Lõuna-Aafrika valitsuse pensioniandmete lekkimine kardab sädemeid

Lõuna-Aafrika valitsusametnikud uurivad teateid selle kohta, et lunavararühm varastas ja seejärel lekitas võrku 668 GB tundlikku teavet. rahvapensioni andmed.

Valitsuse Pensionihaldusameti (GPAA) andmete väidetav kompromiteerimine 11. märtsil pole veel avalikult kinnitatud, kuid juhtum on juba teinud. national news in South Africa. The South African Government Employees Pension Fund (GEPF) stepped in to probe the claims by the notorious LockBit cybercrime gang.

GEPF on Lõuna-Aafrika kõrgeim pensionifond, mille klientide hulgas on 1.2 miljonit praegust riigiametnikku ning 473,000 XNUMX pensionäri ja muud kasusaajat.

“The GEPF is engaging with the GPAA and its oversight authority, the National Treasury, to establish the veracity and impact of the reported data breach and will provide a further update in due course,” the pension fund explained in a public statement.

Pole korralikult turvatud?

Väidetavalt kinnitas GPAA GEPF-ile, et ta on rikkumise uurimise ajal süsteemide turvamiseks tegutsenud. Esialgsed uuringud viitavad siiski sellele, et LockBiti väited võivad olla seotud a security incident the GPAA experienced veebruaris.

The agency claimed an attempt to hack into its systems on Feb. 16 was unsuccessful, but that claim came under fire after the alleged LockBit leak. GPAA said in a public post on Feb. 21 that it shut down systems and isolated the potentially affected systems in response to what it characterized as an attempt to “gain unauthorized access to GEPF systems.”

Agentuur teatas, et tema haldussüsteemi ei ole rikutud.

“It looks like the right steps have been taken to ensure data safety following the incident by securing the compromised servers,” says Matt Aldridge, principal solutions consultant at OpenText Cybersecurity. “However, the incident raises concerns about the overall security posture and resilience of the organization’s systems.”

Operatsiooni Cronos tagajärjed

Ilmne rünnak GPAA vastu toimub vaid nädalaid pärast seda Operatsioon Cronos mahavõtmine, õiguskaitseorganite juhitud jõupingutus, et häirida LockBiti ja selle lunavara-teenusena sidusettevõtete tegevust.

LockBit ja tema partnerid said sellest tegevusest löögi, kuid on pärast seda jätkanud rünnakuid, kasutades uusi krüptoreid ja ümberehitatud infrastruktuuri, sealhulgas uus lekkekoht.

Intsidentidele reageerimise nõustamisettevõtte Sygnia uuringute direktor Amir Sadon ütleb, et LockBit lõi ka uue andmelekke saidi ja värbab "kogenud pliiatsitestijaid".

"LockBiti kiire kohandamine rõhutab küberohtude püsiva neutraliseerimise väljakutseid, eriti keerukate tegevus- ja organisatsiooniliste võimalustega, " märgib ta.

Teised eksperdid hoiatavad, et andmete lekkimine GPAA-st võib tuleneda rünnakust, mis toimus tegelikult enne 19. veebruari operatsiooni Cronos mahavõtmist, mistõttu oleks tormakas järeldada, et LockBit on juba täies töövõimes.

“The Government Pensions Administration Agency (GPAA) reported an attempted breach on Feb. 16 — prior to the takedown announcement,” says James Wilson, a cyber threat intelligence analyst at ReliaQuest. “It is therefore plausible that LockBit are using an old attack as the basis of this claim in order to project the image that they have maintained their threat capacity.”

LockBit is the most prolific ransomware group globally, and by far the most active ransomware gang in South Africa, accounting for 42% of attacks there in the last 12 months, according to Malwarebytes research shared with Dark Reading.

Ransomware groups like LockBit try to build a brand to attract affiliates and to ensure victims pay up. “Since Operation Cronos, LockBit will have been working hard to [re]gain the trust of affiliates, so the leak will be used as a way to demonstrate that they are continuing ‘business as usual,'” says Tim West, director, threat intelligence and outreach at WithSecure.

Ransomware actors such as those behind LockBit primarily exploit two techniques to infiltrate companies: leveraging legitimate accounts and targeting vulnerabilities in public-facing applications.

Tavaliselt varastavad nad ohvri andmete koopiad enne, kui nad krüpteerivad, et saada lunaraha läbirääkimistel kahel viisil võimendust. Seejärel nõuavad nad andmete eest tasu, ähvardades teabe avaldamisega lekkesaitide kaudu, kui lunaraha ei maksta.

Lunavararünnakute takistamine

Adopting proactive defense strategies is crucial to defending against the growing threat posed by ransomware attacks. For example, adding multifactor authentication (MFA) adds an extra verification step, complicating attackers’ efforts to exploit compromised accounts or vulnerabilities.

Regulaarselt testitavad ajakohased varukoopiad, lõpp-punkti kaitse ja ohutuvastusvõimalused kindlustavad süsteeme lunavararünnakute vastu. Ning turvaaukude haldamine ja nende võimaliku mõju leevendamine enne, kui neid saab parandada, tugevdab süsteeme ka lunavara vastu.

Rapid7 ohuanalüütika vanemdirektor Christiaan Beek ütleb, et "tulemüüride ja VPN-ide järelevalve on ülioluline, kuna need pakuvad ahvatlevaid sisenemispunkte volitamata juurdepääsuks."

Beek adds that management and administrative interfaces of public-facing applications also must be secured.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyberattacks-data-breaches/south-african-government-pension-data-leak-fears-spark-probe