Sydafrikanska statens pensionsdataläcka rädsla gnistsond

Sydafrikanska regeringstjänstemän undersöker rapporter om att ett gäng ransomware stal och sedan läckte ut 668 GB känsliga folkpensionsuppgifter.

Den påstådda kompromissen av uppgifter från Government Pensions Administration Agency (GPAA) den 11 mars har ännu inte bekräftats offentligt, men händelsen har redan gjorts nationella nyheter i Sydafrika. South African Government Employees Pension Fund (GEPF) gick in för att undersöka påståendena från det ökända LockBit cyberbrottsgänget.

GEPF är en topppensionsfond i Sydafrika, vars kunder inkluderar 1.2 miljoner nuvarande statligt anställda samt 473,000 XNUMX pensionärer och andra förmånstagare.

"GEPF samarbetar med GPAA och dess tillsynsmyndighet, National Treasury, för att fastställa sanningshalten och effekten av det rapporterade dataintrånget och kommer att ge en ytterligare uppdatering i sinom tid", förklarade pensionsfonden i ett offentligt uttalande.

Inte ordentligt säkrad?

GPAA har enligt uppgift försäkrat GEPF att de har agerat för att säkra system medan brottsutredningen pågick. Men preliminära undersökningar tyder på att LockBit-kraven kan vara relaterade till en säkerhetsincident som GPAA upplevde i februari.

Byrån hävdade att ett försök att hacka sig in i sina system den 16 februari misslyckades, men det påståendet kom under eld efter den påstådda LockBit-läckan. GPAA sa i ett offentligt inlägg den 21 februari att de stängde av system och isolerade de potentiellt drabbade systemen som svar på vad den karakteriserade som ett försök att "få obehörig åtkomst till GEPF-system."

Byrån sa att dess administrationssystem inte hade brutits.

"Det verkar som att de rätta stegen har vidtagits för att säkerställa datasäkerheten efter incidenten genom att säkra de komprometterade servrarna", säger Matt Aldridge, huvudlösningskonsult på OpenText Cybersecurity. "Men incidenten väcker oro för den övergripande säkerhetsställningen och motståndskraften hos organisationens system."

Efterdyningarna av Operation Cronos

Den uppenbara attacken mot GPAA kommer bara några veckor efter Operation Cronos nedtagning, en brottsbekämpande ansträngning för att störa verksamheten hos LockBit och dess ransomware-as-a-service affiliates.

LockBit och dess partners tog ett slag av denna åtgärd men har sedan dess återupptagit attacker med nya krypteringar och en ombyggd infrastruktur, inklusive en ny läckageplats.

Amir Sadon, forskningschef på Sygnia, ett konsultföretag för incidentrespons, säger att LockBit också har skapat en ny dataläckageplats och rekryterar "erfarna penntestare."

"LockBits snabba anpassning understryker utmaningarna med att permanent neutralisera cyberhot, särskilt de med sofistikerad operativ och organisatorisk förmåga," noterar han.

Andra experter varnar för att läckaget av data från GPAA kan bero på en attack som faktiskt föregick operationen Cronos nedläggning den 19 februari, så det skulle vara överdrivet att dra slutsatsen att LockBit redan är tillbaka till full operativ styrka.

"The Government Pensions Administration Agency (GPAA) rapporterade ett intrångsförsök den 16 februari - innan meddelandet om borttagning", säger James Wilson, en underrättelseanalytiker för cyberhot på ReliaQuest. "Det är därför troligt att LockBit använder en gammal attack som grund för detta påstående för att projicera bilden av att de har behållit sin hotkapacitet."

LockBit är den mest produktiva ransomware-gruppen globalt, och det överlägset mest aktiva ransomware-gänget i Sydafrika, och står för 42 % av attackerna där under de senaste 12 månaderna, enligt Malwarebytes-forskning som delas med Dark Reading.

Ransomware-grupper som LockBit försöker bygga ett varumärke för att attrahera affiliates och för att säkerställa att offer betalar. "Sedan Operation Cronos kommer LockBit att ha arbetat hårt för att [åter]vinna förtroendet från affiliates, så läckan kommer att användas som ett sätt att visa att de fortsätter "business as usual", säger Tim West, direktör, hot intelligens och uppsökande verksamhet hos WithSecure.

Ransomware-aktörer som de bakom LockBit utnyttjar i första hand två tekniker för att infiltrera företag: utnyttja legitima konton och inrikta sig på sårbarheter i offentliga applikationer.

De stjäl vanligtvis kopior av ett offers data innan de krypterar den för att ha två former av hävstång under lösenförhandlingar. Sedan kräver de betalning i utbyte för uppgifterna, och hotar att informationen släpps genom läckagesidor om lösen inte betalas.

Förhindra Ransomware-attacker

Att anta proaktiva försvarsstrategier är avgörande för att försvara sig mot det växande hotet från ransomware-attacker. Att till exempel lägga till multifaktorautentisering (MFA) lägger till ett extra verifieringssteg, vilket komplicerar angripares ansträngningar att utnyttja intrångade konton eller sårbarheter.

Uppdaterade säkerhetskopior som testas regelbundet, ändpunktsskydd och funktioner för upptäckt av hot stärker alla system mot en ransomware-attack. Och att hantera sårbarheter och mildra deras potentiella inverkan innan de kan korrigeras förstärker också systemen mot ransomware.

Christiaan Beek, senior chef för hotanalys på Rapid7, säger att "att upprätthålla tillsyn över brandväggar och VPN är avgörande, eftersom de erbjuder tilltalande ingångspunkter för obehörig åtkomst."

Beek tillägger att hantering och administrativa gränssnitt för offentliga applikationer också måste säkras.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cyberattacks-data-breaches/south-african-government-pension-data-leak-fears-spark-probe