US-Gesetzgeber sehen sich Cyberangriffen und potenziellen körperlichen Schäden nach Verletzung der DC-Gesundheitsverbindung gegenüber

Hunderte von US-Gesetzgebern und ihre Familien sind dem Risiko von Identitätsdiebstahl, Finanzbetrug und möglicherweise sogar körperlichen Bedrohungen ausgesetzt, nachdem ein bekannter Bedrohungsakteur für Informationsdiebstahl namens IntelBroker die personenbezogenen Daten (PII) von Mitgliedern des Repräsentantenhauses zum Verkauf auf der „ Breached“ Kriminalforum.

Die Informationen, von denen bestätigt wurde, dass sie durch einen Verstoß auf dem Krankenversicherungsmarktplatz DC Health Link erlangt wurden, umfassen Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen und andere sensible Identifizierungsinformationen. Die Daten über die Mitglieder des Repräsentantenhauses waren Teil eines größeren Datensatzes mit personenbezogenen Daten von mehr als 170,000 bei DC Health Link registrierten Personen, die der Bedrohungsakteur diese Woche zum Verkauf angeboten hat.

DC Health Link: Ein signifikanter Verstoß

In einer E-Mail vom 8. März an Mitglieder des Repräsentantenhauses und ihre Mitarbeiter sagte Catherine Szpindor, Chief Administrative Officer des US-Repräsentantenhauses, dass der Angriff auf DC Health Link offenbar nicht speziell auf US-Gesetzgeber abzielte. Aber die Verletzung war erheblich und potenziell PII bei Tausenden von Personen offengelegt, die bei DC Health Link registriert sind.

„Das FBI hat uns auch darüber informiert, dass sie diese personenbezogenen Daten zusammen mit anderen Informationen über registrierte Personen im Dark Web erwerben konnten“, sagte der Sprecher des Repräsentantenhauses Kevin McCarthy (R-Calif.) und der Minority Leader des Repräsentantenhauses, Hakeem Jeffries (DN.Y. ) sagte in einem gemeinsamen Brief an den Geschäftsführer von DC Health Link am 8. März. In dem Schreiben wurde nach Einzelheiten der Gesundheitsbörse zu dem Verstoß gefragt, einschließlich Einzelheiten zum vollständigen Umfang des Angriffs und zu den Plänen von DC Health Link, betroffene Personen zu benachrichtigen und ihnen Kreditüberwachungsdienste anzubieten.

Trotz des Schreibens sind Details des Eindringens bei DC Health Link noch nicht verfügbar. Die Organisation, die von einem vom Bürgermeister von DC ernannten Vorstand geleitet wird, reagierte nicht sofort auf eine Bitte um Stellungnahme zu dem Vorfall.

Ein Bericht in BleepingComputer diese Woche zuerst den Bedrohungsakteur identifiziert als der entsprechend benannte IntelBroker, nachdem die Cyberkriminellen die gestohlenen Daten am 6. März zum Verkauf angeboten hatten. Laut der Anzeige im Untergrundforum ist der Datensatz für „einen nicht genannten Betrag in der Kryptowährung Monero“ erhältlich. Interessenten werden gebeten, die Verkäufer über einen Zwischenhändler für Details zu kontaktieren.

Zusammenfassung früherer Verstöße von IntelBroker

Dies ist nicht der erste große Überfall für die Gruppe: Ein Bedrohungsakteur, der im Februar denselben Spitznamen verwendete, hatte sich für einen Verstoß bei Weee!, einem asiatischen und hispanischen Lebensmittellieferdienst, verantwortlich gemacht. IntelBroker hat später etwa 1.1 Millionen eindeutige E-Mail-Adressen und detaillierte Informationen zu über 11.3 Millionen Bestellungen, die über den Dienst aufgegeben wurden, durchsickern lassen. 

Sicherheitsanbieter BitDefender, der deckte den Vorfall ab veröffentlichte damals in seinem Blog eine Anzeige, die IntelBroker auf BreachedForums platzierte und die den Angreifer zeigte, der damit prahlte, vollständige Namen, E-Mail-Adressen, Telefonnummern und sogar Bestellnotizen zu erhalten, die Zugangscodes für Wohnungen und Gebäude enthielten.

Unterdessen sagt Chris Strand, Chief Risk and Compliance Officer bei Cybersixgill, dass sein Unternehmen IntelBroker seit 2022 verfolgt und im Begriff ist, einen Bericht über den Schauspieler zu veröffentlichen. „IntelBroker ist ein sehr aktives Breached-Mitglied mit einer Reputationsbewertung von 9/10, das in der Vergangenheit behauptete, der Entwickler von Endurance-Ransomware zu sein“, sagt Strand.

Die Verwendung von Breached durch IntelBroker zum Verkauf der PII des Gesundheitsaustauschs anstelle einer dedizierten Leckage-Site oder eines Telegram-Kanals steht im Einklang mit der früheren Taktik des Bedrohungsakteurs. Es deutet entweder auf einen Mangel an Ressourcen oder Unerfahrenheit auf Seiten des Einzelnen hin, sagt Strand. 

„Zusätzlich zur Präsenz von IntelBroker auf Breached hat der Bedrohungsakteur ein öffentliches GitHub-Repository mit dem Titel Endurance-Wiper unterhalten“, sagt er gegenüber Dark Reading.

Im November behauptete IntelBroker, dass es Endurance verwendet habe, um Daten von hochrangigen US-Regierungsbehörden zu stehlen, bemerkt Strand. Der Bedrohungsakteur hat insgesamt etwa 13 Behauptungen über den Verstoß gegen führende US-Regierungsbehörden aufgestellt, was wahrscheinlich Kunden für ein Ransomware-as-a-Service (RaaS)-Programm gewinnen wird. Andere Organisationen, in die IntelBroker angeblich eingebrochen ist, sind Volvo, der Kult-Schuhhersteller Dr. Martens und eine indonesische Tochtergesellschaft von The Body Shop.

„Unsere Geheimdienstanalysten verfolgen IntelBroker seit 2022, und seitdem sammeln wir Informationen, die diesem Bedrohungsakteur zugeschrieben werden, sowie damit verbundene Bedrohungen, die mit IntelBroker in Verbindung stehen oder IntelBroker zugeschrieben werden“, sagt Strand.

Ist die PII der Hausmitglieder eine nationale Sicherheitsbedrohung?

Justin Fier, Senior Vice President of Red Team Operations bei Darktrace, sagt, der Grund des Bedrohungsakteurs, die Daten zum Verkauf anzubieten, scheint rein finanziell und nicht politisch motiviert zu sein. Und angesichts des Bekanntheitsgrades der Opfer stellt IntelBroker möglicherweise fest, dass die Aufmerksamkeit, die der Verstoß erregt, den Wert der gestohlenen Daten erhöht (oder mehr Aufsehen erregt, als ihm lieb ist).

Die Käufer könnten eine andere Geschichte sein. Angesichts der Verfügbarkeit physischer Adressen und elektronischer Kontaktinformationen sind die Arten potenzieller Folgeangriffe vielfältig und reichen von Social Engineering für Identitätsdiebstahl oder Spionage bis hin zu physischem Targeting, was bedeutet, dass die Motivation der interessierten Parteien vielfältig sein kann.

„Der Betrag sagt viel darüber aus, an wen sie als Käufer denken“, sagt er. Wenn der Bedrohungsakteur am Ende nur ein paar tausend Dollar verlangt, handelt es sich wahrscheinlich um ein kleineres kriminelles Unternehmen. Aber „man fängt an, von Millionen zu sprechen, dann richten sie sich eindeutig an nationalstaatliche Käufer“, sagt er.

Fier schätzt ein, dass die Daten, die der Bedrohungsakteur über Mitglieder des US-Repräsentantenhauses gestohlen hat, möglicherweise ein Problem für die nationale Sicherheit darstellen. „Wir sollten nicht nur an externe Nationalstaaten denken, die das kaufen wollen“, sagt Fier. „Wer sagt, dass andere politische Parteien und/oder Aktivisten es nicht zur Waffe machen könnten?“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.darkreading.com/application-security/us-lawmakers-cyberattacks-physical-harm-dc-health-link-breach