Atacurile de phishing Gitlocker
În peisajul în evoluție al amenințărilor la adresa securității cibernetice, a apărut o nouă campanie de atac Gitlocker, care vizează depozitele GitHub. Această operațiune implică actori rău intenționați care compromit conturile, șterg conținutul depozitului și solicită victimelor să le contacteze prin Telegram pentru instrucțiuni suplimentare. Acest articol analizează specificul acestei campanii, modul de operare al acesteia și măsurile de securitate recomandate pentru a proteja împotriva unor astfel de atacuri.
Cuprins
Atacă Modus Operandi
Atacatorii din campania Gitlocker vizează în mod special depozitele GitHub. Odată ce obțin acces la un depozit, procedează la ștergerea conținutului acestuia. Atacatorii redenumi apoi depozitul și lasă un fișier README.me cu o notă de răscumpărare, indicând victimelor să le contacteze pe Telegram.
Acreditări furate
Actorul de amenințare din spatele acestei campanii, care operează sub controlul Gitloker pe Telegram, pare să obțină acces la conturile GitHub folosind acreditările furate. Prezentându-se drept analist de incidente cibernetice, aceștia susțin că au făcut copii de rezervă ale datelor compromise și se oferă să ajute la restabilirea acestora. Textul integral al notei de răscumpărare spune:
„Sper că acest mesaj te va găsi bine. Aceasta este o notificare urgentă pentru a vă informa că datele dumneavoastră au fost compromise și am asigurat o copie de rezervă.'
Răspuns și recomandări
În urma atacurilor anterioare, GitHub a sfătuit utilizatorii să-și schimbe parolele pentru a-și securiza conturile împotriva accesului neautorizat. Această acțiune este crucială pentru a preveni activitățile rău intenționate, cum ar fi adăugarea de noi chei SSH, autorizarea de noi aplicații sau modificarea membrilor echipei.
Măsuri de securitate sporite
Pentru a preveni alte compromisuri și pentru a detecta activități suspecte, utilizatorii sunt încurajați să implementeze următoarele măsuri de securitate:
- Activați autentificarea în doi factori (2FA) : Adăugarea unui nivel suplimentar de securitate procesului de conectare.
- Adăugați o cheie de acces : pentru o conectare sigură, fără parolă.
- Examinați și revocați accesul neautorizat : verificați și gestionați în mod regulat cheile SSH, implementați cheile și integrările autorizate.
- Verificați adresele de e-mail : asigurați-vă că toate adresele de e-mail asociate sunt corecte și sigure.
- Examinați jurnalele de securitate a contului : urmăriți modificările din depozit pentru a identifica orice modificări neautorizate.
- Gestionați webhook-urile : auditați și gestionați în mod regulat webhook-urile din depozite.
Contextul istoric al compromisurilor GitHub
Atacul Gitlocker nu este un incident izolat. Conturile GitHub au fost anterior vizate și compromise, ceea ce a dus la încălcări semnificative de date.
Martie 2020 Microsoft Breach : Hackerii au compromis contul Microsoft, furând peste 500 GB de fișiere din depozite private. În timp ce datele furate constau în principal din mostre de cod și proiecte de testare, au existat preocupări cu privire la expunerea cheilor și parolelor API private. Actorul de amenințări ShinyHunters a scurs în cele din urmă datele gratuit, după ce inițial plănuia să le vândă.
Campanie de phishing din septembrie 2020 : utilizatorii GitHub au fost vizați într-o campanie de phishing care implică notificări false CircleCI. Atacatorii au urmărit să fure acreditările GitHub și codurile 2FA prin intermediul proxy-urilor inverse. După ce au compromis conturile, au exfiltrat datele și au adăugat noi conturi de utilizator pentru a menține accesul persistent.
Concluzie
Atacul de phishing Gitlocker subliniază amenințarea persistentă la adresa depozitelor online și importanța practicilor solide de securitate. Implementând măsurile de securitate recomandate și rămânând vigilenți, utilizatorii își pot proteja mai bine conturile GitHub împotriva accesului neautorizat și a potențialei pierderi de date. Pe măsură ce amenințările cibernetice continuă să evolueze, menținerea unei abordări proactive a securității este esențială pentru protejarea activelor digitale valoroase.