ข้อมูลเงินบำนาญของรัฐบาลแอฟริกาใต้รั่วไหล กลัว Spark Probe

เจ้าหน้าที่รัฐบาลแอฟริกาใต้กำลังสืบสวนรายงานที่ว่ามีแก๊งค์แรนซั่มแวร์ขโมยข้อมูลสำคัญขนาด 668GB รั่วไหลทางออนไลน์ ข้อมูลเงินบำนาญของประเทศ.

ข้อกล่าวหาเรื่องการประนีประนอมข้อมูลของสำนักงานบริหารบำนาญข้าราชการ (GPAA) เมื่อวันที่ 11 มีนาคม ยังไม่ได้รับการยืนยันอย่างเปิดเผยต่อสาธารณะ แต่เหตุการณ์ดังกล่าวได้เกิดขึ้นแล้ว ข่าวระดับชาติในแอฟริกาใต้- กองทุนบำเหน็จบำนาญพนักงานรัฐบาลแอฟริกาใต้ (GEPF) เข้ามาสอบสวนข้อเรียกร้องของแก๊งอาชญากรรมไซเบอร์ LockBit ที่โด่งดัง

GEPF เป็นกองทุนบำเหน็จบำนาญชั้นนำในแอฟริกาใต้ ซึ่งลูกค้าประกอบด้วยพนักงานรัฐบาลปัจจุบัน 1.2 ล้านคน ตลอดจนผู้รับบำนาญ 473,000 คนและผู้รับผลประโยชน์อื่นๆ

“GEPF กำลังมีส่วนร่วมกับ GPAA และหน่วยงานกำกับดูแลคือกระทรวงการคลังแห่งชาติ เพื่อสร้างความจริงและผลกระทบของการละเมิดข้อมูลที่รายงาน และจะจัดให้มีการอัปเดตเพิ่มเติมตามกำหนดเวลา” กองทุนบำเหน็จบำนาญอธิบายในแถลงการณ์สาธารณะ

ไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสมใช่ไหม?

มีรายงานว่า GPAA ให้ความมั่นใจกับ GEPF ว่าได้ดำเนินการเพื่อรักษาความปลอดภัยระบบในขณะที่การสอบสวนการละเมิดอยู่ระหว่างดำเนินการ อย่างไรก็ตาม การสอบสวนเบื้องต้นชี้ให้เห็นว่าการเรียกร้องของ LockBit อาจเกี่ยวข้องกับ เหตุการณ์ด้านความปลอดภัยที่ GPAA ประสบ ในเดือนกุมภาพันธ์

หน่วยงานอ้างว่าความพยายามแฮ็กเข้าสู่ระบบเมื่อวันที่ 16 กุมภาพันธ์ไม่ประสบความสำเร็จ แต่การอ้างสิทธิ์ดังกล่าวถูกวิจารณ์หลังจากการรั่วไหลของ LockBit ที่ถูกกล่าวหา GPAA กล่าวในโพสต์สาธารณะเมื่อวันที่ 21 กุมภาพันธ์ว่าได้ปิดระบบและแยกระบบที่อาจได้รับผลกระทบออกเพื่อตอบสนองต่อสิ่งที่มีลักษณะเป็นความพยายามที่จะ “เข้าถึงระบบ GEPF โดยไม่ได้รับอนุญาต”

หน่วยงานดังกล่าวกล่าวว่าระบบการบริหารงานของตนไม่ได้ถูกละเมิด

“ดูเหมือนว่ามีการดำเนินการตามขั้นตอนที่ถูกต้องเพื่อความปลอดภัยของข้อมูลหลังเหตุการณ์ดังกล่าว โดยการรักษาความปลอดภัยเซิร์ฟเวอร์ที่ถูกบุกรุก” Matt Aldridge ที่ปรึกษาด้านโซลูชันหลักของ OpenText Cybersecurity กล่าว “อย่างไรก็ตาม เหตุการณ์ดังกล่าวทำให้เกิดความกังวลเกี่ยวกับมาตรการรักษาความปลอดภัยโดยรวมและความยืดหยุ่นของระบบขององค์กร”

ผลพวงของปฏิบัติการโครโนส

การโจมตี GPAA ที่ชัดเจนเกิดขึ้นเพียงไม่กี่สัปดาห์หลังจากนั้น การจับกุมปฏิบัติการโครนอสซึ่งเป็นความพยายามที่นำโดยหน่วยงานบังคับใช้กฎหมายเพื่อขัดขวางการดำเนินงานของ LockBit และบริษัทในเครือของแรนซัมแวร์ในรูปแบบบริการ

LockBit และพันธมิตรได้รับความเสียหายจากการกระทำนี้ แต่หลังจากนั้นก็กลับมาโจมตีอีกครั้งโดยใช้ตัวเข้ารหัสใหม่และโครงสร้างพื้นฐานที่สร้างขึ้นใหม่ รวมถึง เว็บไซต์รั่วใหม่

Amir Sadon ผู้อำนวยการฝ่ายวิจัยของ Sygnia ซึ่งเป็นที่ปรึกษาด้านการตอบสนองต่อเหตุการณ์กล่าวว่า LockBit ได้จัดตั้งไซต์ข้อมูลรั่วไหลแห่งใหม่ และกำลังรับสมัคร "ผู้ทดสอบปากกาที่มีประสบการณ์"

“การปรับตัวอย่างรวดเร็วของ LockBit ตอกย้ำถึงความท้าทายในการต่อต้านภัยคุกคามทางไซเบอร์อย่างถาวร โดยเฉพาะอย่างยิ่งกับความสามารถในการปฏิบัติงานและองค์กรที่ซับซ้อน” เขากล่าว

ผู้เชี่ยวชาญคนอื่นๆ เตือนว่าการรั่วไหลของข้อมูลจาก GPAA อาจเกิดจากการโจมตีที่เกิดขึ้นจริงก่อนการจับกุม Operation Cronos ในวันที่ 19 กุมภาพันธ์ ดังนั้นจึงอาจเป็นการด่วนสรุปว่า LockBit กลับมาแข็งแกร่งในการปฏิบัติงานเต็มรูปแบบแล้ว

“หน่วยงานบริหารเงินบำนาญของรัฐบาล (GPAA) รายงานการพยายามละเมิดเมื่อวันที่ 16 กุมภาพันธ์ ก่อนที่จะมีการประกาศการลบออก” James Wilson นักวิเคราะห์ข่าวกรองด้านภัยคุกคามทางไซเบอร์ของ ReliaQuest กล่าว “ดังนั้นจึงมีความเป็นไปได้ที่ LockBit กำลังใช้การโจมตีแบบเก่าเป็นพื้นฐานของการอ้างสิทธิ์นี้เพื่อฉายภาพที่พวกเขารักษาความสามารถในการคุกคามเอาไว้”

LockBit เป็นกลุ่มแรนซัมแวร์ที่มีผลงานมากที่สุดในโลก และเป็นแก๊งค์แรนซัมแวร์ที่มีการใช้งานมากที่สุดในแอฟริกาใต้ โดยคิดเป็น 42% ของการโจมตีที่นั่นในช่วง 12 เดือนที่ผ่านมา ตามการวิจัยของ Malwarebytes ที่แชร์กับ Dark Reading

กลุ่มแรนซัมแวร์อย่าง LockBit พยายามสร้างแบรนด์เพื่อดึงดูดบริษัทในเครือและเพื่อให้แน่ใจว่าเหยื่อจะจ่ายเงิน “ตั้งแต่ Operation Cronos เป็นต้นมา LockBit จะทำงานอย่างหนักเพื่อให้ได้รับความไว้วางใจจากบริษัทในเครือ ดังนั้นการรั่วไหลจะถูกใช้เป็นแนวทางในการแสดงให้เห็นว่าพวกเขายังคง 'ธุรกิจตามปกติ'” Tim West ผู้อำนวยการฝ่ายภัยคุกคามกล่าว ข่าวกรองและการเข้าถึงที่ WithSecure

ผู้ดำเนินการแรนซัมแวร์เช่นผู้ที่อยู่เบื้องหลัง LockBit ใช้ประโยชน์จากเทคนิคสองประการในการแทรกซึมบริษัทต่างๆ เป็นหลัก ได้แก่ การใช้ประโยชน์จากบัญชีที่ถูกต้องและการกำหนดเป้าหมายช่องโหว่ในแอปพลิเคชันที่เปิดเผยต่อสาธารณะ

โดยทั่วไปแล้วพวกเขาจะขโมยสำเนาข้อมูลของเหยื่อก่อนที่จะเข้ารหัสเพื่อให้มีรูปแบบการใช้ประโยชน์สองรูปแบบในระหว่างการเจรจาเรียกค่าไถ่ จากนั้นพวกเขาก็เรียกร้องค่าตอบแทนสำหรับข้อมูล โดยขู่ว่าจะเปิดเผยข้อมูลผ่านไซต์ที่รั่วไหลหากไม่มีการจ่ายค่าไถ่

การขัดขวางการโจมตีของแรนซัมแวร์

การใช้กลยุทธ์การป้องกันเชิงรุกถือเป็นสิ่งสำคัญในการป้องกันภัยคุกคามที่เพิ่มขึ้นจากการโจมตีของแรนซัมแวร์ ตัวอย่างเช่น การเพิ่มการรับรองความถูกต้องแบบหลายปัจจัย (MFA) จะเพิ่มขั้นตอนการตรวจสอบเพิ่มเติม ซึ่งทำให้ความพยายามของผู้โจมตีในการหาประโยชน์จากบัญชีที่ถูกบุกรุกหรือช่องโหว่มีความซับซ้อนยิ่งขึ้น

การสำรองข้อมูลที่ทันสมัยซึ่งได้รับการทดสอบเป็นประจำ การป้องกันปลายทาง และความสามารถในการตรวจจับภัยคุกคาม ล้วนเสริมความแข็งแกร่งให้กับระบบจากการโจมตีของแรนซัมแวร์ และการจัดการช่องโหว่และการบรรเทาผลกระทบที่อาจเกิดขึ้นก่อนที่จะสามารถแพทช์ได้ยังทำให้ระบบต่อต้านแรนซัมแวร์แข็งแกร่งขึ้นอีกด้วย

Christiaan Beek ผู้อำนวยการอาวุโสฝ่ายวิเคราะห์ภัยคุกคามที่ Rapid7 กล่าวว่า “การดูแลดูแลไฟร์วอลล์และ VPN นั้นมีความสำคัญ เนื่องจากสิ่งเหล่านี้นำเสนอจุดเริ่มต้นที่น่าสนใจสำหรับการเข้าถึงที่ไม่ได้รับอนุญาต”

Beek กล่าวเพิ่มเติมว่าอินเทอร์เฟซการจัดการและการดูแลระบบของแอปพลิเคชันสาธารณะจะต้องมีการรักษาความปลอดภัยด้วย

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/south-african-government-pension-data-leak-fears-spark-probe