Temeri de scurgere de date privind pensiile guvernamentale din Africa de Sud Spark Probe

Temeri de scurgere de date privind pensiile guvernamentale din Africa de Sud Spark Probe

Marca temporală: 18 martie 2024 3:00 AM
South African Government Pension Data Leak Fears Spark Probe PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Oficialii guvernului din Africa de Sud investighează rapoarte conform cărora o bandă de ransomware a furat și apoi a scurs online 668 GB de informații sensibile. datele privind pensiile naționale.

Presupusul compromis al datelor Agenției Guvernamentale de Administrare a Pensiilor (GPAA) din 11 martie nu a fost încă confirmat public, dar incidentul a făcut deja national news in South Africa. The South African Government Employees Pension Fund (GEPF) stepped in to probe the claims by the notorious LockBit cybercrime gang.

GEPF este un fond de pensii de top din Africa de Sud, ai cărui clienți includ 1.2 milioane de angajați guvernamentali actuali, precum și 473,000 de pensionari și alți beneficiari.

“The GEPF is engaging with the GPAA and its oversight authority, the National Treasury, to establish the veracity and impact of the reported data breach and will provide a further update in due course,” the pension fund explained in a public statement.

Nu este securizat corespunzător?

Se pare că GPAA a asigurat GEPF că a acționat pentru a securiza sistemele în timp ce investigația încălcării era în curs. Cu toate acestea, investigațiile preliminare sugerează că afirmațiile LockBit pot fi legate de a security incident the GPAA experienced în februarie.

The agency claimed an attempt to hack into its systems on Feb. 16 was unsuccessful, but that claim came under fire after the alleged LockBit leak. GPAA said in a public post on Feb. 21 that it shut down systems and isolated the potentially affected systems in response to what it characterized as an attempt to “gain unauthorized access to GEPF systems.”

Agenția a declarat că sistemul său de administrare nu a fost încălcat.

“It looks like the right steps have been taken to ensure data safety following the incident by securing the compromised servers,” says Matt Aldridge, principal solutions consultant at OpenText Cybersecurity. “However, the incident raises concerns about the overall security posture and resilience of the organization’s systems.”

Consecința operațiunii Cronos

Aparentul atac împotriva GPAA vine la doar câteva săptămâni după Eliminarea operațiunii Cronos, un efort condus de forțele de ordine pentru a perturba operațiunile LockBit și ale afiliaților săi ransomware-as-a-service.

LockBit și partenerii săi au primit o lovitură din această acțiune, dar de atunci au reluat atacurile folosind noi criptoare și o infrastructură reconstruită, inclusiv o noul loc de scurgere.

Amir Sadon, director de cercetare la Sygnia, o companie de consultanță pentru răspunsul la incidente, spune că LockBit a înființat, de asemenea, un nou site de scurgeri de date și recrutează „testeri de stilouri cu experiență”.

„Adaptarea rapidă a lui LockBit subliniază provocările neutralizării permanente a amenințărilor cibernetice, în special a celor cu capabilități operaționale și organizaționale sofisticate”, notează el.

Alți experți avertizează că scurgerea de date de la GPAA poate proveni dintr-un atac care precede de fapt eliminarea operațiunii Cronos din 19 februarie, așa că ar fi neplăcut să deducem că LockBit a revenit deja la puterea operațională maximă.

“The Government Pensions Administration Agency (GPAA) reported an attempted breach on Feb. 16 — prior to the takedown announcement,” says James Wilson, a cyber threat intelligence analyst at ReliaQuest. “It is therefore plausible that LockBit are using an old attack as the basis of this claim in order to project the image that they have maintained their threat capacity.”

LockBit is the most prolific ransomware group globally, and by far the most active ransomware gang in South Africa, accounting for 42% of attacks there in the last 12 months, according to Malwarebytes research shared with Dark Reading.

Ransomware groups like LockBit try to build a brand to attract affiliates and to ensure victims pay up. “Since Operation Cronos, LockBit will have been working hard to [re]gain the trust of affiliates, so the leak will be used as a way to demonstrate that they are continuing ‘business as usual,'” says Tim West, director, threat intelligence and outreach at WithSecure.

Ransomware actors such as those behind LockBit primarily exploit two techniques to infiltrate companies: leveraging legitimate accounts and targeting vulnerabilities in public-facing applications.

De obicei, fură copii ale datelor unei victime înainte de a le cripta pentru a avea două forme de pârghie în timpul negocierilor de răscumpărare. Apoi cer plata în schimbul datelor, amenințând cu eliberarea informațiilor prin site-uri de scurgere dacă răscumpărarea nu este plătită.

Contracararea atacurilor ransomware

Adopting proactive defense strategies is crucial to defending against the growing threat posed by ransomware attacks. For example, adding multifactor authentication (MFA) adds an extra verification step, complicating attackers’ efforts to exploit compromised accounts or vulnerabilities.

Backup-urile actualizate care sunt testate în mod regulat, protecția punctelor terminale și capabilitățile de detectare a amenințărilor, toate întăresc sistemele împotriva unui atac ransomware. Și gestionarea vulnerabilităților și atenuarea impactului lor potențial înainte de a putea fi corectate, de asemenea, întărește sistemele împotriva ransomware-ului.

Christiaan Beek, director senior de analiză a amenințărilor la Rapid7, spune că „menținerea supravegherii firewall-urilor și VPN-urilor este vitală, deoarece acestea prezintă puncte de intrare atrăgătoare pentru accesul neautorizat”.

Beek adds that management and administrative interfaces of public-facing applications also must be secured.

Timestamp-ul:

Mai mult de la Lectură întunecată