Den sørafrikanske statens pensjonsdatalekkasje frykter gnistsonde

Sør-afrikanske myndighetspersoner undersøker rapporter om at en løsepengevare-gjeng stjal og deretter lekket 668 GB med sensitiv folkepensjonsdata.

Det påståtte kompromisset fra Government Pensions Administration Agency (GPAA) data 11. mars er ennå ikke offentlig bekreftet, men hendelsen har allerede gjort nasjonale nyheter i Sør-Afrika. South African Government Employees Pension Fund (GEPF) gikk inn for å etterforske påstandene fra den beryktede LockBit nettkriminalitetsgjengen.

GEPF er et topp pensjonsfond i Sør-Afrika, hvis kunder inkluderer 1.2 millioner nåværende statsansatte samt 473,000 XNUMX pensjonister og andre begunstigede.

"GEPF samarbeider med GPAA og dets tilsynsmyndighet, National Treasury, for å fastslå sannheten og virkningen av det rapporterte datainnbruddet og vil gi en ytterligere oppdatering etter hvert," forklarte pensjonsfondet i en offentlig uttalelse.

Ikke forsvarlig sikret?

GPAA har angivelig forsikret GEPF om at den har handlet for å sikre systemer mens bruddetterforskningen pågikk. Imidlertid antyder foreløpige undersøkelser at LockBit-kravene kan være relatert til en sikkerhetshendelse GPAA opplevde i februar.

Byrået hevdet et forsøk på å hacke seg inn i systemene sine den 16. februar var mislykket, men den påstanden kom under ild etter den påståtte LockBit-lekkasjen. GPAA sa i et offentlig innlegg 21. februar at de stengte systemene og isolerte de potensielt berørte systemene som svar på det den karakteriserte som et forsøk på å «få uautorisert tilgang til GEPF-systemer».

Byrået sa at administrasjonssystemet ikke hadde blitt brutt.

"Det ser ut som de riktige skrittene er tatt for å sikre datasikkerhet etter hendelsen ved å sikre de kompromitterte serverne," sier Matt Aldridge, hovedløsningskonsulent i OpenText Cybersecurity. "Hendelsen vekker imidlertid bekymring for den generelle sikkerhetsstillingen og motstandskraften til organisasjonens systemer."

Etterspillet til operasjon Cronos

Det tilsynelatende angrepet mot GPAA kommer bare uker etter Fjerning av operasjon Cronos, et lovhåndhevelsesledet forsøk på å forstyrre driften av LockBit og dets løsepengevare-som-en-tjeneste-tilknyttede selskaper.

LockBit og partnerne tok et slag fra denne handlingen, men har siden gjenopptatt angrep ved å bruke nye krypteringer og en gjenoppbygd infrastruktur, inkludert en nytt lekkasjested.

Amir Sadon, forskningsdirektør ved Sygnia, et konsulentselskap for respons på hendelser, sier at LockBit også har opprettet et nytt datalekkasjested og rekrutterer "erfarne pennetestere."

"LockBits raske tilpasning understreker utfordringene med å permanent nøytralisere cybertrusler, spesielt de med sofistikerte operasjonelle og organisatoriske evner," bemerker han.

Andre eksperter advarer om at lekkasjen av data fra GPAA kan stamme fra et angrep som faktisk var før operasjonen Cronos-nedtakelsen 19. februar, så det ville være forhastet å konkludere med at LockBit allerede er tilbake til full operativ styrke.

"The Government Pensions Administration Agency (GPAA) rapporterte et forsøk på brudd 16. februar - før kunngjøringen om fjerning," sier James Wilson, en etterretningsanalytiker for cybertrusler hos ReliaQuest. "Det er derfor plausibelt at LockBit bruker et gammelt angrep som grunnlag for denne påstanden for å projisere bildet av at de har opprettholdt sin trusselkapasitet."

LockBit er den mest produktive løsepengevaregruppen globalt, og den desidert mest aktive løsepengevaregjengen i Sør-Afrika, og står for 42 % av angrepene der de siste 12 månedene, ifølge Malwarebytes-undersøkelser delt med Dark Reading.

Ransomware-grupper som LockBit prøver å bygge en merkevare for å tiltrekke seg tilknyttede selskaper og for å sikre at ofrene betaler. "Siden operasjon Cronos har LockBit jobbet hardt for å [gjenvinne] tilliten til tilknyttede selskaper, så lekkasjen vil bli brukt som en måte å demonstrere at de fortsetter 'business as usual'," sier Tim West, direktør, trussel intelligens og oppsøkende kontakt hos WithSecure.

Ransomware-aktører som de bak LockBit utnytter først og fremst to teknikker for å infiltrere selskaper: utnytte legitime kontoer og målrette mot sårbarheter i offentlige applikasjoner.

De stjeler vanligvis kopier av et offers data før de krypterer dem for å ha to former for innflytelse under løsepengeforhandlinger. Deretter krever de betaling i retur for dataene, og truer med å frigi informasjonen gjennom lekkasjesider hvis løsepenger ikke betales.

Forhindrer ransomware-angrep

Å ta i bruk proaktive forsvarsstrategier er avgjørende for å forsvare seg mot den økende trusselen fra løsepengevareangrep. For eksempel, å legge til multifaktorautentisering (MFA) legger til et ekstra verifiseringstrinn, og kompliserer angripernes forsøk på å utnytte kompromitterte kontoer eller sårbarheter.

Oppdaterte sikkerhetskopier som testes regelmessig, endepunktbeskyttelse og trusseldeteksjonsfunksjoner styrker alle systemene mot et løsepenge-angrep. Og håndtering av sårbarheter og demping av deres potensielle innvirkning før de kan lappes, gjør også systemene hardere mot løsepengevare.

Christiaan Beek, seniordirektør for trusselanalyse hos Rapid7, sier "å opprettholde tilsyn med brannmurer og VPN-er er avgjørende, siden de presenterer tiltalende inngangspunkter for uautorisert tilgang."

Beek legger til at administrasjon og administrative grensesnitt for offentlige applikasjoner også må sikres.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyberattacks-data-breaches/south-african-government-pension-data-leak-fears-spark-probe