Darknet jest już od wielu miesięcy gotowy na amerykańskie wybory

Fortinet obserwuje wzmożoną aktywność w darknecie ukierunkowaną na wybory prezydenckie w Stanach Zjednoczonych w 2024 r.

Fortinet opublikował raport dotyczący działań cyberprzestępców wymierzonych w amerykańskie wybory.

W opublikowanym dokumencie zaprezentowano dogłębną analizę zagrożeń zaobserwowanych od stycznia 2024 r. do sierpnia 2024 r.

Przedstawiono wachlarz różnorodnych cyberzagrożeń, które mogą mieć wpływ na podmioty z siedzibą w USA i proces wyborczy.

Zespół badawczy FortiGuard Labs zaobserwował osoby sprzedające różne zestawy phishingowe za 1260 dolarów każdy, stworzone w celu podszywania się pod kandydatów na prezydenta USA. Zestawy te mają na celu zbieranie danych osobowych, w tym nazwisk, adresów i numerów kart kredytowych (podawanych w celu przekazania darowizny).

Od stycznia 2024 r. badacze FortiGuard Labs zidentyfikowali również ponad tysiąc nowo zarejestrowanych nazw domen, które zawierają terminy związane z wyborami oraz odniesienia do znanych postaci politycznych. Wśród nich pojawił się fałszywy adres strony internetowej amerykańskiej platformy non-profit ActBlue służącej do zbierania funduszy na rzecz akcji politycznych – adres secure[.]actsblues[.]com miał imitować legalną stronę, dostępną pod adresem secure[.]actblue[.]com.

Dwaj najczęściej wykorzystywani dostawcy usług hostingowych dla fałszywych stron internetowych dotyczących tematyki wyborczej to AMAZON-02 i CLOUDFLARENET. Poleganie przez cyberprzestępców na głównych platformach hostingowych, takich jak Amazon Web Services (AWS) i Cloudflare, sugeruje, że celowo wykorzystują usługi o uznanej w branży reputacji w celu sprawienia wrażenia legalności i odporności swoich złośliwych witryn.

W kontekście zagrożeń związanych z wyborami można też zauważyć, że znacząca liczba złośliwych domen powiązana jest z dość ograniczoną liczbą adresów IP. Wskazuje to na scentralizowane podejście cyberprzestępców do efektywnego zarządzania zbudowanym w ten sposób środowiskiem, w celu przeprowadzania cyfrowych kampanii na dużą skalę.

Analiza FortiGuard Labs wykazała utrzymującą się nadal w znacznej liczbie dostępność różnorodnych baz danych na forach darknetowych, skierowanych przeciwko obywatelom Stanów Zjednoczonych, zawierających numery SSN, nazwy użytkowników, adresy e-mail, hasła, dane kart kredytowych, daty urodzenia i inne informacje osobiste, które można wykorzystać do wpłynięcia na integralność wyborów w USA w 2024 roku.

Oto niektóre z informacji odkrytych przez analityków:

• Istnieje lista zawierająca ponad 1,3 miliarda rekordów z nazwami użytkowników, adresami e-mail i hasłami, które mogą być wykorzystane do prowadzenia ataków typu credential stuffing. Dokonujący ich cyberprzestępcy wykorzystują skradzione dane uwierzytelniające do uzyskania nieautoryzowanego dostępu do kont, co stanowi istotne zagrożenie dla bezpieczeństwa.
• Odkryto bazę zawierającą 300 tys. rekordów z danymi kart kredytowych (imię i nazwisko, numer karty, CVV, data ważności i data urodzenia), które mogą być wykorzystane do oszustw finansowych wymierzonych w wyborców i urzędników wyborczych.
• Obecność w darknecie bazy z ponad 2 miliardami rekordów z danymi użytkowników wskazuje na zwiększone ryzyko występowania ataków bazujących na kradzieży tożsamości oraz ukierunkowanych kampanii phishingowych.
• 10% postów na forach darknet jest powiązanych z bazami danych zawierającymi numery SSN, co stanowi poważne zagrożenie i zwiększa ryzyko naruszenia danych osobowych.

Ataki ransomware wymierzone przeciwko agencjom rządowym przed wyborami mogą mieć wpływ na sam proces wyborczy oraz zaufanie publiczne do instytucji rządowych. Zespół badawczy FortiGuard Labs zaobserwował w 2024 roku wzrost o 28% (w porównaniu z rokiem 2023) liczby ataków ransomware na rząd USA.

Sieć darknet stała się centrum specyficznych dla USA zagrożeń, w którym złośliwi aktorzy handlują poufnymi informacjami i mogą potencjalnie opracowywać strategie wykorzystywania luk w zabezpieczeniach. Około 3% postów na tych forach dotyczy baz danych związanych z podmiotami biznesowymi i rządowymi. W bazach tych znajdują się krytyczne dane organizacyjne, które mogą być wykorzystane przy prowadzeniu cyberataków na rządowe podmioty za każdym razem, gdy zbliżają się i trwają wybory.