Attacchi di phishing Gitlocker
Nel panorama in evoluzione delle minacce alla sicurezza informatica, è emersa una nuova campagna di attacchi Gitlocker, che prende di mira i repository GitHub. Questa operazione coinvolge attori malintenzionati che compromettono gli account, cancellano i contenuti del repository e chiedono alle vittime di contattarli tramite Telegram per ulteriori istruzioni. Questo articolo approfondisce le specifiche di questa campagna, il suo modus operandi e le misure di sicurezza consigliate per proteggersi da tali attacchi.
Sommario
Modus operandi di attacco
Gli aggressori della campagna Gitlocker prendono di mira specificamente i repository GitHub. Una volta ottenuto l'accesso a un repository, procedono a cancellarne il contenuto. Gli aggressori quindi rinominano il repository e lasciano un file README.me con una richiesta di riscatto, ordinando alle vittime di contattarli su Telegram.
Credenziali rubate
L'autore della minaccia dietro questa campagna, che opera sotto lo pseudonimo Gitloker su Telegram, sembra riuscire ad accedere agli account GitHub utilizzando credenziali rubate. Fingendosi analista di incidenti informatici, affermano di aver eseguito il backup dei dati compromessi e si offrono di aiutare a ripristinarli. Il testo completo della richiesta di riscatto recita:
'Spero che questo messaggio ti trovi bene. Questo è un avviso urgente per informarti che i tuoi dati sono stati compromessi e che abbiamo assicurato un backup.'
Risposta e raccomandazioni
A seguito di attacchi precedenti, GitHub ha consigliato agli utenti di modificare le proprie password per proteggere i propri account da accessi non autorizzati. Questa azione è fondamentale per prevenire attività dannose come l'aggiunta di nuove chiavi SSH, l'autorizzazione di nuove app o la modifica dei membri del team.
Misure di sicurezza rafforzate
Per prevenire ulteriori compromissioni e rilevare attività sospette, gli utenti sono incoraggiati a implementare le seguenti misure di sicurezza:
- Abilita l'autenticazione a due fattori (2FA) : aggiunta di un ulteriore livello di sicurezza al processo di accesso.
- Aggiungi una passkey : per un accesso sicuro e senza password.
- Esamina e revoca l'accesso non autorizzato : controlla e gestisci regolarmente le chiavi SSH, distribuisci le chiavi e le integrazioni autorizzate.
- Verifica indirizzi e-mail : assicurati che tutti gli indirizzi e-mail associati siano corretti e sicuri.
- Esamina i registri di sicurezza dell'account : tieni traccia delle modifiche al repository per identificare eventuali modifiche non autorizzate.
- Gestisci webhook : controlla e gestisci regolarmente i webhook sui repository.
Contesto storico dei compromessi GitHub
L’attacco Gitlocker non è un incidente isolato. Gli account GitHub sono stati precedentemente presi di mira e compromessi, provocando significative violazioni dei dati.
Marzo 2020 Violazione di Microsoft : gli hacker hanno compromesso l'account Microsoft, rubando oltre 500 GB di file da repository privati. Sebbene i dati rubati consistessero principalmente in campioni di codice e progetti di test, destavano preoccupazioni circa l’esposizione di chiavi API e password private. L'autore della minaccia ShinyHunters alla fine ha diffuso i dati gratuitamente dopo aver inizialmente pianificato di venderli.
Campagna di phishing di settembre 2020 : gli utenti di GitHub sono stati presi di mira in una campagna di phishing che coinvolgeva false notifiche CircleCI. Gli aggressori miravano a rubare credenziali GitHub e codici 2FA tramite proxy inversi. Dopo aver compromesso gli account, hanno esfiltrato i dati e aggiunto nuovi account utente per mantenere un accesso permanente.
Conclusione
L’attacco di phishing Gitlocker sottolinea la minaccia persistente agli archivi online e l’importanza di solide pratiche di sicurezza. Implementando le misure di sicurezza consigliate e rimanendo vigili, gli utenti possono proteggere meglio i propri account GitHub da accessi non autorizzati e potenziali perdite di dati. Poiché le minacce informatiche continuano ad evolversi, mantenere un approccio proattivo alla sicurezza è essenziale per salvaguardare preziose risorse digitali.