Un an în analiză: 10 dintre cele mai mari incidente de securitate din 2023


În timp ce tragem cortina unui alt an plin de evenimente în domeniul securității cibernetice, să trecem în revistă câteva dintre incidentele cibernetice de mare profil care au avut loc, la nivelul diverselor organizații,  în acest an.

A fost un alt an cu incidente notabile în domeniul securității cibernetice. Actorii amenințărilor au prosperat pe un fundal de incertitudine macroeconomică și geopolitică continuă, folosind toate instrumentele și ingeniozitatea pe care le aveau la dispoziție pentru a ocoli apărarea companiilor. Pentru utilizatorii finali de tehnologie, a fost încă un an petrecut cu episoade de anxietate, făcând click pe titluri pentru a vedea dacă informațiile lor personale au fost afectate.

Conform Raportului de investigații privind încălcarea datelor (DBIR) al Verizon, actorii externi sunt responsabili pentru marea majoritate (83%) a breșelor de date, iar câștigurile financiare au reprezentat motivația din spatele încălcărilor (95%). De aceea, cele mai multe dintre incidentele prezentate în această listă se vor datora atacurilor ransomware sau șantajului derulat în urma unui furt de date. Dar nu este întotdeauna cazul. Ocazional, cauza poate fi o eroare umană sau o persoană rău intenționată. Și deseori atacurile au un impact nemaipomenit, chiar dacă numărul persoanelor afectate este relativ mic.

Deci, fără o ordine anume, iată 10 dintre cele mai mari atacuri din 2023.

1. MOVEit

Cu legături care merg până la software-ul de ransomware afliliat Lace Tempest (Storm0950) Clop, acest atac a avut toate semnele distinctive ale campaniilor anterioare ale grupului malware din spatele atacului împotriva Accellion FTA (2020) și GoAnywhere MFT (2023). Modul de operare este simplu: se exploatează o vulnerabilitate de tip zero-day într-un produs software popular (în acest caz cel de managed file transfer produs de MOVEit) pentru a obține acces la mediile clienților și apoi sunt extrase fraudulos cât mai multe date pentru a fi contra-ofertate pentru răscumpărare. Încă nu este clar cât de multe date au fost preluate și câte victime sunt afectate, dar unele estimări sugerează peste 2.600 de organizații și peste 83 de milioane de persoane afectate. Faptul că multe dintre aceste organizații erau ele însele furnizori de soluții sau de servicii pentru alții nu a făcut decât să sporească impactul. Progress Software, compania din spatele MOVEit, a publicat detalii despre lacuna critică de securitate exploatată de atacatori și a lansat un patch pentru aceasta pe 31 mai 2023, îndemnând clienții să o implementeze imediat sau să ia măsurile de atenuare a efectelor unui atac prezentate în recomandările companiei.

2. Comisia Electorală din Regatul Unit

Autoritatea independentă de reglementare pentru finanțarea partidelor politice și a alegerilor din Marea Britanie a dezvăluit în august că actori malware au furat informații personale despre aproximativ 40 de milioane de alegători din registrul electoral. Instituția a susținut că un atac cibernetic „complex” a fost responsabil, dar rapoartele au sugerat încă de atunci că poziția sa de securitate a fost slabă, organizația eșuând în obținerea unui audit de securitate de bază Cyber Essentials. Este posibil ca punctul de debut al breșei să fie un server Microsoft Exchange neactualizat, dar întrebarea rămâne de ce i-a luat comisiei 10 luni pentru a anunța publicul. De asemenea, raportul a susținut că actorii din spatele atacului ar fi putut să supravegheze rețeaua încă din august 2021.

3. Serviciul de poliție din Irlanda de Nord (PSNI)

Acesta este un incident care se încadrează atât în categoria breșe cu cauze din interiorul organizației, cât și în cele cu un număr relativ mic de victime afectate care pot suferi un impact nemaipomenit.Serviciul de poliție PSNI a anunțat în august că un angajat a postat accidental date interne sensibile pe site-ul web WhatDoTheyKnow, ca răspuns la o solicitare privind libertatea de informare (FOI). Informațiile au inclus numele, gradul și departamentul a aproximativ 10.000 de ofițeri și personal civil, inclusiv cei care lucrează în supraveghere și colectare de informații secrete. Deși a fost disponibilă doar două ore înainte de a fi ștearsă, acesta a fost prezentă suficient timp pentru ca informațiile să circule printre dizidenții republicani irlandezi, care au difuzat-o în continuare. În urma acestei scurgeri de informații, doi bărbați au fost eliberați pe cauțiune după ce au fost arestați pentru infracțiuni de terorism.

4. DarkBeam

Cea mai mare scurgere de date a anului 2023 a rezultat în 3,8 miliarde de înregistrări expuse de platforma digitală de risc DarkBeam, după ce a fost configurată greșit o interfață de vizualizare a datelor Elasticsearch și Kibana. Un cercetător de securitate a observat problema de confidențialitate și a notificat firma, care a corectat problema rapid. Cu toate acestea, nu este clar pentru cât timp au fost expuse datele sau dacă cineva le-a accesat anterior cu intenții nefaste. În mod ironic, pachetul de date conținea e-mailuri și parole atât pentru încălcări ale datelor raportate anterior, cât și neraportate. Acesta este un alt exemplu al necesității de a monitoriza îndeaproape și continuu sistemele pentru configurări greșite.

5. Consiliul Indian de Cercetare Medicală (ICMR)

O altă mega breșă, de data aceasta una dintre cele mai mari din India, a fost dezvăluită în luna octombrie, după ce un atacator a scos la vânzare informații personale despre 815 milioane de locuitori. Se pare că datele au fost extrase din baza de date de testare COVID a ICMR și au inclus numele, vârsta, sexul, adresa, numărul de pașaport și Aadhaar (numărul de identificare guvernamentală). Acest lucru este deosebit de dăunător, deoarece le-ar putea oferi infractorilor cibernetici tot ce au nevoie pentru a încerca o serie de atacuri de fraudă de identitate. Aadhaar poate fi folosit în India ca ID digital, pentru plățile facturilor și pentru cecurile Know Your Customer.

6. 23andMe

Un actor malware a susținut că a furat până la 20 de milioane de înregistrări de date de la compania de genetică și cercetare din SUA. Se pare că prima dată au folosit tehnicile clasice de credential stuffing pentru a accesa conturile de utilizator, practic folosind date de acces scurse în breșe anterioare pe care acești utilizatori le-au reciclat pe 23andMe. Pentru acei utilizatori care au optat pentru serviciul DNA Relatives de pe site, actorul amenințării a putut apoi să acceseze și să strângă mai multe date și de la potențialele rude. Printre informațiile enumerate în depozitul de date se numără fotografia de profil, sexul, anul nașterii, locația și rezultatele genetice.

7. Atacurile DDoS cu resetare rapidă

Un alt caz neobișnuit are în prim plan o vulnerabilitate zero-day din protocolul HTTP/2 dezvăluită în octombrie, care a permis actorilor de amenințări să lanseze unele dintre cele mai mari atacuri DDoS văzute vreodată. Google a spus că acestea au atins un vârf de 398 de milioane de solicitări pe secundă (rps), față de cea mai mare rată anterioară de 46 de milioane de rps. Vestea bună este că giganții internetului precum Google și Cloudflare au corectat bug-ul, iar firmele care își gestionează propria prezență pe internet au fost îndemnate să urmeze exemplul imediat.

8. T-Mobile

Compania de telecomunicații din SUA a suferit multe breșe de securitate în ultimii ani, dar cea pe care a dezvăluit-o în ianuarie este una dintre cele mai mari de până acum. A afectat 37 de milioane de clienți, iar date precum adresele clienților, numerele de telefon și zilele de naștere au fost furate de un actor malware. Un al doilea incident dezvăluit în aprilie a afectat doar 800 de clienți, dar a inclus multe alte informații, inclusiv coduri PIN ale contului T-Mobile, numere de securitate socială, detalii de identificare guvernamentală, date de naștere și coduri interne pe care compania le folosea pentru a deservi conturile clienților.

9. MGM International/Cesars

Două dintre cele mai mari nume din Las Vegas au fost lovite la câteva zile distanță de același afiliat ransomware ALPHV/BlackCat cunoscut sub numele de Scattered Spider. În cazul MGM, ei au reușit să obțină acces la rețea, după o cercetare pe LinkedIn și apoi printr-un atac vishing asupra persoanei din departamentul IT căreia i-au uzurpat identitatea și i-au sustras datele de conectare și acces. Cu toate acestea, incidentul a avut un impact financiar major asupra companiei, care a fost forțată să închidă sisteme IT majore, ceea ce a perturbat timp de zile întregi aparatele din sala de jocuri, sistemele de management al restaurantelor și chiar cardurile de acces în camere. MGM a estimat pierderi totale de 100 de milioane de dolari. Costul pentru Cesars este neclar, deși firma a recunoscut că le-a plătit escrocilor o răscumpărare de 15 milioane de dolari.

10. Pentagon Leaks

Ultimul incident este o poveste-pildă, care a vizat armata americană dar care merită să preocupe orice companie mare,  o poveste legată de riscul pe care îl poate presupune la un moment dat intervenția unei persoane rău intenționate din interiorul organizației. Un tânăr de 21 de ani, membru al aripii de informații a Gărzii Naționale Aeriene din Massachusetts, Jack Teixeira, a scurs documente militare extrem de sensibile pentru a se lăuda în comunitatea sa Discord. Acestea au fost ulterior distribuite pe alte platforme și repostate de utilizatori ruși care au oferit astfel Rusiei o comoară de informații militare pentru războiul său din Ucraina și au subminat relația Americii cu aliații săi. Incredibil, Teixeira a reușit să imprime și să ia acasă documente secrete pentru a le fotografia și, ulterior, pentru a le uploada online.

Să sperăm că aceste incidente oferă tuturor celor care le parcurg câteva lecții utile și ne pregătesc pentru un 2024 mai sigur.

Phil Muncaster January 22, 2024

Lasa un comentariu