The Good, the Bad and the Ugly in cybersecurity – week 28

The Good

Deze week werd een grote hack van zakelijke e-mail gericht op Office 365-accounts tegengehouden. BEC’s (Business Email Compromises) waren afgelopen jaar verantwoordelijk voor het grootste deel van de verliezen als gevolg van internetcriminaliteit. De fraudeurs gebruikten de coronapandemie als lokmiddel, stuurden phishing-verkeer via zes internetdomeinen en maakten gebruik van schadelijke web-apps om inloggegevens van gebruikers van Office 365-accounts te bemachtigen.

Het gebruik van web-apps is tamelijk nieuw. In plaats van een gekloonde nepinlogpagina te gebruiken, vroegen de criminelen de slachtoffers om de web-app toestemming te geven om toegang te krijgen tot hun accounts. Zodra een account was overgenomen werd dit door de aanvallers gebruikt als onderdeel van een scam om zakelijk leiders over te halen om elektronische overboekingen naar de aanvallers toe te staan.

Bij de scam, die in meer dan 62 landen zou zijn uitgevoerd, waren schadelijke domeinen betrokken die nu door Microsoft zijn geblokkeerd:

officeinventorys.com
officesuitesoft.com
officehnoc.com
officesuited.com
officemtr.com
mailitdaemon.com

Ander goed nieuws deze week is dat de beveiligingscommunity van macOS een combinatie van ransomware en software voor het stelen van informatie heeft ontmaskerd. Deze zat verborgen in gekraakte software die via openbare torrents werd verspreid. Door gebruik te maken van een naam als “EvilQuest” of “ThiefQuest” hoopten de auteurs misschien een kopie te hebben van het soortgelijke succesvolle model waarmee in een Windows-omgeving gegevens ongemerkt in de achtergrond worden gestolen, terwijl op de voorgrond in schreeuwerige woorden losgeld voor versleutelde bestanden wordt geëist.

SentinelLabs wist de symmetrische versleuteling van de EvilQuest/ThiefQuest-malware te breken en gaf daarvan een openbare decryptor vrij. Het is ook goed om te zien dat op het door de threat actors ingestelde bitcoin-adres om geld binnen te halen geen enkele transactie heeft plaatsgevonden. Deze malware blijft echter voor slachtoffers een punt van zorg omdat de component voor gegevensdiefstal en de backdoorcomponent mogelijk toch gevoelige gegevens te pakken hebben gekregen en nog altijd actief kunnen zijn als het apparaat niet op de juiste manier is schoongemaakt.

The Bad

Uit een deze week verschenen rapport is gebleken dat cyberdreigingen gericht op operationele technologiesystemen via verwisselbare USB-media het afgelopen jaar bijna zijn verdubbeld. Bijna de helft van alle bedrijven in het rapport meldde dat ze minstens één dreiging hadden gedetecteerd die het gemunt had op hun netwerk voor industrieel procesbeheer. Het rapport laat zien dat USB-apparaten steeds meer gebruikt worden als aanvalsvector: 20% van de gemelde aanvallen vond plaats bij het verwijderen van opslagapparaten. De aanvallers waren vooral geïnteresseerd in het openen van backdoors, het realiseren van continue externe toegang en het sturen van nog meer schadelijke payloads.

De toename van dreigingen via USB is niet, zoals wel werd beweerd, te wijten aan malware die per ongeluk van het ene apparaat naar het andere wordt overgebracht. Het iseerder het resultaat van “opzettelijke en gecoördineerde” aanvallen − bijvoorbeeld van Disttrack, Duqu, Ekans, Industroyer en USBCulprit − om USB-apparaten te gebruiken  om OT-systemen aan te vallen. Dit rapport herinnert alle beveiligingsteams in organisaties aan het belang van een juist beheer van verwijderbare media, waaronder op software gebaseerde USB-apparaten.

The Ugly

Volgens de laatste cijfers herbergt onze kleine planeet zo’n 7,8 miljard bewoners, maar hackerforums herbergen twee keer zoveel gestolen inloggegevens van accounts, waarvan er volgens een nieuwe audit van het darknet circa 5 miljard uniek zijn. Dit gigantische aantal gehackte gegevens is een van de resultaten van meer dan 100.000 beveiligingslekken, en dat is een angstaanjagende hoeveelheid.

Deze inloggegevens horen bij accounts die variëren van social media, streaming, VPN en gamingsites tot het bankwezen, financiële dienstverlening en zelfs tot aan accounts van domeinbeheerders. Criminelen die bijvoorbeeld willen betalen voor toegang tot de online bankrekening van iemand anders, betalen daarvoor soms 500 dollar of minder op het darknet. Het beheerdersaccount van een domein kan aan de hoogste bieder worden verkocht voor een prijs die kan variëren van een paar duizend tot meer dan 100.000 dollar, afhankelijk van het account.

Diefstal van inloggegevens en overname van accounts zijn booming business, aangezien cybercriminelen zich massaal storten op phishing-campagnes met botnets, overal malware voor het stelen van inloggegevens dumpen en werken met technieken zoals credential stuffing en brute-forcing om wachtwoorden te stelen. Zoals het rapport benadrukt, houden criminelen zich nu bezig met het verzamelen en verkopen van toegang tot gegevens van digitale vingerafdrukken zoals cookies, IP-adressen en tijdzones, zodat gestolen inloggegevens gebruikt kunnen worden zonder dat de gehackte service een waarschuwing geeft dat er een verdachte inlogpoging plaatsvindt. Van sommige marktplaatsen op het darknet − zoals Genesis Market, UnderWorld Market en Tenebris − is bekend dat ze andere cybercriminelen tegen betaling voor beperkte tijd toegang verlenen tot gehackte accounts. Die kunnen worden gebruikt voor specifieke doelen zoals het witwassen van geld, het ontvangen van e-mails of het verkopen van goederen.

Volgens de onderzoekers gebruikt een persoon gemiddeld bijna 200 online services waarvoor een wachtwoord vereist is. Aangezien veel gebruikers zich niet bewust zijn van standaard wachtwoordbeveiliging en veelorganisaties niet in staat blijken gegevenslekken te stoppen, is het heel goed mogelijk dat het huidige cijfer van 15 miljard lekken er over een paar jaar onbeduidend uitziet.


Like this article? Follow us on LinkedIn, Twitter, YouTube or Facebook to see the content we post.

Read more about Cyber Security