Sterke toename aanvallen op cloudaccounts beslissers

Redactie

24 augustus 2023

Het aantal succesvolle cyberaanvallen waarbij cloudaccounts van topbestuurders worden overgenomen, is met meer dan 100 procent gestegen. Cybercriminelen maken hierbij gebruik van een phishingtool – EvilProxy – gebaseerd op reverse proxy waarmee ze MFA-gegevens en sessiecookies stelen. Hierop duidt onderzoek van Proofpoint.

Steeds meer organisaties maken gebruik van multifactor-authenticatie (MFA). Maar in tegenstelling tot wat je zou verwachten, lukt het cybercriminelen desondanks steeds vaker om cloudaccounts over te nemen. Minstens 35 procent van alle gecompromitteerde gebruikers in het afgelopen jaar gebruikte MFA. Aanvallers gebruiken daarbij geavanceerde, automatiseerde tools om in-real-time te bepalen of een gebruiker een belangrijke functie heeft. Vervolgens krijgen ze via deze tools direct toegang tot het account, terwijl ze minder interessante profielen links laten liggen.

Sinds begin maart volgen onderzoekers van Proofpoint een aanvalscampagne waarbij de phishingtool EvilProxy wordt gebruikt om duizenden Microsoft 365-accounts aan te vallen. De omvang van deze campagne is enorm. Tussen maart en juni 2023 werden ongeveer 120.000 phishing-e-mails verzonden naar honderden organisaties wereldwijd.

Tijdens de phishing-fase van de aanval gebruikten aanvallers verschillende technieken: merkvervalsing, waarbij de afzenders zich voordeden als bekende diensten en apps, zoals Concur Solutions, DocuSign en Adobe. Ze maakten ook gebruik van scanblokkering, waarmee ze zich beschermden tegen cybersecurity-scanbots, waardoor beveiligingsoplossingen schadelijke webpagina’s moeilijker konden analyseren. Ze hanteerden in hun aanvallen meerdere stappen: door verkeer om te leiden via legitieme websites, gevolgd door aanvullende stappen, zoals schadelijke cookies en 404-omleidingslinks.

Aanvallers richtten zich met name op gebruikers in belangrijke functies, zoals C-level executives en VP’s bij toonaangevende bedrijven. Van de honderden slachtoffers was ongeveer 39 procent een leidinggevende op C-level, waarvan 17 procent CFO en 9 procent president of CEO.

Na toegang tot een account probeerden criminelen hun positie binnen de cloudomgeving van de getroffen organisatie te verstevigen. In meerdere gevallen maakten aanvallers gebruik van een Microsoft 365-applicatie om MFA verder te manipuleren. Door gebruik te maken van ‘My Sign-Ins’ konden aanvallers hun eigen MFA-methode toevoegen, waardoor ze blijvend toegang kregen tot gecompromitteerde gebruikersaccounts.

Reverse proxy-dreigingen, en EvilProxy in het bijzonder, zijn een groot gevaar en winnen het van de minder capabele phishing-kits van weleer, concluderen de onderzoekers. Ze zijn aanzienlijk in populariteit gestegen en hebben cruciale gaten in de verdedigingsstrategieën van organisaties blootgelegd.

Gerelateerde artikelen

De werkelijke kosten van downtime

De werkelijke kosten van downtime

Wat gebeurt er als een grote organisatie te maken krijgt met DDoS-aanvallen, softwarestoringen of zelfs een bedrijfsbrede hack? Hoewel de directe kosten van ongeplande downtime gemakkelijk zichtbaar zijn, moeten organisaties de indirecte of verborgen kosten van digitale storingen niet onderschatten.

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper, CISO bij de Gemeente Den Haag, heeft gisteravond de CISO of the Year 2024 Award gewonnen. Hij dankt de prijs aan zijn transformationele rol en zijn holistische en inclusieve benadering van cybersecurity. Ook zijn bijdragen aan de professionalisering van het CISO-vak en zijn rol als actieve vertegenwoordiger van de stad Den Haag op cybersecurity-gebied zijn meegewogen.

Zero trust: hoe maak ik het concreet?

Zero trust: hoe maak ik het concreet?

Jaarlijks zijn er tal van onderzoek- en adviesbureaus met allerlei overzichten van strategische trends in IT en cybersecurity. Steevast is zero trust onderdeel van deze lijstjes, met over het algemeen een toelichting in de trant van ‘vertrouw niets zomaar, maar verifieer. Maar wat moet je hier nu concreet mee als CIO, CISO of IT-manager?

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Meer dan een derde van alle Nederlandse bedrijven zakte vorig jaar voor hun compliance-audit. Daardoor lopen ze een tien keer grotere kans op een datalek. Tien procent werd in 2023 slachtoffer van een ransomware-aanval. Van al die bedrijven betaalde vier procent losgeld. Dat stelt Thales in zijn meest recente Data Threat Report.