Фишинг атаки на Gitlocker
В развиващия се пейзаж на заплахите за киберсигурността се появи нова кампания за атака на Gitlocker, насочена към хранилищата на GitHub. Тази операция включва злонамерени участници, които компрометират акаунти, изтриват съдържанието на хранилището и изискват жертвите да се свържат с тях чрез Telegram за допълнителни инструкции. Тази статия разглежда спецификата на тази кампания, нейния начин на действие и препоръчва мерки за сигурност за защита срещу подобни атаки.
Съдържание
Атака на начина на действие
Нападателите в кампанията Gitlocker са насочени специално към хранилищата на GitHub. След като получат достъп до хранилище, те продължават да изтриват съдържанието му. След това нападателите преименуват хранилището и оставят файл README.me с бележка за откуп, като инструктират жертвите да се свържат с тях в Telegram.
Откраднати идентификационни данни
Актьорът на заплахата зад тази кампания, работещ под името Gitloker в Telegram, изглежда получава достъп до акаунти в GitHub, използвайки откраднати идентификационни данни. Представяйки се за анализатор на кибер инциденти, те твърдят, че са архивирали компрометираните данни и предлагат помощ за възстановяването им. Пълният текст на бележката за откуп гласи:
„Надявам се това съобщение да ви намери добре. Това е спешно известие, за да ви информираме, че вашите данни са били компрометирани и ние сме осигурили резервно копие.
Отговор и препоръки
След предишни атаки GitHub посъветва потребителите да сменят паролите си, за да защитят акаунтите си срещу неоторизиран достъп. Това действие е от решаващо значение за предотвратяване на злонамерени дейности като добавяне на нови SSH ключове, оторизация на нови приложения или модифициране на членове на екипа.
Подобрени мерки за сигурност
За предотвратяване на по-нататъшни компромиси и откриване на подозрителни дейности, потребителите се насърчават да прилагат следните мерки за сигурност:
- Активиране на двуфакторно удостоверяване (2FA) : Добавяне на допълнителен слой на сигурност към процеса на влизане.
- Добавяне на парола : За сигурно влизане без парола.
- Преглед и отмяна на неоторизиран достъп : Редовно проверявайте и управлявайте SSH ключове, ключове за внедряване и оторизирани интеграции.
- Проверете имейл адресите : Уверете се, че всички свързани имейл адреси са правилни и сигурни.
- Преглед на регистрационните файлове за сигурност на акаунта : Проследете промените в хранилището, за да идентифицирате всякакви неупълномощени модификации.
- Управление на уебкукички : Редовно проверявайте и управлявайте уебкукички в хранилища.
Исторически контекст на компромисите в GitHub
Атаката на Gitlocker не е изолиран инцидент. Акаунтите в GitHub преди това са били набелязани и компрометирани, което е довело до значителни нарушения на данните.
Пробив в Microsoft през март 2020 г.: Хакери компрометираха акаунта на Microsoft, като откраднаха над 500 GB файлове от частни хранилища. Докато откраднатите данни се състоеха главно от примерни кодове и тестови проекти, имаше опасения относно разкриването на частни API ключове и пароли. Заплахата ShinyHunters в крайна сметка изтече данните безплатно, след като първоначално планираше да ги продаде.
Фишинг кампания от септември 2020 г.: Потребителите на GitHub бяха насочени към фишинг кампания, включваща фалшиви известия от CircleCI. Нападателите са имали за цел да откраднат идентификационни данни на GitHub и 2FA кодове чрез обратни проксита. След компрометиране на акаунти, те ексфилтрират данни и добавят нови потребителски акаунти, за да поддържат постоянен достъп.
Заключение
Фишинг атаката на Gitlocker подчертава постоянната заплаха за онлайн хранилищата и важността на стабилните практики за сигурност. Като прилагат препоръчаните мерки за сигурност и остават бдителни, потребителите могат по-добре да защитят своите акаунти в GitHub от неоторизиран достъп и потенциална загуба на данни. Тъй като киберзаплахите продължават да се развиват, поддържането на проактивен подход към сигурността е от съществено значение за защитата на ценни цифрови активи.