Güney Afrika hükümet yetkilileri, bir fidye yazılımı çetesinin 668 GB'lık hassas bilgileri çaldığını ve ardından çevrimiçi sızdırdığını bildiren raporları araştırıyor ulusal emeklilik verileri.
Devlet Emeklilik İdaresi Kurumu (GPAA) verilerinin 11 Mart'ta ele geçirildiği iddiası henüz kamuya açıklanmadı, ancak olay zaten kamuoyuna duyuruldu. Ulusal Haberler Güney Afrika'da. Güney Afrika Hükümeti Çalışanları Emeklilik Fonu (GEPF), kötü şöhretli LockBit siber suç çetesinin iddialarını araştırmak için devreye girdi.
GEPF, müşterileri arasında 1,2 milyon mevcut kamu çalışanının yanı sıra 473.000 emekli ve diğer yararlanıcının da bulunduğu, Güney Afrika'nın önde gelen emeklilik fonlarından biridir.
Emeklilik fonu bir kamu açıklamasında, “GEPF, bildirilen veri ihlalinin doğruluğunu ve etkisini belirlemek için GPAA ve onun gözetim otoritesi olan Ulusal Hazine ile temas halindedir ve zamanı gelince daha fazla güncelleme sağlayacaktır.” dedi.
Doğru Şekilde Güvende Değil mi?
GPAA'nın, ihlal soruşturması devam ederken sistemlerin güvenliğini sağlamak için harekete geçtiği konusunda GEPF'ye güvence verdiği bildirildi. Ancak ön araştırmalar LockBit iddialarının bir olayla ilgili olabileceğini öne sürüyor. güvenlik olayı GPAA Şubat ayında yaşandı.
Ajans, 16 Şubat'ta sistemlerine sızma girişiminin başarısız olduğunu iddia etti ancak bu iddia, LockBit sızıntısı iddiasının ardından eleştirilere maruz kaldı. GPAA, 21 Şubat'ta halka açık bir gönderide, “GEPF sistemlerine yetkisiz erişim elde etme” girişimi olarak nitelendirdiği duruma yanıt olarak sistemleri kapattığını ve potansiyel olarak etkilenen sistemleri izole ettiğini söyledi.
Ajans, yönetim sisteminin ihlal edilmediğini söyledi.
Opentext Siber Güvenlik'in baş çözüm danışmanı Matt Aldridge, “Olayın ardından, ele geçirilen sunucuların güvenliğini sağlayarak veri güvenliğini sağlamak için doğru adımlar atılmış gibi görünüyor” diyor. “Ancak olay, kuruluşun sistemlerinin genel güvenlik duruşu ve dayanıklılığı hakkında endişeleri artırıyor.”
Cronos Operasyonu Sonrası
GPAA'ya yönelik bariz saldırı, saldırıdan sadece birkaç hafta sonra gerçekleşti. Cronos Operasyonu'nun kaldırılmasıLockBit'in ve onun hizmet olarak fidye yazılımı bağlı kuruluşlarının operasyonlarını aksatmaya yönelik kolluk kuvvetleri öncülüğünde bir çaba.
LockBit ve ortakları bu eylemden darbe aldı ancak o zamandan beri yeni şifreleyiciler ve yeniden oluşturulmuş bir altyapı kullanarak saldırılara devam ettiler. yeni sızıntı sitesi.
Olay müdahale danışmanlığı şirketi Sygnia'nın araştırma direktörü Amir Sadon, LockBit'in ayrıca yeni bir veri sızıntısı sitesi kurduğunu ve “deneyimli kalem testçilerini” işe aldığını söylüyor.
“LockBit'in hızlı adaptasyonu, özellikle karmaşık operasyonel ve organizasyonel yeteneklere sahip olanlar olmak üzere siber tehditleri kalıcı olarak etkisiz hale getirmenin zorluklarını vurguluyor” diye belirtiyor.
Diğer uzmanlar, GPAA'dan veri sızıntısının aslında 19 Şubat Cronos Operasyonu'nun kaldırılmasından önce gerçekleşen bir saldırıdan kaynaklanabileceği konusunda uyarıyor; dolayısıyla LockBit'in halihazırda tam operasyonel gücüne geri döndüğü sonucunu çıkarmak acelecilik olur.
ReliaQuest'te siber tehdit istihbarat analisti James Wilson, “Devlet Emeklilik İdaresi Ajansı (GPAA), 16 Şubat'ta – yayından kaldırma duyurusundan önce bir ihlal girişimi bildirdi” diyor. “Dolayısıyla LockBit'in tehdit kapasitesini koruduğu imajını yansıtmak amacıyla bu iddianın temeli olarak eski bir saldırıyı kullanması akla yatkındır.”
Malwarebytes'e göre LockBit, küresel çapta en üretken fidye yazılımı grubudur ve Güney Afrika'daki açık ara en aktif fidye yazılımı çetesidir ve Malwarebytes'e göre son 12 aydaki saldırıların %42'sini oluşturmaktadır.
LockBit gibi fidye yazılımı grupları, bağlı kuruluşları çekmek ve kurbanların ödeme yapmasını sağlamak için bir marka oluşturmaya çalışıyor. “Cronos Operasyonu'ndan bu yana LockBit, [reg]WithSecure Tehdit İstihbaratı ve Sosyal Yardım Direktörü Tim West, “bağlı kuruluşların güvenini kazanın, böylece sızıntı 'işleri her zamanki gibi' sürdürdüklerini göstermenin bir yolu olarak kullanılacak” diyor.
LockBit'in arkasındakiler gibi fidye yazılımı aktörleri, şirketlere sızmak için öncelikle iki teknikten yararlanıyor: meşru hesaplardan yararlanmak veya halka açık uygulamalardaki güvenlik açıklarını hedeflemek.
Fidye görüşmeleri sırasında iki tür avantaja sahip olmak için genellikle kurbanın verilerinin kopyalarını şifrelemeden önce çalarlar. Daha sonra veriler karşılığında ödeme talep ediyorlar ve fidye ödenmediği takdirde bilgilerin sızıntı siteleri aracılığıyla açıklanacağı tehdidinde bulunuyorlar.
Fidye Yazılımı Saldırılarını Engelleme
Proaktif savunma stratejilerini benimsemek, fidye yazılımı saldırılarının oluşturduğu büyüyen tehdide karşı savunma açısından çok önemlidir. Örneğin, çok faktörlü kimlik doğrulamanın (MFA) eklenmesi, ekstra bir doğrulama adımı ekleyerek saldırganların ele geçirilen hesaplardan veya güvenlik açıklarından yararlanma çabalarını zorlaştırır.
Düzenli olarak test edilen güncel yedeklemeler, uç nokta koruması ve tehdit algılama özelliklerinin tümü, sistemleri fidye yazılımı saldırılarına karşı güçlendirir. Ayrıca güvenlik açıklarını yönetmek ve bunların potansiyel etkilerini yamalanmadan önce azaltmak, sistemleri fidye yazılımlarına karşı da güçlendirir.
Rapid7'nin tehdit analitiği kıdemli direktörü Christiaan Beek, “yetkisiz erişim için cazip giriş noktaları sundukları için güvenlik duvarlarının ve VPN'lerin gözetiminin sürdürülmesi hayati önem taşıyor” diyor.
Beek ayrıca halka açık uygulamaların yönetim ve idari arayüzlerinin de güvence altına alınması gerektiğini söylüyor.