til fuld operationel styrke.

"The Government Pensions Administration Agency (GPAA) rapporterede et forsøg på brud den 16. februar - forud for meddelelsen om fjernelse," siger James Wilson, en efterretningsanalytiker for cybertrusler hos ReliaQuest. "Det er derfor plausibelt, at LockBit bruger et gammelt angreb som grundlag for denne påstand for at projicere billedet af, at de har bevaret deres trusselskapacitet."

LockBit er den mest produktive ransomware-gruppe globalt, og langt den mest aktive ransomware-bande i Sydafrika, der tegner sig for 42% af angrebene der i de sidste 12 måneder, ifølge Malwarebytes-forskning delt med Dark Reading.

Ransomware-grupper som LockBit forsøger at opbygge et brand for at tiltrække tilknyttede selskaber og sikre, at ofrene betaler. "Siden Operation Cronos har LockBit arbejdet hårdt på at genvinde tilknyttede selskabers tillid, så lækagen vil blive brugt som en måde at demonstrere, at de fortsætter 'business as usual'," siger Tim West, direktør, trussel intelligens og outreach hos WithSecure.

Ransomware-aktører som dem bag LockBit udnytter primært to teknikker til at infiltrere virksomheder: udnyttelse af legitime konti og målretning mod sårbarheder i offentlige applikationer.

De stjæler typisk kopier af et offers data, før de krypterer dem for at have to former for gearing under løsesumsforhandlinger. Så kræver de betaling til gengæld for dataene og truer med at frigive oplysningerne gennem lækagesider, hvis løsesum ikke betales.

Forhindring af Ransomware-angreb

At vedtage proaktive forsvarsstrategier er afgørende for at forsvare sig mod den voksende trussel, som ransomware-angreb udgør. Tilføjelse af multifaktorautentificering (MFA) tilføjer f.eks. et ekstra verifikationstrin, hvilket komplicerer angribernes bestræbelser på at udnytte kompromitterede konti eller sårbarheder.

Opdaterede sikkerhedskopier, der regelmæssigt testes, endpoint-beskyttelse og trusselsdetektionsfunktioner styrker alle systemer mod et ransomware-angreb. Og håndtering af sårbarheder og afbødning af deres potentielle indvirkning, før de kan lappes, hærder også systemerne mod ransomware.

Christiaan Beek, seniordirektør for trusselsanalyse hos Rapid7, siger, at "at opretholde tilsyn med firewalls og VPN'er er afgørende, da de præsenterer tiltalende adgangspunkter for uautoriseret adgang."

Beek tilføjer, at styring og administrative grænseflader af offentligt vendte applikationer også skal sikres.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cyberattacks-data-breaches/south-african-government-pension-data-leak-fears-spark-probe