Une fuite de données sur les retraites du gouvernement sud-africain craint une enquête

Des responsables du gouvernement sud-africain enquêtent sur des informations selon lesquelles un groupe de ransomwares aurait volé puis divulgué en ligne 668 Go de données sensibles. données sur les retraites nationales.

La prétendue compromission des données de l'Agence d'administration des pensions du gouvernement (GPAA) le 11 mars n'a pas encore été confirmée publiquement, mais l'incident a déjà fait surface. nouvelles nationales en Afrique du Sud. Le Fonds de pension des employés du gouvernement sud-africain (GEPF) est intervenu pour enquêter sur les allégations du célèbre gang de cybercriminalité LockBit.

GEPF est l'un des principaux fonds de pension d'Afrique du Sud, dont les clients comprennent 1.2 million d'employés gouvernementaux actuels ainsi que 473,000 XNUMX retraités et autres bénéficiaires.

"Le GEPF s'engage avec la GPAA et son autorité de surveillance, le Trésor national, pour établir la véracité et l'impact de la violation de données signalée et fournira une nouvelle mise à jour en temps voulu", a expliqué le fonds de pension dans un communiqué public.

Pas correctement sécurisé ?

La GPAA aurait rassuré le GEPF sur le fait qu'elle avait agi pour sécuriser les systèmes pendant que l'enquête sur la violation était en cours. Toutefois, les enquêtes préliminaires suggèrent que les allégations de LockBit pourraient être liées à un incident de sécurité vécu par la GPAA en février.

L'agence a affirmé qu'une tentative de piratage de ses systèmes le 16 février avait échoué, mais cette affirmation a été critiquée après la prétendue fuite de LockBit. La GPAA a déclaré dans un message public du 21 février qu'elle avait arrêté les systèmes et isolé les systèmes potentiellement affectés en réponse à ce qu'elle qualifiait de tentative « d'obtenir un accès non autorisé aux systèmes du GEPF ».

L'agence a déclaré que son système administratif n'avait pas été violé.

« Il semble que les bonnes mesures aient été prises pour garantir la sécurité des données suite à l'incident en sécurisant les serveurs compromis », déclare Matt Aldridge, consultant principal en solutions chez OpenText Cybersecurity. "Cependant, l'incident soulève des inquiétudes quant à la sécurité globale et à la résilience des systèmes de l'organisation."

Suite de l'opération Cronos

L'attaque apparente contre la GPAA survient quelques semaines seulement après Démantèlement de l'opération Cronos, un effort mené par les forces de l'ordre pour perturber les opérations de LockBit et de ses filiales de ransomware-as-a-service.

LockBit et ses partenaires ont subi un coup dur de cette action mais ont depuis repris leurs attaques en utilisant de nouveaux chiffreurs et une infrastructure reconstruite, y compris un nouveau site de fuite.

Amir Sadon, directeur de recherche chez Sygnia, un cabinet de conseil en réponse aux incidents, affirme que LockBit a également mis en place un nouveau site de fuite de données et recrute des « testeurs d'écriture expérimentés ».

« L'adaptation rapide de LockBit souligne les défis liés à la neutralisation permanente des cybermenaces, en particulier celles dotées de capacités opérationnelles et organisationnelles sophistiquées », note-t-il.

D'autres experts préviennent que la fuite de données de la GPAA pourrait provenir d'une attaque antérieure au retrait de l'opération Cronos le 19 février. Il serait donc téméraire de déduire que LockBit a déjà retrouvé sa pleine puissance opérationnelle.

« L'Agence d'administration des pensions gouvernementales (GPAA) a signalé une tentative de violation le 16 février, avant l'annonce du retrait », explique James Wilson, analyste du renseignement sur les cybermenaces chez ReliaQuest. "Il est donc plausible que LockBit utilise une ancienne attaque comme base de cette affirmation afin de projeter l'image selon laquelle ils ont conservé leur capacité de menace."

LockBit est le groupe de ransomwares le plus prolifique au monde et de loin le gang de ransomwares le plus actif en Afrique du Sud, représentant 42 % des attaques dans ce pays au cours des 12 derniers mois, selon une étude de Malwarebytes partagée avec Dark Reading.

Les groupes de ransomware comme LockBit tentent de créer une marque pour attirer leurs affiliés et garantir que les victimes paient. « Depuis l'opération Cronos, LockBit aura travaillé dur pour [re]regagner la confiance de ses affiliés, la fuite sera donc utilisée comme un moyen de démontrer qu'ils poursuivent leurs activités comme d'habitude », a déclaré Tim West, directeur de la menace. renseignement et sensibilisation chez WithSecure.

Les auteurs de ransomwares tels que ceux à l'origine de LockBit exploitent principalement deux techniques pour infiltrer les entreprises : exploiter des comptes légitimes et cibler les vulnérabilités des applications publiques.

Ils volent généralement des copies des données d'une victime avant de les chiffrer pour disposer de deux formes d'influence lors des négociations de rançon. Ils exigent ensuite un paiement en échange des données, menaçant de divulguer les informations via des sites de fuite si la rançon n'est pas payée.

Contrecarrer les attaques de ransomwares

L’adoption de stratégies de défense proactives est cruciale pour se défendre contre la menace croissante posée par les attaques de ransomwares. Par exemple, l'ajout de l'authentification multifacteur (MFA) ajoute une étape de vérification supplémentaire, compliquant les efforts des attaquants pour exploiter des comptes ou des vulnérabilités compromis.

Des sauvegardes à jour régulièrement testées, une protection des points finaux et des capacités de détection des menaces renforcent tous les systèmes contre une attaque de ransomware. Et gérer les vulnérabilités et atténuer leur impact potentiel avant qu’elles puissent être corrigées renforce également les systèmes contre les ransomwares.

Christiaan Beek, directeur principal de l'analyse des menaces chez Rapid7, affirme que « maintenir la surveillance des pare-feu et des VPN est vital, car ils constituent des points d'entrée attrayants pour les accès non autorisés ».

Beek ajoute que les interfaces de gestion et d'administration des applications destinées au public doivent également être sécurisées.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cyberattacks-data-breaches/south-african-government-pension-data-leak-fears-spark-probe