Fortinet opublikował, opracowany przez zajmujący się śledzeniem cyberzagrożeń dział FortiGuard Labs, raport dotyczący działań cyberprzestępców wymierzonych w amerykańskie wybory prezydenckie w 2024 r. Dokument ten ujawnia i analizuje zagrożenia związane z amerykańskimi podmiotami biznesowymi i organizacjami, wyborcami oraz całym procesem wyborczym.
Zaobserwowano oszustwa phishingowe wymierzone w wyborców, rejestrowanie złośliwych domen podszywających się pod kandydatów oraz inne zagrożenia mające na celu wykorzystanie niczego nie spodziewających się ofiar.
Cyberprzestępcy, w tym podmioty sponsorowane przez państwa i grupy haktywistów, są coraz bardziej aktywni w okresie poprzedzającym wybory. Zespół badawczy FortiGuard Labs zaobserwował osoby sprzedające różne zestawy phishingowe za 1260 dolarów każdy, stworzone w celu podszywania się pod kandydatów na prezydenta USA. Zestawy te mają na celu zbieranie danych osobowych, w tym nazwisk, adresów i numerów kart kredytowych (podawanych w celu przekazania darowizny).
Od stycznia 2024 r. badacze FortiGuard Labs zidentyfikowali również ponad tysiąc nowo zarejestrowanych nazw domen, które zawierają terminy związane z wyborami oraz odniesienia do znanych postaci politycznych. Wśród nich pojawił się fałszywy adres strony internetowej amerykańskiej platformy non-profit ActBlue służącej do zbierania funduszy na rzecz akcji politycznych – adres secure[.]actsblues[.]com miał imitować legalną stronę, dostępną pod adresem secure[.]actblue[.]com.
Dwaj najczęściej wykorzystywani dostawcy usług hostingowych dla fałszywych stron internetowych dotyczących tematyki wyborczej to AMAZON-02 i CLOUDFLARENET. Poleganie przez cyberprzestępców na głównych platformach hostingowych, takich jak AWS i Cloudflare, sugeruje, że celowo wykorzystują usługi o uznanej w branży reputacji w celu sprawienia wrażenia legalności i odporności swoich złośliwych witryn.
W kontekście zagrożeń związanych z wyborami można też zauważyć, że znacząca liczba złośliwych domen powiązana jest z dość ograniczoną liczbą adresów IP. Wskazuje to na scentralizowane podejście cyberprzestępców do efektywnego zarządzania zbudowanym w ten sposób środowiskiem, w celu przeprowadzania cyfrowych kampanii na dużą skalę.
Analiza FortiGuard Labs wykazała ponadto utrzymującą się nadal w znacznej liczbie dostępność różnorodnych baz danych na forach darknetowych, skierowanych przeciwko obywatelom Stanów Zjednoczonych, zawierających numery SSN, nazwy użytkowników, adresy e-mail, hasła, dane kart kredytowych, daty urodzenia i inne informacje osobiste, które można wykorzystać do wpłynięcia na integralność wyborów w USA w 2024 r.
Oto niektóre z informacji odkrytych przez analityków:
- lista zawierająca ponad 1,3 mld rekordów z nazwami użytkowników, adresami e-mail i hasłami, które mogą być wykorzystane do prowadzenia ataków typu credential stuffing;
- baza zawierającą 300 tys. rekordów z danymi kart kredytowych (imię i nazwisko, numer karty, CVV, data ważności i data urodzenia), które mogą być wykorzystane do oszustw finansowych wymierzonych w wyborców i urzędników wyborczych;
- baza z ponad 2 mld rekordów z danymi użytkowników wskazuje na zwiększone ryzyko występowania ataków bazujących na kradzieży tożsamości oraz ukierunkowanych kampanii phishingowych;
- 10 proc. postów na forach darknet jest powiązanych z bazami danych zawierającymi numery SSN.
Ataki ransomware wymierzone przeciwko agencjom rządowym przed wyborami mogą mieć wpływ na sam proces wyborczy oraz zaufanie publiczne do instytucji rządowych. Zespół badawczy FortiGuard Labs zaobserwował w 2024 r. wzrost o 28 proc. (w porównaniu z 2023 r.) liczby ataków ransomware na rząd USA.
Sieć darknet stała się centrum specyficznych dla USA zagrożeń, w którym odbywa się handel poufnymi informacjami. Około 3 proc. postów na tych forach dotyczy baz danych związanych z podmiotami biznesowymi i rządowymi. W bazach tych znajdują się krytyczne dane organizacyjne, które mogą być wykorzystane przy prowadzeniu cyberataków na rządowe podmioty za każdym razem, gdy zbliżają się i trwają wybory.
W raporcie Fortinet zaprezentowano analizę zaobserwowanych od stycznia 2024 r. do sierpnia 2024 r. cyberzagrożeń, które mogą mieć wpływ na podmioty z siedzibą w USA i proces wyborczy.