Een nieuw aanvalsplan om in jouw Microsoft 365 account te komen.

Via brute-forcing proberen cybercriminelen binnen te komen in Azure AD-accounts. Specifiek op accounts zonder multifactorauthenticatie (MFA).

Lees verder:

Het aanvalsplan op jouw Microsoft 365 account

De verantwoordelijk partij Cozy Bear (ook bekend als APT29 of Nobelium) gebruikt hiervoor een aantal stappen. Zo blijkt uit het rapport van cyberbeveiligingsbedrijf Mandiant. In deze stappen worden drie technieken gebruikt. De drie technieken worden gebruikt om de aanvallen uit te voeren en te verbergen:

1. Purview Audit omzeiling. Zo vindt er geen alarming plaats.
2. Brute-forcing om op alle onbeveiligde Microsoft 365 accounts binnen te komen. Specifiek accounts zonder tweetraps verificatie (MFA);
3. Activiteit verberging via corrupte Azure Virtual Machines. Zo kan men de omgeving kan verkennen en bijv. data kan stelen. Om vervolgens systemen onklaar te maken en losgeld te eisen.

Verificatie misbruik en overname

Er is ontdekt dat Cozy Bear misbruik maakt van het tweetraps authenticatie activatieproces. Alle accounts die zich nog nooit hebben aangemeld zijn het doelwit. Daar is de tweetraps verificatie nog nooit geactiveerd. En die worden via de brute-force aanval overgenomen.

Vervolgens hebben ze toegang tot de omgeving. Activeren ze de tweetraps verificatie. En voltooien ze het self-enrollment proces. Wat mogelijk is, omdat er nooit eerder een eerste “security aanmelding” heeft plaatsgevonden.

Binnen in je Microsoft 365 account?

Eenmaal binnen hebben zij toegang tot de infrastructuur van de organisatie. Nu heeft men alle tijd om onderzoek te doen naar de ICT-infrastructuur, de data en back-oplossing van de organisatie. Volgende stap wordt een gecoördineerde aanval opzetten. Bijvoorbeeld het extraheren van data, onklaar maken van back-ups en het verspreiden van ransomware.

Om hun activiteiten te verbergen gebruiken ze een virtuele machine in Azure. Dit kan een bestaande zijn of één die door de kwaadwillende wordt geactiveerd. Deze zijn actief op dezelfde Microsoft IP-adressen van de eigen organisatie. Hierdoor kunnen IT-teams het corrupte verkeer moeilijker, zonder de juiste tooling, onderscheiden van het normale verkeer.

Vergroot je cyberweerbaarheid

Op dit moment richt Cozy bear zich voornamelijk op grote organisaties. Vooral de menselijke schakel kan snel een kwetsbaarheid vormen. Helaas zien we dat Human-Operator Ransomware een steeds grotere bedreiging vormt. Voor alle segmenten van het bedrijfsleven. Hierbij is het risico groot dat bedrijfsprocessen voor langere tijd ernstig verstoord kunnen worden. Wil je toch alvast een eerste stap maken? Met de volgende basismaatregelen vergroot je de cyberweerbaarheid van jouw organisatie:

- > Bescherm de organisatie tegen phishing via een preventieplan;
- > Betrek je collega’s en creëer bewustzijn rondom digitale bedreigingen;
- > Beperk rechten en beoordeel periodiek alle accounts;
- > Organiseer vulnerability management, patch management en netwerk segmentering;
- > Zorg dat informatie verwerkende systemen en servers correct zijn geconfigureerd volgens de laatste beveiligingsstandaarden;
- > Implementeer een antivirus scanner met Endpoint Detection and Response functionaliteit. Deze kunnen activiteiten van kwaadwillende in een vroeg stadium blokkeren en detecteren.
- > Filter webbrowser verkeer;
- > Controleer periodiek de werking van de back-up en zorg dat deze op een veilige manier is ingericht;
- > Wees voorbereid en maak draaiboeken voor het herstel van de omgeving en de communicatie bij een calamiteit.

Weet jij niet precies wat voor risico je als organisatie loopt, of waar je moet beginnen?

Neem dan contact met ons op! Met onze risico gebaseerde aanpak. Nemen we je stapsgewijs vooruit. We zorgen dat de cyberweerbaarheid van jouw organisatie in een kort tijdsbestek kan worden verhoogd. Maatregelen die niet direct geïmplementeerd kunnen worden zetten we op een roadmap.

Geïnteresseerd?

Of wil je weten hoe je de volgende stap kunt zetten?

We kijken altijd welke bestaande middelen er in de huidige ICT-omgeving aanwezig zijn. Het gaat om de cyberweerbaarheid verhogen en vaak is er meer mogelijk met bestaande middelen en licenties dan je denkt!