Fortinet FortiGuard Labs analizuje aktywność w darknecie ukierunkowaną na wybory prezydenckie w Stanach Zjednoczonych w 2024 r.

Fortinet, globalny lider cyberbezpieczeństwa, który dąży do konwergencji sieci i rozwiązań ochronnych, opublikował, opracowany przez zajmujący się śledzeniem cyberzagrożeń dział FortiGuard Labs, raport dotyczący działań cyberprzestępców wymierzonych w amerykańskie wybory prezydenckie w 2024 r.

Dokument ten ujawnia i analizuje zagrożenia związane z amerykańskimi podmiotami biznesowymi i organizacjami, wyborcami oraz całym procesem wyborczym.

 „Wraz ze zbliżającymi się wyborami prezydenckimi w USA w 2024 r., kluczowe znaczenie zyskało rozpoznanie i zrozumienie cyberzagrożeń, które mogą mieć wpływ na integralność i wiarygodność procesu wyborczego oraz dobrobyt uczestniczących w nim obywateli. Cyberprzestępcy, w tym podmioty sponsorowane przez państwa, a także grupy haktywistów, są coraz bardziej aktywni przed ważnymi wydarzeniami, takimi jak wybory. Zachowanie czujności, identyfikowanie oraz analiza potencjalnych cyfrowych zagrożeń i słabych punktów mają kluczowe znaczenie dla przygotowania przed ukierunkowanymi cyberatakami oraz ochrony przed nimi, aby cyberprzestępcy nie mogli wykorzystać tych wyjątkowych chwil, ani zakłócić wyborów lub wpłynąć na ich wyniki.” – powiedział Derek Manky, Chief Security Strategist, VP of Global Threat Intelligence, Fortinet.

 

Oszustwa wymierzone w wybory prezydenckie w USA w 2024 r. zalewają darknet

Cyberprzestępcy, w tym podmioty sponsorowane przez państwo i grupy haktywistów, są coraz bardziej aktywni w okresie poprzedzającym wybory. Zespół badawczy FortiGuard Labs zaobserwował osoby sprzedające różne zestawy phishingowe za 1260 dolarów każdy, stworzone w celu podszywania się pod kandydatów na prezydenta USA. Zestawy te mają na celu zbieranie danych osobowych, w tym nazwisk, adresów i numerów kart kredytowych (podawanych w celu przekazania darowizny).

Od stycznia 2024 r. badacze FortiGuard Labs zidentyfikowali również ponad tysiąc nowo zarejestrowanych nazw domen, które zawierają terminy związane z wyborami oraz odniesienia do znanych postaci politycznych. Wśród nich pojawił się fałszywy adres strony internetowej amerykańskiej platformy non-profit ActBlue służącej do zbierania funduszy na rzecz akcji politycznych – adres secure[.]actsblues[.]com miał imitować legalną stronę, dostępną pod adresem secure[.]actblue[.]com.

Dwaj najczęściej wykorzystywani dostawcy usług hostingowych dla fałszywych stron internetowych dotyczących tematyki wyborczej to AMAZON-02 i CLOUDFLARENET. Poleganie przez cyberprzestępców na głównych platformach hostingowych, takich jak Amazon Web Services (AWS) i Cloudflare, sugeruje, że celowo wykorzystują usługi o uznanej w branży reputacji w celu sprawienia wrażenia legalności i odporności swoich złośliwych witryn.

W kontekście zagrożeń związanych z wyborami można też zauważyć, że znacząca liczba złośliwych domen powiązana jest z dość ograniczoną liczbą adresów IP. Wskazuje to na scentralizowane podejście cyberprzestępców do efektywnego zarządzania zbudowanym w ten sposób środowiskiem, w celu przeprowadzania cyfrowych kampanii na dużą skalę.

 

Dane osobowe wciąż sprzedawane są hurtowo w USA

Analiza FortiGuard Labs wykazała utrzymującą się nadal w znacznej liczbie dostępność różnorodnych baz danych na forach darknetowych, skierowanych przeciwko obywatelom Stanów Zjednoczonych, zawierających numery SSN, nazwy użytkowników, adresy e-mail, hasła, dane kart kredytowych, daty urodzenia i inne informacje osobiste, które można wykorzystać do wpłynięcia na integralność wyborów w USA w 2024 roku. Oto niektóre z informacji odkrytych przez analityków:

  • Istnieje lista zawierająca ponad 1,3 miliarda rekordów z nazwami użytkowników, adresami e-mail i hasłami, które mogą być wykorzystane do prowadzenia ataków typu credential stuffing. Dokonujący ich cyberprzestępcy wykorzystują skradzione dane uwierzytelniające do uzyskania nieautoryzowanego dostępu do kont, co stanowi istotne zagrożenie dla bezpieczeństwa.
  • Odkryto bazę zawierającą 300 tys. rekordów z danymi kart kredytowych (imię i nazwisko, numer karty, CVV, data ważności i data urodzenia), które mogą być wykorzystane do oszustw finansowych wymierzonych w wyborców i urzędników wyborczych.
  • Obecność w darknecie bazy z ponad 2 miliardami rekordów z danymi użytkowników wskazuje na zwiększone ryzyko występowania ataków bazujących na kradzieży tożsamości oraz ukierunkowanych kampanii phishingowych.
  • 10% postów na forach darknet jest powiązanych z bazami danych zawierającymi numery SSN, co stanowi poważne zagrożenie i zwiększa ryzyko naruszenia danych osobowych.

 

Rząd Stanów Zjednoczonych jest coraz bardziej atrakcyjnym celem ataków

Ataki ransomware wymierzone przeciwko agencjom rządowym przed wyborami mogą mieć wpływ na sam proces wyborczy oraz zaufanie publiczne do instytucji rządowych. Zespół badawczy FortiGuard Labs zaobserwował w 2024 roku wzrost o 28% (w porównaniu z rokiem 2023) liczby ataków ransomware na rząd USA.

Sieć darknet stała się centrum specyficznych dla USA zagrożeń, w którym złośliwi aktorzy handlują poufnymi informacjami i mogą potencjalnie opracowywać strategie wykorzystywania luk w zabezpieczeniach. Około 3% postów na tych forach dotyczy baz danych związanych z podmiotami biznesowymi i rządowymi. W bazach tych znajdują się krytyczne dane organizacyjne, które mogą być wykorzystane przy prowadzeniu cyberataków na rządowe podmioty za każdym razem, gdy zbliżają się i trwają wybory.

 

Cyber24Day 2024: „W bezpieczeństwie bardzo ważna jest edukacja (…) cieszę się, że branża IT aż tyle w Polsce zainwestowała w budowę świadomości” – podkreślił Wojciech Zaskórski, General Manager Lenovo Polska