La fuga di dati sulle pensioni del governo sudafricano teme la scintilla della sonda

Funzionari del governo sudafricano stanno indagando sulle segnalazioni secondo cui un gruppo di ransomware avrebbe rubato e poi diffuso online 668 GB di dati sensibili dati pensionistici nazionali.

La presunta compromissione dei dati dell'11 marzo dell'Agenzia governativa per l'amministrazione delle pensioni (GPAA) non è stata ancora confermata pubblicamente, ma l'incidente ha già fatto parlare di sé notizie nazionali in Sud Africa. Il Fondo pensione dei dipendenti governativi sudafricani (GEPF) è intervenuto per indagare sulle affermazioni della famigerata banda di criminali informatici LockBit.

GEPF è uno dei principali fondi pensione del Sud Africa, tra i cui clienti figurano 1.2 milioni di attuali dipendenti pubblici e 473,000 pensionati e altri beneficiari.

"Il GEPF sta collaborando con la GPAA e la sua autorità di controllo, il Tesoro Nazionale, per stabilire la veridicità e l'impatto della violazione dei dati segnalata e fornirà un ulteriore aggiornamento a tempo debito", ha spiegato il fondo pensione in una dichiarazione pubblica.

Non adeguatamente protetto?

Secondo quanto riferito, la GPAA ha rassicurato il GEPF di aver agito per proteggere i sistemi mentre era in corso l'indagine sulla violazione. Tuttavia, dalle indagini preliminari emerge che le pretese LockBit potrebbero essere correlate a a incidente di sicurezza riscontrato dalla GPAA a febbraio.

L'agenzia ha affermato che il tentativo di hackerare i suoi sistemi il 16 febbraio non ha avuto successo, ma tale affermazione è stata criticata dopo la presunta fuga di dati di LockBit. La GPAA ha affermato in un post pubblico del 21 febbraio di aver spento i sistemi e isolato quelli potenzialmente interessati in risposta a quello che ha definito un tentativo di "ottenere accesso non autorizzato ai sistemi GEPF".

L’agenzia ha affermato che il suo sistema amministrativo non è stato violato.

"Sembra che siano state adottate le misure giuste per garantire la sicurezza dei dati in seguito all'incidente, proteggendo i server compromessi", afferma Matt Aldridge, principale consulente per le soluzioni presso OpenText Cybersecurity. "Tuttavia, l'incidente solleva preoccupazioni circa la situazione generale di sicurezza e la resilienza dei sistemi dell'organizzazione."

Conseguenze dell'operazione Cronos

L'apparente attacco contro la GPAA arriva poche settimane dopo l'attacco Smantellamento dell'operazione Cronos, uno sforzo guidato dalle forze dell'ordine per interrompere le operazioni di LockBit e dei suoi affiliati ransomware-as-a-service.

LockBit e i suoi partner hanno subito un duro colpo da questa azione, ma da allora hanno ripreso gli attacchi utilizzando nuovi crittografi e un'infrastruttura ricostruita, incluso un nuovo sito di perdita.

Amir Sadon, direttore della ricerca presso Sygnia, una società di consulenza in risposta agli incidenti, afferma che LockBit ha anche creato un nuovo sito di fuga di dati e sta reclutando “pen tester esperti”.

"Il rapido adattamento di LockBit sottolinea le sfide legate alla neutralizzazione permanente delle minacce informatiche, in particolare quelle con sofisticate capacità operative e organizzative", osserva.

Altri esperti avvertono che la fuga di dati dalla GPAA potrebbe derivare da un attacco che in realtà precede la rimozione dell'operazione Cronos del 19 febbraio, quindi sarebbe avventato dedurre che LockBit sia già tornato alla piena operatività.

"La Government Pensions Administration Agency (GPAA) ha segnalato un tentativo di violazione il 16 febbraio, prima dell'annuncio della rimozione", afferma James Wilson, analista di intelligence sulle minacce informatiche presso ReliaQuest. "È quindi plausibile che LockBit utilizzi un vecchio attacco come base per questa affermazione per dare l'immagine di aver mantenuto la propria capacità di minaccia."

LockBit è il gruppo di ransomware più prolifico a livello globale e di gran lunga la banda di ransomware più attiva in Sud Africa, responsabile del 42% degli attacchi negli ultimi 12 mesi, secondo una ricerca di Malwarebytes condivisa con Dark Reading.

Gruppi di ransomware come LockBit cercano di costruire un marchio per attirare affiliati e garantire che le vittime paghino. "Dall'operazione Cronos, LockBit avrà lavorato duro per [ri]guadagnare la fiducia degli affiliati, quindi la fuga di notizie verrà utilizzata come un modo per dimostrare che stanno continuando 'business as usual'", afferma Tim West, direttore di Threat intelligenza e sensibilizzazione presso WithSecure.

Gli autori di ransomware come quelli dietro LockBit sfruttano principalmente due tecniche per infiltrarsi nelle aziende: sfruttare account legittimi e prendere di mira le vulnerabilità nelle applicazioni rivolte al pubblico.

Solitamente rubano copie dei dati di una vittima prima di crittografarli per avere due forme di leva finanziaria durante le trattative di riscatto. Poi chiedono il pagamento in cambio dei dati, minacciando il rilascio delle informazioni attraverso siti di fuga di notizie se non viene pagato il riscatto.

Contrastare gli attacchi ransomware

L’adozione di strategie di difesa proattiva è fondamentale per difendersi dalla crescente minaccia rappresentata dagli attacchi ransomware. Ad esempio, l'aggiunta dell'autenticazione a più fattori (MFA) aggiunge un ulteriore passaggio di verifica, complicando gli sforzi degli aggressori volti a sfruttare account o vulnerabilità compromessi.

Backup aggiornati e regolarmente testati, protezione degli endpoint e funzionalità di rilevamento delle minacce rafforzano i sistemi contro gli attacchi ransomware. Inoltre, la gestione delle vulnerabilità e la mitigazione del loro potenziale impatto prima che possano essere applicate le patch rafforzano anche i sistemi contro i ransomware.

Christiaan Beek, direttore senior dell'analisi delle minacce presso Rapid7, afferma che "mantenere la supervisione di firewall e VPN è fondamentale, poiché rappresentano punti di ingresso allettanti per l'accesso non autorizzato".

Beek aggiunge che anche le interfacce amministrative e di gestione delle applicazioni rivolte al pubblico devono essere protette.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/south-african-government-pension-data-leak-fears-spark-probe