Společnost Fortinet, světový lídr v oblasti kybernetické bezpečnosti a průkopník konvergence sítí a zabezpečení, zveřejnila zprávu FortiGuard Labs Threat Intelligence Report: Threat Actors Targeting the 2024 U.S. Presidential Election, která odhaluje hrozby spojené s aktuálními prezidentskými volbami v USA. Zpráva zahrnuje hloubkovou analýzu aktivit pozorovaných od ledna do srpna tohoto roku. V souvislosti s volbami se do popředí zájmu dostávají phishingové podvody zaměřené na voliče, škodlivé domény vydávající se stránky kandidátů a další hrozby.
„S blížícími se americkými prezidentskými volbami je nezbytné si uvědomit a pochopit kybernetické hrozby, které mohou mít dopad na integritu a důvěryhodnost volebního procesu. Kybernetičtí protivníci, včetně státem sponzorovaných aktérů a hacktivistických skupin, jsou stále aktivnější a cílí na významné události, jako jsou volby. Zachování ostražitosti, identifikace a analýza potenciálních kybernetických hrozeb a zranitelných míst je zásadní pro přípravu a zabezpečení proti nástrahám a cíleným kyberútokům. Ty by mohly využít vyostřeného okamžiku a narušit nebo ovlivnit volební výsledky,“ říká Derek Manky, hlavní bezpečnostní stratég a viceprezident Global Threat Intelligence ve Fortinetu.
Hlavní zjištění analýzy:
- Phishingové podvody zacílené na voliče v prezidentských volbách USA: Kriminálnici prodávají na darknetu cenově dostupné phishingové sady k zacílení na voliče a dárce pomocí vydávání se za prezidentské kandidáty a kampaně.
- Registrace škodlivých domén na vzestupu: Od začátku roku 2024 bylo zaregistrováno více než 1000 nových potenciálně škodlivých domén, které sledují konkrétní vzorce a začleňují obsah související s volbami a kandidáty. To naznačuje, že aktéři hrozeb využívají zvýšený zájem o volby k nalákání nic netušících cílů a možnému provádění škodlivých aktivit.
- Prostředí darknetu: Na fórech darknetu jsou v prodeji miliardy dokumentů z USA, včetně čísel sociálního zabezpečení (SSN), osobních údajů (PII) a přihlašovacích údajů, které by mohly být použity v dezinformačních kampaních a vést k podvodným aktivitám, phishingovým podvodům a kradení účtů. Přibližně 3 % příspěvků na fórech darknetu se týká právě databází souvisejících s podniky a vládními subjekty.
- Ransomware: Výzkumníci z FortiGuard Labs zaznamenali meziroční nárůst ransomwarových útoků proti vládě USA o 28 % na základě pozorovaných úniků.
Podvody zaměřené na prezidentské volby v USA zaplavují darknet
Kybernetičtí protivníci, včetně státem sponzorovaných aktérů a hacktivistických skupin, jsou před volbami stále aktivnější.
Výzkumný tým laboratoří FortiGuard Labs pozoroval kybezločince, kteří prodávali různé phishingové sady za 1 260 dolarů, které se vydávají za prezidentské kandidáty. Sady jsou navrženy tak, aby shromažďovaly osobní informace, včetně jmen, adres a údajů o kreditních kartách a darech.
Od ledna 2024 také výzkumníci identifikovali více než tisíc nově registrovaných názvů domén, které zahrnují volební pojmy a odkazy na významné osobnosti politické sféry. Podvodné fundraisingové weby, včetně secure[.]actsblues[.]com, měly napodobit legitimní web pro ActBlue (secure[.]actblue[.]com), neziskovou americkou fundraisingovou platformu a politický akční výbor.
Dva nejvyužívanější poskytovatelé hostingu pro tyto webové stránky s volební tématikou jsou AMAZON-02 a CLOUDFLARENET. Závislost na hlavních hostingových platformách, jako jsou Amazon Web Services (AWS) a Cloudflare, naznačuje, že aktéři hrozeb tyto renomované služby využívají k posílení legitimity a odolnosti svých škodlivých domén.
Výrazná koncentrace domén je spojena s omezeným počtem IP adres, což naznačuje centralizovaný přístup aktérů hrozeb k efektivnímu spravování více škodlivých domén za účelem provádění rozsáhlých kybernetických kampaní.
Prodej osobních dat se zaměřuje na USA
Analýza laboratoří FortiGuard Labs nadále ukazuje značný počet různých databází dostupných na fórech darknetu zaměřených na USA, včetně SSN, uživatelských jmen, e-mailových adres, hesel, údajů o kreditních kartách, dat narození a dalších osobních informací, které by mohly být použity ke zpochybnění integrity amerických voleb.
Konkrétně zahrnují:
- Seznamy s více než 1,3 miliardami řádků s uživatelskými jmény, e-mailovými adresami a hesly, které značí velké riziko pro zneužití. Při těchto útocích využívají kyberzločinci odcizené informace k získání neoprávněného přístupu k účtům, což z nich činí oprávněný a zásadní bezpečnostní problém.
- Zveřejnění 300 000 řádků údajů o kreditních kartách, včetně CVV (speciálního trojmístného čísla), jména, čísla karty, datum vypršení platnosti karty a data narození, upozorňuje na potenciální rizika finančních podvodů namířených proti voličům a politikům.
- Více než 2 miliardy řádků uživatelských databází na darknetu poukazuje na zvýšené vystavení krádežím identity a cíleným phishingovým útokům.
- 10 % příspěvků na fórech darknetu je spojeno s databázemi SSN, což představuje významnou hrozbu zvýšením rizika zpronevěření osobních údajů.
Vláda USA je stále atraktivnějším cílem
Před volbami mohou mít ransomwarové útoky namířené proti vládním agenturám dopad na volební proces a důvěru veřejnosti ve vládní instituce. Ve srovnání s rokem 2023 zaznamenal výzkumný tým FortiGuard Labs v roce 2024 28% nárůst ransomwarových útoků právě proti vládě USA.
Darknet se stal centrem hrozeb specifických pro USA, kde hackeři obchodují s citlivými informacemi a mohou potenciálně vyvíjet strategie k využití zranitelných míst. Přibližně 3 % příspěvků na těchto fórech obsahuje databáze týkající se podnikatelských a vládních subjektů. V těchto databázích jsou uložena kritická organizační data, která jsou zranitelná vůči kybernetickým zneužitím a jsou hlavním cílem kriminálníků ve volebním období.