Cyberattack sluit Amerikaanse websites over werkloosheid en banen • The Register

Een cyberaanval op een softwarebedrijf bijna een week geleden blijft arbeidsbureaus en personeelsdiensten in een aantal staten binnendringen, waardoor mensen worden afgesloten van diensten zoals werkloosheidsuitkeringen en programma’s voor het zoeken naar werk.

Arbeidsafdelingen en aanverwante instanties in ten minste negen staten worden getroffen. Volgens de Louisiana Workforce Commission in een verklaring deze week, is Geographic Solutions (GSI) gedwongen de staatsstelsels voor werkgelegenheids- en werkloosheidsclaims te sluiten, en maar liefst 40 staten en Washington DC, die allemaal afhankelijk zijn van de diensten van GSI, kunnen dit doen aangetast.

In een verklaring aan mediaorganisaties zei GSI-president Paul Toomey dat het in Palm Harbor, Florida gevestigde bedrijf “abnormale activiteit op ons netwerk heeft gedetecteerd” en zijn diensten offline heeft gehaald. Toomey ging niet in op de vraag of GSI werd getroffen door ransomware of een ander type malware.

Hij zei dat het bedrijf samenwerkt met externe specialisten om het cyberincident te onderzoeken en ervoor te zorgen dat het niet opnieuw gebeurt. Toomey zei dat hij hoopt de diensten terug te krijgen voor de feestdag van 4 juli, hoewel de website van GSI hier aan de oostkust van de VS vanaf vrijdagmiddag nog steeds offline was. Autoriteiten in verschillende staten zeiden dat ze op 26 juni door GSI op de hoogte waren gebracht van het probleem.

Volgens de LinkedIn-pagina van het bedrijf ontwikkelt GSI software voor doeleinden zoals human resource development, werkgelegenheidsinformatie en werkloosheidsverzekering, en heeft het online aanbiedingen gecreëerd voor staats- en lokale overheden in meer dan 35 staten. Met meer dan 350 medewerkers implementeert en beheert de provider ook websites voor bureaus als Californië, Florida, North Carolina en Indiana.

De sluiting van diensten zal gevolgen hebben voor tienduizenden werklozen en werkzoekenden in het hele land. De storing van de HiRE-website van de Louisiana Workforce Commission treft bijna 11.000 mensen die werkloosheidsaanvragen blijven indienen in de staat.

GSI exploiteert ook de Jobs4TN-site in Tennessee, die het werkloosheidssysteem van de staat en de uitwisseling van arbeidsgegevens omvat, die ook offline ging. Ongeveer 12.000 inwoners van Tennessee vertrouwen op de werkloosheids- en personeelsontwikkelingsprogramma’s van de staat, volgens het ministerie van Arbeid en Human Resources. Dit werd aangekondigd door de Californian Employment Development Department in een verklaring [PDF] Door het afsluiten van de GSI-service is de CalJOBS-website offline gegaan.

Andere staten, van New Hampshire tot Texas, werden ook getroffen door de GSI-storing. Het Nebraska Department of Labour, waarvan de NEworks-website voor werkloosheid en banen offline ging, zei in een verklaring dat “GSI heeft aangegeven dat deze aanval alleen de toegang tot online GSI-systemen trof en dat er geen bewijs is dat gebruikersgegevens in gevaar zijn gebracht.”

GSI heeft verklaard dat deze aanval alleen de toegang tot online GSI-systemen trof en er is geen bewijs dat gebruikersgegevens zijn gecompromitteerd

Hoewel GSI geen commentaar geeft op het type aanval dat het heeft getroffen, heeft het wel het gevoel van ransomware, volgens Mike Parkin, senior technisch ingenieur bij Vulcan Cyber.

“Gezien hoe vaak ransomware is, zou het niet verwonderlijk zijn als dat hier het geval zou zijn”, zei Parkin het register. “Terwijl een aanvaller de operaties eenvoudigweg kan verstoren met een denial of service, distributed denial of service of destructieve malware, spreekt het nastreven van winst, met name wanneer er persoonlijk identificeerbare informatie bij betrokken kan zijn, in het voordeel van een ransomware-aanval.”

Gezien de onstabiele internationale situatie en de aard van het doelwit, is het mogelijk dat de aanval afkomstig was van een natiestaat of een door de staat gesteunde dreigingsactor, voegde hij eraan toe.

John Bambenek, principal threat hunter bij cyberbeveiligingsbedrijf Netenrich, was het ermee eens dat het waarschijnlijk een ransomware-aanval was vanwege het ontwrichtende karakter ervan, en zei het register “De belangrijkste vraag is welke informatie gevaar loopt voor de gebruikers van deze websites en welke beschermende maatregelen zij moeten nemen. Te vaak concentreren we ons op de zakelijke aspecten van incidentrespons, maar vergeten we de impact op degenen wiens privé-informatie wordt gestolen.”

De storing is de laatste in een groeiende trend van aanvallen op de toeleveringsketen van software, waarbij cybercriminelen zich richten op een organisatie met als doel de partners en klanten van het slachtoffer stroomafwaarts te infecteren, waardoor de explosieradius van de malware aanzienlijk wordt vergroot. De 2020-aanval op SolarWinds is een voorbeeld waarbij de door Rusland gecontroleerde bende Nobelium kwaadaardige code kon injecteren in een upgrade van de Orion-infrastructuurbeheersoftware van het bedrijf. Toen klanten van SolarWinds, waaronder veel IT-afdelingen van de Amerikaanse overheid, de update downloadden en implementeerden, werden hun systemen ook geïnfecteerd.

Andere voorbeelden zijn de ransomware-aanval op softwareleverancier Kaseya een jaar geleden, die misbruik maakte van een kwetsbaarheid in de VSA-software van het bedrijf om bedrijven in de toeleveringsketen te infecteren.

microsoft_sign_office_building

Supply chain-aanvallen worden erger: hoofd van het Microsoft Security Response Center

LEES VERDER

In zijn Data Breach Investigations Report voor 2022 schat Verizon dat supply chain-aanvallen elk jaar verantwoordelijk zijn voor ongeveer 10 procent van het totale aantal cyberbeveiligingsincidenten. Het supply chain-risico ontwikkelt zich, volgens Deepen Desai, CISO en vice-president van beveiligingsonderzoek en -operaties bij zero trust provider Zscaler.

Traditioneel werden ze, net als de SolarWinds-affaire, geleid door natiestaten voor spionagedoeleinden, zei Desai. het register tijdens Zscaler’s recente Zenith Live-conferentie. Nu zien echter financieel gemotiveerde dreigingsgroepen hoe ze ook een organisatie kunnen infecteren met kwaadaardige code “en uitstappen bij duizenden downstream-organisaties die klant zijn”.

“Dit toont aan dat de crimeware-bendes — deze financiële bendes — zijn geëvolueerd in termen van hun verfijning en gebruik maken van enkele van de nationale playbooks”, zei hij. “Het was te verwachten, vooral gezien het enorme succes van sommige van deze [nation-state] bendes gehad.”

Desai merkte ook op dat hij meertrapsaanvallen verwacht die niet alleen gericht zijn op de downstreampartners en klanten van het slachtoffer, maar ook op de upstream-leveranciers van het slachtoffer.

Volgens Tim Marley, field CISO en vice-president audit, risk en compliance bij Cerberus Sentinel, onderstreept de GSI-aanval ook de noodzaak voor organisaties om risicobeheerprogramma’s van derden te ontwikkelen.

“We hebben de afgelopen tien jaar een significante verschuiving gezien van on-premises naar in de cloud gehoste oplossingen”, zegt Marley het register. “We nemen de verantwoordelijkheid voor het rechtstreeks controleren en beheren van deze systemen en vertrouwen erop dat onze leveranciers dit voor ons doen. Dit veranderende landschap heeft veel meer nadruk gelegd op de noodzaak om te certificeren dat onze derde partijen onze systemen en gegevens op verantwoorde en veilige wijze beheren.” ®

Leave a Comment