Hundredvis af netværksoperatøroplysninger stjålet via kompromitterede RIPE-konti blev for nylig opdaget på Dark Web.
RIPE, databasen for IP-adresser og deres ejere for alle lande i Mellemøsten såvel som nogle i Europa og Afrika, har været et populært mål på det seneste, da angribere har kompromitteret kontologin for at indsamle oplysninger, siger forskere fra Det sagde Resecurity i et blogindlæg.
“Bad actors use the acquired compromised credentials to RIPE and other portals for the probing of other applications and services to which the victim may have privileged access. Based on our assessment, such tactics increase their chances on successful network intrusion into target enterprises and telecom operators,” says Shawn Loveland, COO at Resecurity, which found the leaked credentials.
Tidligere i denne måned, Orange Spanien suffered an Internet outage after a hacker breached the company’s RIPE account to misconfigure BGP routing and an RPKI configuration.
In a statement, RIPE said it was investigating the compromise of a RIPE Network Coordination Center Access account that “temporarily” affected “some services” for that account.
Network Engineers a “RIPE” Target
Resecurity gennemførte en omfattende overvågningsøvelse i 1. kvartal 2024 og identificerede 716 kompromitterede RIPE NCC-kunder med lækkede legitimationsoplysninger på Dark Web. Disse organisationer omfattede en videnskabelig forskningsorganisation fra Iran; en IKT-teknologileverandør baseret i Saudi-Arabien; et regeringsagentur fra Irak; og en ikke-for-profit internetbørs i Bahrain.
I alt afslørede Resecurity 1,572 kundekonti på tværs af RIPE og andre regionale netværk, inklusive APNIC, AFRINIC og LACNIC, som blev kompromitteret på grund af malware-aktivitet, der involverede velkendte adgangskodetyve som f.eks. Røde linje, Vidar, Lumma, Azorult og Taurus.
Gene Yoo, CEO of Resecurity, explains that attackers not only stole RIPE accounts but also lifted other privileged user credentials. Once they dropped malware onto the victim’s computer, the attackers were able to exfiltrate other passwords and forms as well.
“That’s why what we purchased includes credentials not limited to RIPE only (and other organizations selling IPs), but [also] credentials to other services” he says.
Infostealerne henvendte sig især til netværksingeniører, ISP/telekomingeniører, datacenterteknikere og outsourcingvirksomheder.
“As the largest registry, it makes sense that RIPE would have the largest victim pool. Therefore, it’s difficult to say whether this registry has been targeted more deliberately than its global peers,” said Resecurity in its blog.
Kritisk arvesystem
Elliott Wilkes, CTO hos Advanced Cyber Defense Systems, bemærker, at legitimationstyveri er et udbredt problem i Mellemøsten og globalt.
“Organizations that use contractors and remote staff to complete engineering tasks absolutely must deploy tools to protect their privileged access,” he says. “In these companies, engineers often will have elevated or admin access to critical legacy systems.”
Wilkes foreslår, at effektive værktøjer til administration af privilegeret adgang bør bruge just-in-time (JIT) adgang til at implementere tidsbundne legitimationsoplysninger, hvilket indsnævrer tidsvinduet, inden for hvilket stjålne legitimationsoplysninger kan udnyttes.
Paul Lewis, CISO at Nominet, the UK’s official registry for domain names, cautions that RIPE customers must take responsibility for their corporate security.
“What’s interesting is how this incident leveraged the centralization of services, such as the RIPE NCC portal. While we can centralize critical services such as BGP or RPKI and outsource them, it doesn’t mean that an organization can outsource the risk entirely. They need to acknowledge that and implement the correct controls,” he said.
Lewis added: “Privileged users need to be aware of the security risks that could be present in key outsourcing situations and use proper due diligence when using these services. Strong authentication is a must-have in this type of situation.”
Take the Orange España case. “Ultimately, it all comes back to the basics. Orange España seemed to use extremely basic passwords and it would also seem [that it] didn’t enable multi-factor authentication and [was] lacking in foundational security hygiene,” Lewis says.
Lækager og cyberangreb
Ifølge IDC META (Mellemøsten, Tyrkiet og Afrika) har der for nylig været en stigning i malware-bårne cyberangreb i Mellemøsten. Mere end 65 % af CISO'er i META rapporterede en stigning i malware, som rapporteret i IDC’s 2024 security survey, med henvisning til phishing-angreb, legitimationslækager og social engineering.
“These types of attacks, arising from credential leaks, are becoming very common in the Middle East,” says Shilpi Handa, associate research director at IDC Middle East.
Hun siger, at legitimationslækager giver angribere logindetaljer, der kan bruges til legitimationsfyldning, privilegieeskalering og omgåelse af autentificering. Stjålne legitimationsoplysninger, især fra privilegerede brugere, muliggør lateral bevægelse inden for netværk og udgør betydelige sikkerhedsrisici.
Dark Reading har kontaktet RIPE for yderligere kommentarer.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyberattacks-data-breaches/looted-ripe-credentials-for-sale-on-dark-web
- :har
- :er
- :ikke
- 1
- 2024
- a
- I stand
- absolut
- adgang
- adgangsstyring
- Konto
- Konti
- anerkende
- erhvervede
- tværs
- aktivitet
- aktører
- tilføjet
- adresser
- admin
- fremskreden
- påvirket
- afrika
- Efter
- agentur
- Alle
- også
- an
- ,
- applikationer
- ER
- opstår
- AS
- vurdering
- Associate
- At
- Angreb
- Godkendelse
- opmærksom på
- tilbage
- Bad
- bahrain
- baseret
- grundlæggende
- Grundlæggende
- BE
- blive
- været
- Blog
- men
- bypass
- CAN
- tilfælde
- advarer
- center
- Centralisering
- centralisere
- center
- Direktør
- odds
- CISO
- citerer
- kommer
- KOMMENTAR
- Fælles
- Virksomheder
- selskab
- fuldføre
- kompromis
- Kompromitteret
- computer
- gennemført
- Konfiguration
- entreprenører
- kontrol
- kurre
- koordinering
- Corporate
- korrigere
- kunne
- land
- KREDENTIAL
- legitimationsstopning
- Legitimationsoplysninger
- kritisk
- CTO
- kunde
- Kunder
- Cyber
- cyberangreb
- mørk
- Mørk Web
- data
- datacenter
- Database
- forsvar
- indsætte
- detaljer
- gjorde ikke
- svært
- diligence
- Direktør
- opdaget
- gør ikke
- domæne
- DOMÆNENAVNE
- droppet
- grund
- Øst
- Effektiv
- forhøjet
- muliggøre
- Engineering
- Ingeniører
- virksomheder
- helt
- optrapning
- især
- Ether (ETH)
- Europa
- Hver
- udveksling
- Dyrke motion
- Forklarer
- Exploited
- omfattende
- ekstremt
- Til
- formularer
- fundet
- foundational
- fra
- yderligere
- samle
- Global
- Globalt
- Regering
- hacker
- Have
- he
- Hvordan
- HTTPS
- IKT
- IDC
- identificeret
- gennemføre
- in
- hændelse
- medtaget
- omfatter
- Herunder
- Forøg
- oplysninger
- interessant
- Internet
- ind
- involverer
- IP
- IP-adresser
- Iran
- iraq
- spørgsmål
- IT
- ITS
- JIT
- jpg
- Nøgle
- mangler
- største
- Sent
- Lækager
- Legacy
- gearede
- Lewis
- Lifted
- ligesom
- Limited
- Logge på
- logins
- maerker
- malware
- ledelse
- styringsværktøjer
- Kan..
- betyde
- Meta
- Mellemøsten
- Middle East
- overvågning
- Måned
- mere
- bevægelse
- multi-faktor autentificering
- skal
- Must-have
- navne
- Behov
- netværk
- net
- Noter
- of
- officiel
- tit
- on
- engang
- kun
- operatør
- Operatører
- or
- Orange
- ordrer
- organisation
- organisationer
- Andet
- vores
- nedbrud
- outsource
- outsourcing
- ejere
- særlig
- Adgangskode
- Nulstilling/ændring af adgangskoder
- peers
- Phishing
- phishing-angreb
- plato
- Platon Data Intelligence
- PlatoData
- pool
- Populær
- Portal
- præsentere
- privilegium
- privilegeret
- passende
- beskytte
- give
- udbyder
- købt
- Q1
- Læsning
- nylige
- for nylig
- regional
- register
- fjern
- rapporteret
- forskning
- forskere
- ansvar
- Risiko
- risici
- routing
- s
- Said
- salg
- Saudi
- Saudi Arabien
- siger
- siger
- videnskabelig
- Videnskabelig undersøgelse
- sikkerhed
- sikkerhedsrisici
- synes
- syntes
- Salg
- forstand
- Tjenester
- Shawn
- bør
- signifikant
- Situationen
- situationer
- Social
- Samfundsteknologi
- nogle
- Personale
- Statement
- Stole
- stjålet
- stærk
- udstopning
- vellykket
- sådan
- foreslår
- bølge
- Systemer
- T
- taktik
- Tag
- mål
- målrettet
- opgaver
- Taurus
- Teknologier
- telecom
- end
- at
- Grundlæggende
- UK
- tyveri
- deres
- Them
- Der.
- derfor
- Disse
- de
- denne
- tid
- til
- værktøjer
- I alt
- Tyrkiet
- typen
- typer
- Uk
- Ultimativt
- afdækket
- brug
- anvendte
- Bruger
- brugere
- ved brug af
- meget
- via
- Victim
- var
- we
- web
- GODT
- Kendt
- var
- Hvad
- hvornår
- hvorvidt
- som
- mens
- WHO
- hvorfor
- vilje
- vindue
- med
- inden for
- ville
- zephyrnet