Хвиля витоків даних вражає страхування та уряд; актор TheFallen активний

Підсумок

Сьогоднішній ландшафт загроз характеризується високою кількістю ймовірних випадків витоку даних із чітким фокусом на сектори страхування та уряду. Актор TheFallen помітно активний, заявляючи про численні зломи фінансових та страхових організацій США. Водночас галузеві звіти вказують на активну експлуатацію критичної вразливості cPanel та складні атаки на ланцюжок постачання екосистем SAP і npm, що сигналізує про необхідність негайного встановлення патчів та перевірки залежностей.

Сьогоднішні події

Найважливішим сигналом сьогодні є зосереджена активність актора TheFallen, який стверджує про злом численних організацій США. Ці ймовірні інциденти включають масштабний компрометацію багатопрофільного страхового провайдера, базу даних фінансового/REIT та ETF інвестора, а також роздрібного продавця люксових парфумів. Якщо ці заяви підтвердяться, це свідчить про цілеспрямовану кампанію проти високовартісних фінансових та споживчих даних у США. Окремо актор MDGhost заявляє про злом ізраїльської страхової компанії та американського страхового агрегатора, що ще більше підкреслює страховий сектор як першочергову ціль.

• TheFallen заявляє про зломи організацій США, включаючи базу даних клієнтів багатопрофільного страхування, список інвесторів фінансового/REIT, базу даних колекціонерів/донорів мистецтва та роздрібного продавця люксових товарів.
• MDGhost заявляє про зломи ізраїльської страхової організації та американського вебсайту автострахування.
• GordonFreeman заявляє про злом венесуельського телекомунікаційного провайдера та двох гватемальських державних установ (Національний реєстр осіб та Суперінтендантство податкового адміністрування).
• 0xHentai та Mr. Hanz Xploit відповідальні за численні ймовірні зломи індонезійських державних та освітніх установ, включаючи університет, районний суд та міське транспортне агентство.

Галузевий аналіз сьогодні надає критичний контекст. Дослідники безпеки виявили критичну вразливість автентифікації в cPanel, яка активно експлуатується, закликаючи до негайного встановлення патчів на всі підтримувані версії. Окремий звіт описує кампанію атак на ланцюжок постачання, спрямовану на npm-пакети, пов'язані з SAP, з використанням шкідливого ПЗ для крадіжки облікових даних, приписувану кампанії під назвою "mini Shai-Hulud". Дослідники також відзначають нову хвилю атак від акторів, пов'язаних із Північною Кореєю, які використовують npm-шкідливе ПЗ, вставлене через ШІ, та фейкові компанії для розгортання троянів віддаленого доступу (RAT). Нарешті, підтверджено, що атака на ланцюжок постачання Checkmarx призвела до витоку даних із їхнього середовища GitHub через тиждень після публікації шкідливого коду.

Сигнали ландшафту загроз

Події дня виявляють кілька дієвих патернів. По-перше, Сполучені Штати є країною-жертвою номер один, головним чином через ймовірне націлювання TheFallen на фінансовий сектор. Індонезія є другою найбільш цільовою країною з високою кількістю низькоскладних зломів державних та освітніх установ місцевими акторами. Концентрація активності DieNet (27 подій) та Keymous Plus (15 подій) свідчить про те, що ці групи проводять постійні, можливо, автоматизовані кампанії.

З оборонної точки зору, поєднання атак на ланцюжок постачання (npm, SAP, Checkmarx) та активної експлуатації критичного компонента інфраструктури (cPanel) вимагає негайної уваги. Експлуатація вразливості LiteLLM невдовзі після її розкриття нагадує про скорочення вікна для встановлення патчів. Звіт про 38 вразливостей у медичному ПЗ OpenEMR також підкреслює постійні ризики в медичних технологіях. Захисникам слід пріоритезувати встановлення патчів для cPanel, аудит npm-залежностей для пакетів, пов'язаних із SAP, та перегляд платформ управління експозицією, щоб встигати за автоматизацією атак на основі ШІ.