Gitlocker-phishing-aanvallen
In het veranderende landschap van cybersecurity-bedreigingen is er een nieuwe Gitlocker-aanvalscampagne ontstaan, gericht op GitHub-opslagplaatsen. Bij deze operatie zijn kwaadwillende actoren betrokken die accounts compromitteren, de inhoud van de repository wissen en van slachtoffers eisen dat ze via Telegram contact met hen opnemen voor verdere instructies. Dit artikel gaat in op de specifieke kenmerken van deze campagne, de modus operandi ervan en aanbevolen veiligheidsmaatregelen om zich tegen dergelijke aanvallen te beschermen.
Inhoudsopgave
Aanvalsmodus Operandi
Aanvallers in de Gitlocker-campagne richten zich specifiek op GitHub-opslagplaatsen. Zodra ze toegang krijgen tot een repository, gaan ze verder met het wissen van de inhoud ervan. De aanvallers hernoemen vervolgens de repository en laten een README.me-bestand achter met een losgeldbriefje, waarin de slachtoffers worden geïnstrueerd contact met hen op te nemen via Telegram.
Gestolen inloggegevens
De bedreigingsacteur achter deze campagne, opererend onder de naam Gitloker op Telegram, lijkt toegang te krijgen tot GitHub-accounts met behulp van gestolen inloggegevens. Ze doen zich voor als analist van cyberincidenten en beweren een back-up te hebben gemaakt van de gecompromitteerde gegevens en bieden aan te helpen deze te herstellen. De volledige tekst van het losgeldbriefje luidt:
'Ik hoop dat dit bericht je in goede gezondheid bereikt. Dit is een dringend bericht om u te laten weten dat uw gegevens zijn aangetast en dat we een back-up hebben beveiligd.'
Reactie en aanbevelingen
Na eerdere aanvallen heeft GitHub gebruikers geadviseerd hun wachtwoorden te wijzigen om hun accounts te beveiligen tegen ongeautoriseerde toegang. Deze actie is cruciaal om kwaadwillige activiteiten te voorkomen, zoals het toevoegen van nieuwe SSH-sleutels, het autoriseren van nieuwe apps of het wijzigen van teamleden.
Verbeterde beveiligingsmaatregelen
Om verdere compromitteringen te voorkomen en verdachte activiteiten te detecteren, worden gebruikers aangemoedigd om de volgende beveiligingsmaatregelen te implementeren:
- Schakel tweefactorauthenticatie (2FA) in : Voeg een extra beveiligingslaag toe aan het inlogproces.
- Voeg een toegangssleutel toe : voor veilig inloggen zonder wachtwoord.
- Ongeautoriseerde toegang beoordelen en intrekken : Controleer en beheer regelmatig SSH-sleutels, implementeer sleutels en geautoriseerde integraties.
- E-mailadressen verifiëren : Zorg ervoor dat alle bijbehorende e-mailadressen correct en veilig zijn.
- Accountbeveiligingslogboeken bekijken : houd wijzigingen in de opslagplaats bij om ongeoorloofde wijzigingen te identificeren.
- Webhooks beheren : controleer en beheer regelmatig webhooks in repository's.
Historische context van GitHub-compromissen
De Gitlocker-aanval is geen geïsoleerd incident. GitHub-accounts zijn eerder doelwit geweest en gecompromitteerd, wat tot aanzienlijke datalekken heeft geleid.
Maart 2020 Microsoft-inbreuk : Hackers hebben het Microsoft-account gecompromitteerd en meer dan 500 GB aan bestanden uit privéopslagplaatsen gestolen. Hoewel de gestolen gegevens voornamelijk bestonden uit codevoorbeelden en testprojecten, waren er zorgen over de openbaarmaking van privé-API-sleutels en wachtwoorden. De bedreigingsacteur ShinyHunters lekte de gegevens uiteindelijk gratis nadat hij aanvankelijk van plan was deze te verkopen.
Phishing-campagne van september 2020 : GitHub-gebruikers waren het doelwit van een phishing-campagne met valse CircleCI-meldingen. Aanvallers probeerden GitHub-inloggegevens en 2FA-codes te stelen via reverse proxy's. Nadat ze accounts hadden gecompromitteerd, exfiltreerden ze gegevens en voegden nieuwe gebruikersaccounts toe om blijvende toegang te behouden.
Conclusie
De Gitlocker Phishing-aanval onderstreept de aanhoudende dreiging voor online opslagplaatsen en het belang van robuuste beveiligingspraktijken. Door aanbevolen beveiligingsmaatregelen te implementeren en waakzaam te blijven, kunnen gebruikers hun GitHub-accounts beter beschermen tegen ongeautoriseerde toegang en mogelijk gegevensverlies. Omdat cyberdreigingen zich blijven ontwikkelen, is het handhaven van een proactieve benadering van beveiliging essentieel voor het beschermen van waardevolle digitale activa.