Sterke toename aanvallen op cloudaccounts beslissers

Redactie

24 augustus 2023

Het aantal succesvolle cyberaanvallen waarbij cloudaccounts van topbestuurders worden overgenomen, is met meer dan 100 procent gestegen. Cybercriminelen maken hierbij gebruik van een phishingtool – EvilProxy – gebaseerd op reverse proxy waarmee ze MFA-gegevens en sessiecookies stelen. Hierop duidt onderzoek van Proofpoint.

Steeds meer organisaties maken gebruik van multifactor-authenticatie (MFA). Maar in tegenstelling tot wat je zou verwachten, lukt het cybercriminelen desondanks steeds vaker om cloudaccounts over te nemen. Minstens 35 procent van alle gecompromitteerde gebruikers in het afgelopen jaar gebruikte MFA. Aanvallers gebruiken daarbij geavanceerde, automatiseerde tools om in-real-time te bepalen of een gebruiker een belangrijke functie heeft. Vervolgens krijgen ze via deze tools direct toegang tot het account, terwijl ze minder interessante profielen links laten liggen.

Sinds begin maart volgen onderzoekers van Proofpoint een aanvalscampagne waarbij de phishingtool EvilProxy wordt gebruikt om duizenden Microsoft 365-accounts aan te vallen. De omvang van deze campagne is enorm. Tussen maart en juni 2023 werden ongeveer 120.000 phishing-e-mails verzonden naar honderden organisaties wereldwijd.

Tijdens de phishing-fase van de aanval gebruikten aanvallers verschillende technieken: merkvervalsing, waarbij de afzenders zich voordeden als bekende diensten en apps, zoals Concur Solutions, DocuSign en Adobe. Ze maakten ook gebruik van scanblokkering, waarmee ze zich beschermden tegen cybersecurity-scanbots, waardoor beveiligingsoplossingen schadelijke webpagina’s moeilijker konden analyseren. Ze hanteerden in hun aanvallen meerdere stappen: door verkeer om te leiden via legitieme websites, gevolgd door aanvullende stappen, zoals schadelijke cookies en 404-omleidingslinks.

Aanvallers richtten zich met name op gebruikers in belangrijke functies, zoals C-level executives en VP’s bij toonaangevende bedrijven. Van de honderden slachtoffers was ongeveer 39 procent een leidinggevende op C-level, waarvan 17 procent CFO en 9 procent president of CEO.

Na toegang tot een account probeerden criminelen hun positie binnen de cloudomgeving van de getroffen organisatie te verstevigen. In meerdere gevallen maakten aanvallers gebruik van een Microsoft 365-applicatie om MFA verder te manipuleren. Door gebruik te maken van ‘My Sign-Ins’ konden aanvallers hun eigen MFA-methode toevoegen, waardoor ze blijvend toegang kregen tot gecompromitteerde gebruikersaccounts.

Reverse proxy-dreigingen, en EvilProxy in het bijzonder, zijn een groot gevaar en winnen het van de minder capabele phishing-kits van weleer, concluderen de onderzoekers. Ze zijn aanzienlijk in populariteit gestegen en hebben cruciale gaten in de verdedigingsstrategieën van organisaties blootgelegd.

Gerelateerde artikelen

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De nieuwste editie van de jaarlijkse PwC CEO Survey biedt een kijkje in de hoofden van CEO’s van over de hele wereld. Verschillende inzichten laten belangrijke veranderingen zien die impact hebben op CISO’s en hun organisaties, die zich zullen moeten aanpassen om concurrerend en compliant te blijven.

Bestuur CISO Platform Nederland is compleet

Bestuur CISO Platform Nederland is compleet

Het bestuur van CISO Platform Nederland, de non-profit vereniging van de CISO community Nederland, is compleet: de CISO’s Dimitri van Zantvliet, Luisella ten Pierik, Mahdi Abdulrazak, Justin Broeders en mede-oprichter Rob Beijleveld zijn op 16 februari officieel toegetreden tot het bestuur van de organisatie.

Security versus privacy

Security versus privacy

Security en privacy – twee onderwerpen die in de dagelijkse security-operatie nauwelijks in één ademteug worden genoemd. Enerzijds is dat maar goed ook. Als je tactisch en strategisch nadenkt over borging van privacy, kan de operatie binnen die gestelde kaders haar vrije gang gaan.