Etelä-Afrikan hallituksen eläketietovuoto pelkää Spark Probe

Etelä-Afrikan hallituksen virkamiehet tutkivat raportteja, joiden mukaan lunnasohjelmajoukko varasti ja sitten vuoti verkkoon 668 Gt arkaluonteista tietoa kansaneläketiedot.

Valtion eläkelaitoksen (GPAA) tietojen väitettyä kompromisseja 11. maaliskuuta ei ole vielä vahvistettu julkisesti, mutta tapaus on jo tehnyt kansallisia uutisia Etelä-Afrikassa. Etelä-Afrikan hallituksen työntekijöiden eläkerahasto (GEPF) ryhtyi tutkimaan pahamaineisen LockBit-verkkorikollisjoukon väitteitä.

GEPF on Etelä-Afrikan huippueläkesäätiö, jonka asiakkaita ovat 1.2 miljoonaa nykyistä valtion työntekijää sekä 473,000 XNUMX eläkeläistä ja muuta edunsaajaa.

"GEPF tekee yhteistyötä GPAA:n ja sen valvontaviranomaisen, National Treasuryn, kanssa selvittääkseen ilmoitetun tietomurron todenperäisyyden ja vaikutuksen ja toimittaa lisäpäivityksen aikanaan", eläkerahasto selitti julkisessa lausunnossa.

Ei kunnolla suojattu?

GPAA:n kerrotaan vakuuttaneen GEPF:lle, että se on toiminut järjestelmien turvaamiseksi rikkomistukinnan aikana. Alustavat tutkimukset viittaavat kuitenkin siihen, että LockBit-vaatimukset voivat liittyä a GPAA:n kokema turvallisuushäiriö helmikuussa.

Virasto väitti, että yritys murtautua sen järjestelmiin 16. helmikuuta epäonnistui, mutta väite joutui tulen kohteeksi väitetyn LockBit-vuodon jälkeen. GPAA sanoi julkisessa viestissä 21. helmikuuta, että se sulki järjestelmät ja eristi mahdollisesti vaikuttaneet järjestelmät vastauksena siihen, mitä se luonnehti yritykseksi "saada luvaton pääsy GEPF-järjestelmiin".

Viraston mukaan sen hallintojärjestelmää ei ollut rikottu.

"Näyttää siltä, ​​että oikeisiin toimenpiteisiin on ryhdytty tietoturvallisuuden varmistamiseksi tapahtuman jälkeen turvaamalla vaarantuneet palvelimet", sanoo Matt Aldridge, OpenText Cybersecurityn tärkein ratkaisukonsultti. "Tapaus kuitenkin herättää huolta organisaation järjestelmien yleisestä turva-asennosta ja kestävyydestä."

Operaatio Cronosin seuraukset

Näennäinen hyökkäys GPAA:ta vastaan ​​tulee vain viikkoja sen jälkeen Operaatio Cronos poistaminen, lainvalvontaviranomaisten johtama yritys häiritä LockBitin ja sen ransomware-as-a-service -tytäryhtiöiden toimintaa.

LockBit ja sen kumppanit saivat iskun tästä toiminnasta, mutta ovat sittemmin jatkaneet hyökkäyksiä käyttämällä uusia salauslaitteita ja uudelleen rakennettua infrastruktuuria, mukaan lukien uusi vuotopaikka.

Sygnian tutkimusjohtaja Amir Sadon kertoo, että LockBit perusti myös uuden tietovuotosivuston ja rekrytoi "kokeneita kynätestaajia".

"LockBitin nopea sopeutuminen korostaa kyberuhkien pysyvän neutraloinnin haasteita, erityisesti niitä, joilla on kehittyneitä toiminnallisia ja organisatorisia ominaisuuksia", hän huomauttaa.

Muut asiantuntijat varoittavat, että GPAA:n tietojen vuotaminen voi johtua hyökkäyksestä, joka tapahtui itse asiassa ennen helmikuun 19. päivän Operation Cronos -poistoa, joten olisi hätiköityä päätellä, että LockBit on jo palannut täyteen toimintakuntoon.

"Government Pensions Administration Agency (GPAA) ilmoitti loukkausyrityksestä 16. helmikuuta – ennen poistoilmoitusta", sanoo James Wilson, ReliaQuestin kyberuhkien tiedusteluanalyytikko. "Siksi on todennäköistä, että LockBit käyttää vanhaa hyökkäystä tämän väitteen perustana projisoidakseen kuvan, että he ovat säilyttäneet uhkakykynsä."

LockBit on maailman tuottelias kiristysohjelmaryhmä ja ylivoimaisesti aktiivisin kiristysohjelmaryhmä Etelä-Afrikassa, ja sen osuus on 42 % hyökkäyksistä siellä viimeisen 12 kuukauden aikana, Malwarebytesin ja Dark Readingin kanssa jaetun tutkimuksen mukaan.

Ransomware-ryhmät, kuten LockBit, yrittävät rakentaa brändiä houkutellakseen tytäryhtiöitä ja varmistaakseen, että uhrit maksavat. "Operaatio Cronosista lähtien LockBit on työskennellyt lujasti saadakseen [takaisin] tytäryhtiöiden luottamuksen, joten vuotoa käytetään tapana osoittaa, että ne jatkavat "toimintaa normaalisti", sanoo Tim West, uhkajohtaja. älykkyyttä ja tavoitettavuutta WithSecurella.

Ransomware-toimijat, kuten LockBitin takana olevat, hyödyntävät pääasiassa kahta tekniikkaa soluttautuakseen yrityksiin: hyödyntävät laillisia tilejä ja kohdistavat haavoittuvuuksia julkisissa sovelluksissa.

He varastavat tyypillisesti kopioita uhrin tiedoista ennen kuin ne salaavat ne saadakseen kahdenlaista vipuvaikutusta lunnaita koskevien neuvottelujen aikana. Sitten he vaativat maksua vastineeksi tiedoista ja uhkaavat tietojen julkistamisesta vuotosivustojen kautta, jos lunnaita ei makseta.

Ransomware-hyökkäysten estäminen

Ennakoivien puolustusstrategioiden omaksuminen on ratkaisevan tärkeää lunnasohjelmahyökkäysten aiheuttamaa kasvavaa uhkaa vastaan ​​puolustautumisessa. Esimerkiksi monitekijätodennuksen (MFA) lisääminen lisää ylimääräisen vahvistusvaiheen, mikä vaikeuttaa hyökkääjien pyrkimyksiä hyödyntää vaarantuneita tilejä tai haavoittuvuuksia.

Ajantasaiset varmuuskopiot, jotka testataan säännöllisesti, päätepisteiden suojaus ja uhkien havaitsemisominaisuudet vahvistavat järjestelmiä lunnasohjelmien hyökkäyksiä vastaan. Ja haavoittuvuuksien hallinta ja niiden mahdollisten vaikutusten lieventäminen ennen kuin ne voidaan korjata, myös kovettaa järjestelmiä lunnasohjelmia vastaan.

Christiaan Beek, Rapid7:n uhanalytiikan vanhempi johtaja, sanoo, että "palomuurien ja VPN-verkkojen valvonnan ylläpitäminen on elintärkeää, koska ne tarjoavat houkuttelevia sisäänkäyntipisteitä luvattomalle käytölle."

Beek lisää, että myös julkisten sovellusten hallinta- ja hallinnolliset rajapinnat on suojattava.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyberattacks-data-breaches/south-african-government-pension-data-leak-fears-spark-probe