Sterke toename aanvallen op cloudaccounts beslissers

Redactie

24 augustus 2023

Het aantal succesvolle cyberaanvallen waarbij cloudaccounts van topbestuurders worden overgenomen, is met meer dan 100 procent gestegen. Cybercriminelen maken hierbij gebruik van een phishingtool – EvilProxy – gebaseerd op reverse proxy waarmee ze MFA-gegevens en sessiecookies stelen. Hierop duidt onderzoek van Proofpoint.

Steeds meer organisaties maken gebruik van multifactor-authenticatie (MFA). Maar in tegenstelling tot wat je zou verwachten, lukt het cybercriminelen desondanks steeds vaker om cloudaccounts over te nemen. Minstens 35 procent van alle gecompromitteerde gebruikers in het afgelopen jaar gebruikte MFA. Aanvallers gebruiken daarbij geavanceerde, automatiseerde tools om in-real-time te bepalen of een gebruiker een belangrijke functie heeft. Vervolgens krijgen ze via deze tools direct toegang tot het account, terwijl ze minder interessante profielen links laten liggen.

Sinds begin maart volgen onderzoekers van Proofpoint een aanvalscampagne waarbij de phishingtool EvilProxy wordt gebruikt om duizenden Microsoft 365-accounts aan te vallen. De omvang van deze campagne is enorm. Tussen maart en juni 2023 werden ongeveer 120.000 phishing-e-mails verzonden naar honderden organisaties wereldwijd.

Tijdens de phishing-fase van de aanval gebruikten aanvallers verschillende technieken: merkvervalsing, waarbij de afzenders zich voordeden als bekende diensten en apps, zoals Concur Solutions, DocuSign en Adobe. Ze maakten ook gebruik van scanblokkering, waarmee ze zich beschermden tegen cybersecurity-scanbots, waardoor beveiligingsoplossingen schadelijke webpagina’s moeilijker konden analyseren. Ze hanteerden in hun aanvallen meerdere stappen: door verkeer om te leiden via legitieme websites, gevolgd door aanvullende stappen, zoals schadelijke cookies en 404-omleidingslinks.

Aanvallers richtten zich met name op gebruikers in belangrijke functies, zoals C-level executives en VP’s bij toonaangevende bedrijven. Van de honderden slachtoffers was ongeveer 39 procent een leidinggevende op C-level, waarvan 17 procent CFO en 9 procent president of CEO.

Na toegang tot een account probeerden criminelen hun positie binnen de cloudomgeving van de getroffen organisatie te verstevigen. In meerdere gevallen maakten aanvallers gebruik van een Microsoft 365-applicatie om MFA verder te manipuleren. Door gebruik te maken van ‘My Sign-Ins’ konden aanvallers hun eigen MFA-methode toevoegen, waardoor ze blijvend toegang kregen tot gecompromitteerde gebruikersaccounts.

Reverse proxy-dreigingen, en EvilProxy in het bijzonder, zijn een groot gevaar en winnen het van de minder capabele phishing-kits van weleer, concluderen de onderzoekers. Ze zijn aanzienlijk in populariteit gestegen en hebben cruciale gaten in de verdedigingsstrategieën van organisaties blootgelegd.

Gerelateerde artikelen

NIST standaardiseert kwantumveilige cryptografiemethoden

NIST standaardiseert kwantumveilige cryptografiemethoden

Deze maand heeft het NIST drie kwantumveilige cryptografiemethoden gestandaardiseerd voor wereldwijd gebruik. Kwantumveilige cryptografie, ook wel post-quantum cryptografie (PQC) genoemd, is nodig in een toekomst waarin kwantumcomputing zodanig toegankelijk is dat deze door kwaadwillenden gebruikt kan worden om gangbare versleuteling te ontcijferen.

Rapport: kwart cyberaanvallen gericht op OT-systemen

Rapport: kwart cyberaanvallen gericht op OT-systemen

Ofschoon bedrijven met OT vorderingen maken op het gebied van cybervolwassenheid, hebben ze met een snel groeiende hoeveelheid aanvallen te maken. Bijna een kwart van alle cyberaanvallen is nu op OT-ststemen gericht.

De werkelijke kosten van downtime

De werkelijke kosten van downtime

Wat gebeurt er als een grote organisatie te maken krijgt met DDoS-aanvallen, softwarestoringen of zelfs een bedrijfsbrede hack? Hoewel de directe kosten van ongeplande downtime gemakkelijk zichtbaar zijn, moeten organisaties de indirecte of verborgen kosten van digitale storingen niet onderschatten.