การโจมตีแบบฟิชชิ่ง Gitlocker
ในภูมิทัศน์ที่เปลี่ยนแปลงไปของภัยคุกคามความปลอดภัยทางไซเบอร์ แคมเปญการโจมตี Gitlocker ใหม่ได้เกิดขึ้นโดยกำหนดเป้าหมายไปที่พื้นที่เก็บข้อมูล GitHub การดำเนินการนี้เกี่ยวข้องกับผู้ประสงค์ร้ายที่ประนีประนอมบัญชี ลบเนื้อหาที่เก็บข้อมูล และเรียกร้องให้เหยื่อติดต่อพวกเขาผ่านทาง Telegram เพื่อขอคำแนะนำเพิ่มเติม บทความนี้จะเจาะลึกถึงข้อมูลเฉพาะของแคมเปญนี้ วิธีการดำเนินการ และมาตรการรักษาความปลอดภัยที่แนะนำเพื่อป้องกันการโจมตีดังกล่าว
สารบัญ
วิธีดำเนินการโจมตี
ผู้โจมตีในแคมเปญ Gitlocker กำหนดเป้าหมายไปยังที่เก็บ GitHub โดยเฉพาะ เมื่อพวกเขาเข้าถึงพื้นที่เก็บข้อมูลได้ พวกเขาจะทำการล้างเนื้อหาภายในนั้น จากนั้นผู้โจมตีเปลี่ยนชื่อพื้นที่เก็บข้อมูลและทิ้งไฟล์ README.me พร้อมบันทึกเรียกค่าไถ่ เพื่อสั่งให้เหยื่อติดต่อกับพวกเขาทาง Telegram
ข้อมูลประจำตัวที่ถูกขโมย
ผู้คุกคามที่อยู่เบื้องหลังแคมเปญนี้ ซึ่งดำเนินการภายใต้การดูแล Gitloker บน Telegram ดูเหมือนจะเข้าถึงบัญชี GitHub โดยใช้ข้อมูลประจำตัวที่ถูกขโมย พวกเขาสวมรอยเป็นนักวิเคราะห์เหตุการณ์ทางไซเบอร์ โดยอ้างว่าได้สำรองข้อมูลที่ถูกบุกรุกและเสนอให้ช่วยกู้คืนข้อมูลดังกล่าว ข้อความเต็มของบันทึกเรียกค่าไถ่อ่านว่า:
'ฉันหวังว่าข้อความนี้จะส่งถึงคุณโดยดี นี่เป็นประกาศด่วนเพื่อแจ้งให้คุณทราบว่าข้อมูลของคุณถูกบุกรุก และเราได้สำรองข้อมูลอย่างปลอดภัยแล้ว'
การตอบสนองและข้อเสนอแนะ
หลังจากการโจมตีครั้งก่อน GitHub ได้แนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านเพื่อรักษาความปลอดภัยบัญชีของตนจากการเข้าถึงที่ไม่ได้รับอนุญาต การดำเนินการนี้มีความสำคัญอย่างยิ่งในการป้องกันกิจกรรมที่เป็นอันตราย เช่น การเพิ่มคีย์ SSH ใหม่ การอนุญาตแอปใหม่ หรือการแก้ไขสมาชิกในทีม
มาตรการรักษาความปลอดภัยขั้นสูง
เพื่อป้องกันการประนีประนอมเพิ่มเติมและตรวจจับกิจกรรมที่น่าสงสัย ผู้ใช้ควรใช้มาตรการรักษาความปลอดภัยต่อไปนี้:
- เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA) : เพิ่มการรักษาความปลอดภัยอีกชั้นพิเศษให้กับกระบวนการเข้าสู่ระบบ
- เพิ่มรหัสผ่าน : เพื่อการเข้าสู่ระบบที่ปลอดภัยและไร้รหัสผ่าน
- ตรวจสอบและเพิกถอนการเข้าถึงที่ไม่ได้รับอนุญาต : ตรวจสอบและจัดการคีย์ SSH ปรับใช้คีย์ และการรวมระบบที่ได้รับอนุญาตเป็นประจำ
- ตรวจสอบที่อยู่อีเมล : ตรวจสอบให้แน่ใจว่าที่อยู่อีเมลที่เกี่ยวข้องทั้งหมดถูกต้องและปลอดภัย
- ตรวจสอบบันทึกการรักษาความปลอดภัยของบัญชี : ติดตามการเปลี่ยนแปลงพื้นที่เก็บข้อมูลเพื่อระบุการแก้ไขที่ไม่ได้รับอนุญาต
- จัดการ Webhooks : ตรวจสอบและจัดการ webhooks บนที่เก็บเป็นประจำ
บริบททางประวัติศาสตร์ของการประนีประนอม GitHub
การโจมตี Gitlocker ไม่ใช่เหตุการณ์ที่เกิดขึ้นเดี่ยวๆ ก่อนหน้านี้บัญชี GitHub ตกเป็นเป้าหมายและถูกบุกรุก ซึ่งนำไปสู่การละเมิดข้อมูลที่สำคัญ
มีนาคม 2020 Microsoft Breach : แฮกเกอร์บุกรุกบัญชีของ Microsoft โดยขโมยไฟล์มากกว่า 500GB จากที่เก็บส่วนตัว แม้ว่าข้อมูลที่ถูกขโมยส่วนใหญ่จะประกอบด้วยตัวอย่างโค้ดและโปรเจ็กต์ทดสอบ แต่ก็มีความกังวลเกี่ยวกับการเปิดเผยคีย์ API และรหัสผ่านส่วนตัว ในที่สุดผู้คุกคาม ShinyHunters ก็ปล่อยข้อมูลรั่วไหลออกมาโดยไม่เสียค่าใช้จ่าย หลังจากวางแผนที่จะขายมันในตอนแรก
แคมเปญฟิชชิ่งเดือนกันยายน 2020 : ผู้ใช้ GitHub ถูกกำหนดเป้าหมายในแคมเปญฟิชชิ่งที่เกี่ยวข้องกับการแจ้งเตือน CircleCI ปลอม ผู้โจมตีมุ่งเป้าที่จะขโมยข้อมูลรับรอง GitHub และรหัส 2FA ผ่านพร็อกซีย้อนกลับ หลังจากประนีประนอมบัญชีแล้ว พวกเขาก็ขโมยข้อมูลและเพิ่มบัญชีผู้ใช้ใหม่เพื่อรักษาการเข้าถึงอย่างต่อเนื่อง
บทสรุป
การโจมตีแบบฟิชชิ่ง Gitlocker เน้นย้ำถึงภัยคุกคามอย่างต่อเนื่องต่อที่เก็บข้อมูลออนไลน์และความสำคัญของแนวทางปฏิบัติด้านความปลอดภัยที่แข็งแกร่ง การใช้มาตรการรักษาความปลอดภัยที่แนะนำและความระมัดระวัง ผู้ใช้สามารถปกป้องบัญชี GitHub ของตนจากการเข้าถึงโดยไม่ได้รับอนุญาตและข้อมูลที่อาจสูญหายได้ดีขึ้น เนื่องจากภัยคุกคามทางไซเบอร์ยังคงมีการพัฒนาอย่างต่อเนื่อง การรักษาแนวทางการรักษาความปลอดภัยเชิงรุกถือเป็นสิ่งสำคัญในการปกป้องทรัพย์สินดิจิทัลอันมีค่า