Νοτιοαφρικανική Κυβέρνηση Συνταξιοδοτικών Δεδομένων Φόβοι διαρροής Spark Probe

Αξιωματούχοι της κυβέρνησης της Νότιας Αφρικής ερευνούν αναφορές ότι μια συμμορία ransomware έκλεψε και στη συνέχεια διέρρευσε στο διαδίκτυο 668 GB ευαίσθητων εθνικά συνταξιοδοτικά στοιχεία.

Ο υποτιθέμενος συμβιβασμός των δεδομένων της Κυβερνητικής Υπηρεσίας Διαχείρισης Συντάξεων (GPAA) στις 11 Μαρτίου δεν έχει ακόμη επιβεβαιωθεί δημόσια, αλλά το περιστατικό έχει ήδη γίνει εθνικές ειδήσεις στη Νότια Αφρική. Το Ταμείο Συντάξεων Υπαλλήλων της Νότιας Αφρικής (GEPF) παρενέβη για να διερευνήσει τις αξιώσεις της διαβόητης συμμορίας εγκλήματος στον κυβερνοχώρο LockBit.

Το GEPF είναι ένα κορυφαίο συνταξιοδοτικό ταμείο στη Νότια Αφρική, στους πελάτες του οποίου περιλαμβάνονται 1.2 εκατομμύρια σημερινοί δημόσιοι υπάλληλοι καθώς και 473,000 συνταξιούχοι και άλλοι δικαιούχοι.

«Το GEPF συνεργάζεται με την GPAA και την εποπτική αρχή της, το Εθνικό Υπουργείο Οικονομικών, για να διαπιστωθεί η ακρίβεια και ο αντίκτυπος της αναφερόμενης παραβίασης δεδομένων και θα παράσχει περαιτέρω ενημέρωση σε εύθετο χρόνο», εξήγησε το συνταξιοδοτικό ταμείο σε δημόσια δήλωση.

Δεν είναι σωστά ασφαλισμένο;

Η GPAA φέρεται να διαβεβαίωσε το GEPF ότι ενήργησε για την ασφάλεια των συστημάτων ενώ βρισκόταν σε εξέλιξη η έρευνα για την παραβίαση. Ωστόσο, οι προκαταρκτικές έρευνες δείχνουν ότι οι αξιώσεις LockBit μπορεί να σχετίζονται με α περιστατικό ασφαλείας που βίωσε η GPAA τον Φεβρουάριο.

Ο οργανισμός ισχυρίστηκε ότι μια απόπειρα εισβολής στα συστήματά του στις 16 Φεβρουαρίου ήταν ανεπιτυχής, αλλά αυτός ο ισχυρισμός δέχθηκε πυρά μετά την υποτιθέμενη διαρροή LockBit. Η GPAA ανέφερε σε δημόσια ανάρτηση στις 21 Φεβρουαρίου ότι έκλεισε τα συστήματα και απομόνωσε τα δυνητικά επηρεαζόμενα συστήματα ως απάντηση σε αυτό που χαρακτήρισε ως απόπειρα "απόκτησης μη εξουσιοδοτημένης πρόσβασης στα συστήματα GEPF".

Η υπηρεσία είπε ότι το σύστημα διαχείρισής της δεν είχε παραβιαστεί.

«Φαίνεται ότι έχουν ληφθεί τα σωστά βήματα για να διασφαλιστεί η ασφάλεια των δεδομένων μετά το περιστατικό με την ασφάλιση των διακομιστών που έχουν παραβιαστεί», λέει ο Matt Aldridge, κύριος σύμβουλος λύσεων στο OpenText Cybersecurity. «Ωστόσο, το περιστατικό εγείρει ανησυχίες σχετικά με τη συνολική θέση ασφαλείας και την ανθεκτικότητα των συστημάτων του οργανισμού».

Επακόλουθα της επιχείρησης Cronos

Η προφανής επίθεση κατά του GPAA έρχεται λίγες εβδομάδες μετά την Κατάργηση της επιχείρησης Cronos, μια προσπάθεια που καθοδηγείται από τις αρχές επιβολής του νόμου για να διακοπεί η λειτουργία του LockBit και των θυγατρικών του ransomware-as-a-service.

Το LockBit και οι συνεργάτες του δέχτηκαν ένα πλήγμα από αυτήν την ενέργεια, αλλά έκτοτε έχουν επαναλάβει επιθέσεις χρησιμοποιώντας νέους κρυπτογραφητές και μια ανακατασκευασμένη υποδομή, συμπεριλαμβανομένου ενός νέα τοποθεσία διαρροής.

Ο Amir Sadon, διευθυντής έρευνας στη Sygnia, μια εταιρεία συμβούλων αντιμετώπισης περιστατικών, λέει ότι η LockBit δημιούργησε επίσης έναν νέο ιστότοπο διαρροής δεδομένων και στρατολογεί «έμπειρους δοκιμαστές στυλό».

«Η ταχεία προσαρμογή του LockBit υπογραμμίζει τις προκλήσεις της μόνιμης εξουδετέρωσης των απειλών στον κυβερνοχώρο, ειδικά εκείνων με εξελιγμένες επιχειρησιακές και οργανωτικές δυνατότητες», σημειώνει.

Άλλοι ειδικοί προειδοποιούν ότι η διαρροή δεδομένων από το GPAA μπορεί να προέρχεται από μια επίθεση που προηγείται της κατάργησης της Επιχείρησης Cronos στις 19 Φεβρουαρίου, επομένως θα ήταν βιαστικό να συμπεράνουμε ότι το LockBit έχει ήδη επιστρέψει σε πλήρη λειτουργική ισχύ.

«Η Κυβερνητική Υπηρεσία Διαχείρισης Συντάξεων (GPAA) ανέφερε απόπειρα παραβίασης στις 16 Φεβρουαρίου — πριν από την ανακοίνωση κατάργησης», λέει ο James Wilson, αναλυτής πληροφοριών για απειλές στον κυβερνοχώρο της ReliaQuest. "Ως εκ τούτου, είναι εύλογο ότι η LockBit χρησιμοποιεί μια παλιά επίθεση ως βάση αυτού του ισχυρισμού, προκειμένου να προβάλει την εικόνα ότι διατήρησε την ικανότητα απειλής."

Το LockBit είναι η πιο παραγωγική ομάδα ransomware παγκοσμίως και μακράν η πιο ενεργή συμμορία ransomware στη Νότια Αφρική, αντιπροσωπεύοντας το 42% των επιθέσεων εκεί τους τελευταίους 12 μήνες, σύμφωνα με έρευνα της Malwarebytes που κοινοποιήθηκε στο Dark Reading.

Ομάδες ransomware όπως το LockBit προσπαθούν να δημιουργήσουν μια επωνυμία για να προσελκύσουν θυγατρικές και να εξασφαλίσουν ότι τα θύματα πληρώνουν. «Από την Επιχείρηση Cronos, η LockBit θα έχει εργαστεί σκληρά για να [ξανα]κερδίσει την εμπιστοσύνη των θυγατρικών, επομένως η διαρροή θα χρησιμοποιηθεί ως τρόπος για να αποδείξει ότι συνεχίζουν το «business as usual»», λέει ο Tim West, διευθυντής, απειλή. ευφυΐα και προσέγγιση στο WithSecure.

Οι φορείς ransomware, όπως αυτοί που βρίσκονται πίσω από το LockBit, εκμεταλλεύονται κυρίως δύο τεχνικές για να διεισδύσουν σε εταιρείες: τη μόχλευση νόμιμων λογαριασμών και τη στόχευση τρωτών σημείων σε εφαρμογές που αντιμετωπίζουν το κοινό.

Συνήθως κλέβουν αντίγραφα των δεδομένων ενός θύματος προτού τα κρυπτογραφήσουν για να έχουν δύο μορφές μόχλευσης κατά τις διαπραγματεύσεις για λύτρα. Στη συνέχεια, ζητούν πληρωμή σε αντάλλαγμα για τα δεδομένα, απειλώντας την αποδέσμευση των πληροφοριών μέσω ιστότοπων διαρροής εάν δεν καταβληθούν λύτρα.

Αποτροπή επιθέσεων Ransomware

Η υιοθέτηση στρατηγικών προληπτικής άμυνας είναι ζωτικής σημασίας για την άμυνα ενάντια στην αυξανόμενη απειλή που δημιουργείται από επιθέσεις ransomware. Για παράδειγμα, η προσθήκη ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) προσθέτει ένα επιπλέον βήμα επαλήθευσης, περιπλέκοντας τις προσπάθειες των εισβολέων να εκμεταλλευτούν παραβιασμένους λογαριασμούς ή ευπάθειες.

Τα ενημερωμένα αντίγραφα ασφαλείας που ελέγχονται τακτικά, η προστασία τελικού σημείου και οι δυνατότητες ανίχνευσης απειλών ενισχύουν τα συστήματα έναντι μιας επίθεσης ransomware. Και η διαχείριση των τρωτών σημείων και ο μετριασμός των πιθανών επιπτώσεών τους προτού επιδιορθωθούν, σκληραίνει επίσης τα συστήματα έναντι ransomware.

Ο Christiaan Beek, ανώτερος διευθυντής ανάλυσης απειλών στο Rapid7, λέει ότι «η διατήρηση της επίβλεψης των τείχη προστασίας και των VPN είναι ζωτικής σημασίας, καθώς παρουσιάζουν ελκυστικά σημεία εισόδου για μη εξουσιοδοτημένη πρόσβαση».

Ο Beek προσθέτει ότι οι διεπαφές διαχείρισης και διαχείρισης των εφαρμογών που αντιμετωπίζουν το κοινό πρέπει επίσης να είναι ασφαλείς.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cyberattacks-data-breaches/south-african-government-pension-data-leak-fears-spark-probe