Funcionarios del gobierno sudafricano están investigando informes de que una banda de ransomware robó y luego filtró en línea 668 GB de archivos confidenciales. datos de pensiones nacionales.
El supuesto compromiso de los datos de la Agencia de Administración de Pensiones del Gobierno (GPAA) el 11 de marzo aún no ha sido confirmado públicamente, pero el incidente ya ha hecho noticias nacionales En Sudáfrica. El Fondo de Pensiones de Empleados del Gobierno de Sudáfrica (GEPF) intervino para investigar las afirmaciones de la famosa banda de ciberdelincuentes LockBit.
GEPF es uno de los principales fondos de pensiones de Sudáfrica, entre cuyos clientes se incluyen 1,2 millones de empleados gubernamentales actuales, así como 473.000 pensionados y otros beneficiarios.
“El GEPF está colaborando con la GPAA y su autoridad de supervisión, el Tesoro Nacional, para establecer la veracidad y el impacto de la violación de datos reportada y proporcionará una actualización adicional a su debido tiempo”, dijo el fondo de pensiones en una declaración pública.
¿No está debidamente asegurado?
Según se informa, la GPAA aseguró al GEPF que había actuado para proteger los sistemas mientras se llevaba a cabo la investigación de la violación. Sin embargo, las investigaciones preliminares sugieren que las reclamaciones de LockBit pueden estar relacionadas con un incidente de seguridad la GPAA experimentó en febrero.
La agencia afirmó que un intento de piratear sus sistemas el 16 de febrero no tuvo éxito, pero esa afirmación fue criticada después de la supuesta filtración de LockBit. GPAA dijo en una publicación pública el 21 de febrero que cerró sistemas y aisló los sistemas potencialmente afectados en respuesta a lo que caracterizó como un intento de “obtener acceso no autorizado a los sistemas GEPF”.
La agencia dijo que su sistema de administración no había sido violado.
“Parece que se han tomado las medidas correctas para garantizar la seguridad de los datos después del incidente protegiendo los servidores comprometidos”, dice Matt Aldridge, consultor principal de soluciones de Opentext Cybersecurity. “Sin embargo, el incidente genera preocupaciones sobre la postura general de seguridad y la resistencia de los sistemas de la organización”.
Secuelas de la Operación Cronos
El aparente ataque contra la GPAA se produce pocas semanas después de la Derribo de la Operación Cronosun esfuerzo liderado por las fuerzas del orden para interrumpir las operaciones de LockBit y sus afiliados de ransomware como servicio.
LockBit y sus socios recibieron un golpe por esta acción, pero desde entonces han reanudado los ataques utilizando nuevos cifrados y una infraestructura reconstruida, incluida una nuevo sitio de fuga.
Amir Sadon, director de investigación de Sygnia, una consultora de respuesta a incidentes, dice que LockBit también creó un nuevo sitio de fuga de datos y está reclutando “probadores de lápiz experimentados”.
“La rápida adaptación de LockBit subraya los desafíos de neutralizar permanentemente las amenazas cibernéticas, especialmente aquellas con capacidades operativas y organizativas sofisticadas”, señala.
Otros expertos advierten que la filtración de datos de GPAA puede deberse a un ataque que en realidad es anterior al derribo de la Operación Cronos el 19 de febrero, por lo que sería precipitado inferir que LockBit ya ha recuperado su plena capacidad operativa.
“La Agencia de Administración de Pensiones del Gobierno (GPAA) informó de un intento de violación el 16 de febrero, antes del anuncio de la eliminación”, dice James Wilson, analista de inteligencia de amenazas cibernéticas en ReliaQuest. “Por lo tanto, es plausible que LockBit esté utilizando un antiguo ataque como base de esta afirmación para proyectar la imagen de que han mantenido su capacidad de amenaza”.
LockBit es el grupo de ransomware más prolífico a nivel mundial y, con diferencia, el grupo de ransomware más activo en Sudáfrica, donde representa el 42% de los ataques en los últimos 12 meses, según Malwarebytes.
Los grupos de ransomware como LockBit intentan crear una marca para atraer afiliados y garantizar que las víctimas paguen. “Desde la Operación Cronos, LockBit habrá estado trabajando duro para [reg]ganarse la confianza de los afiliados, por lo que la filtración se utilizará como una forma de demostrar que continúan ‘negocios como siempre’”, dice Tim West, director de inteligencia de amenazas y extensión de WithSecure.
Los actores de ransomware como los que están detrás de LockBit explotan principalmente dos técnicas para infiltrarse en las empresas: aprovechar cuentas legítimas o atacar vulnerabilidades en aplicaciones públicas.
Por lo general, roban copias de los datos de la víctima antes de cifrarlas para tener dos formas de influencia durante las negociaciones de rescate. Luego exigen un pago a cambio de los datos, amenazando con divulgar la información a través de sitios de filtración si no se paga el rescate.
Frustrar los ataques de ransomware
Adoptar estrategias de defensa proactivas es crucial para defenderse de la creciente amenaza que suponen los ataques de ransomware. Por ejemplo, agregar autenticación multifactor (MFA) agrega un paso de verificación adicional, lo que complica los esfuerzos de los atacantes para explotar cuentas o vulnerabilidades comprometidas.
Las copias de seguridad actualizadas que se prueban periódicamente, la protección de endpoints y las capacidades de detección de amenazas fortalecen los sistemas contra un ataque de ransomware. Y gestionar las vulnerabilidades y mitigar su impacto potencial antes de que puedan parchearse también fortalece los sistemas contra el ransomware.
Christiaan Beek, director senior de análisis de amenazas de Rapid7, afirma que “mantener la supervisión de los cortafuegos y las VPN es vital, ya que presentan puntos de entrada atractivos para el acceso no autorizado”.
Además, las interfaces administrativas y de gestión de las aplicaciones públicas también deben estar protegidas, afirma Beek.
Fuente Original CISO2CISO.COM & CYBER SECURITY GROUP
