Фишинговые атаки на Gitlocker
В условиях меняющегося ландшафта угроз кибербезопасности возникла новая кампания атак Gitlocker, нацеленная на репозитории GitHub. В этой операции злоумышленники взламывают учетные записи, стирают содержимое репозитория и требуют от жертв связаться с ними через Telegram для получения дальнейших инструкций. В этой статье рассматриваются особенности этой кампании, ее методы работы и рекомендованные меры безопасности для защиты от таких атак.
Оглавление
Методы атаки
Злоумышленники в кампании Gitlocker нацелены конкретно на репозитории GitHub. Получив доступ к репозиторию, они приступают к стиранию его содержимого. Затем злоумышленники переименовывают репозиторий и оставляют файл README.me с требованием выкупа, предлагая жертвам связаться с ними в Telegram.
Украденные учетные данные
Злоумышленник, стоящий за этой кампанией и действующий в Telegram под ником Gitloker, похоже, получил доступ к учетным записям GitHub, используя украденные учетные данные. Выдавая себя за аналитика киберинцидентов, они утверждают, что создали резервную копию скомпрометированных данных, и предлагают помочь их восстановить. Полный текст записки о выкупе гласит:
«Надеюсь, это сообщение застанет вас в порядке. Это срочное уведомление, информирующее вас о том, что ваши данные были скомпрометированы, и мы создали резервную копию».
Ответ и рекомендации
После предыдущих атак GitHub посоветовал пользователям сменить пароли, чтобы защитить свои учетные записи от несанкционированного доступа. Это действие имеет решающее значение для предотвращения вредоносных действий, таких как добавление новых ключей SSH, авторизация новых приложений или изменение членов команды.
Повышенные меры безопасности
Чтобы предотвратить дальнейшие компрометации и обнаружить подозрительные действия, пользователям рекомендуется принять следующие меры безопасности:
- Включить двухфакторную аутентификацию (2FA) : добавление дополнительного уровня безопасности в процесс входа в систему.
- Добавить пароль : для безопасного входа без пароля.
- Просмотр и отзыв несанкционированного доступа . Регулярно проверяйте и управляйте ключами SSH, ключами развертывания и авторизованными интеграциями.
- Проверка адресов электронной почты : убедитесь, что все связанные адреса электронной почты верны и безопасны.
- Просмотрите журналы безопасности учетной записи : отслеживайте изменения в репозитории, чтобы выявить любые несанкционированные изменения.
- Управление веб-перехватчиками : регулярно проверяйте и управляйте веб-перехватчиками в репозиториях.
Исторический контекст компрометации GitHub
Атака Gitlocker — не единичный инцидент. Учетные записи GitHub ранее подвергались атакам и компрометации, что приводило к серьезным утечкам данных.
Март 2020 г. Нарушение Microsoft : хакеры взломали учетную запись Microsoft, похитив более 500 ГБ файлов из частных репозиториев. Хотя украденные данные в основном состояли из примеров кода и тестовых проектов, существовали опасения по поводу раскрытия частных ключей API и паролей. Злоумышленник ShinyHunters в конечном итоге бесплатно слил данные, хотя первоначально планировал их продать.
Фишинговая кампания, сентябрь 2020 г .: пользователи GitHub подверглись фишинговой кампании с использованием поддельных уведомлений CircleCI. Злоумышленники стремились украсть учетные данные GitHub и коды 2FA через обратные прокси. После компрометации учетных записей они удалили данные и добавили новые учетные записи пользователей для обеспечения постоянного доступа.
Заключение
Фишинговая атака Gitlocker подчеркивает постоянную угрозу онлайн-хранилищам и важность надежных мер безопасности. Применяя рекомендуемые меры безопасности и сохраняя бдительность, пользователи смогут лучше защитить свои учетные записи GitHub от несанкционированного доступа и потенциальной потери данных. Поскольку киберугрозы продолжают развиваться, поддержание упреждающего подхода к безопасности имеет важное значение для защиты ценных цифровых активов.