Mandiant: ransomwaregroep belt helpdesks om wachtwoorden te resetten
Een groep cybercriminelen die wordt verdacht van de aanval op Caesars belt helpdesks van organisaties op om wachtwoorden en multifactorauthenticatie (MFA) te resetten, zo stelt securitybedrijf Mandiant. Daarnaast maakt de groep vaak gebruik van sms-gebaseerde phishingaanvallen, waarbij wordt geprobeerd om medewerkers van de aangevallen organisatie op een phishingsite te laten inloggen. Vanwege de aanvallen krijgen organisaties die met de Microsoft Authenticator werken het advies om sms als MFA-optie uit te schakelen.
De groep aanvallers wordt door Mandiant 'UNC3944' genoemd, maar staat ook bekend als 'Scattered Spider'. Om toegang tot de systemen van slachtoffers te krijgen maken de aanvallers veel gebruik van social engineering. Vaak worden phishing-sms'jes verstuurd en de helpdesks van organisaties gebeld om wachtwoorden of multifactorauthenticatie te resetten. In de meeste gevallen waarbij kon worden achterhaald hoe de groep toegang had gekregen tot de netwerken van hun slachtoffers, bleek het om sms-phishing te gaan.
Nadat de inloggegevens van een medewerker via de phishingaanval zijn verkregen, doen de aanvallers zich voor als deze medewerker en bellen de helpdesk om de MFA-codes te krijgen of wachtwoorden te resetten. Daarbij weten de aanvallers ook de persoonlijke informatie over de medewerker te geven die de helpdesk vraagt. Wat de aanvallers vaak doen is het herhalen van de vraag die de helpdeskmedewerker stelt, gevolgd door een lange stilte, voordat er antwoord wordt gegeven. Vermoedelijk wordt dit gedaan om de antwoorden op de gestelde vragen op te zoeken.
In één incident wist de groep het MFA-token te resetten van een externe it-leverancier waar de getroffen organisatie gebruik van maakte. De aanvallers hadden de inloggegevens van dit account bemachtigd omdat de medewerker van de it-leverancier een paar weken eerder 'fake software' op zijn laptop had gedownload. De phishingsites waar de groep gebruik van maakt lijken op de inlogpagina van de aangevallen organisatie en hebben vaak de naam van de organisatie in combinatie met "-sso" of "-servicenow" in de domeinnaam.
Microsoft Authenticator
Mandiant adviseert organisaties die gebruikmaken van Entra ID, dat eerder bekendstond als Microsoft Azure Active Directory, om sms als MFA-optie voor de Microsoft Authenticator uit te schakelen. Daarnaast moeten nog verschillende andere opties worden aangepast, alsmede externe toegang tot Microsoft Azure en Microsoft 365 beheerfeatures worden geblokkeerd. Dat helpt volgens het securitybedrijf tegen de aanvallen van UNC3944.
Daarnaast is een 'zeer effectieve techniek' het gebruik van videoverificatie voor het uitvoeren van wachtwoord- of MFA-resets. De helpdesk zou dan het gezicht van de gebruiker moeten vergelijken met een intern systeem waar een foto van de betreffende gebruiker is opgeslagen. Een aanvullende optie is het vragen om een id-bewijs of medewerkerspas.
Absolute authenticatie op afstand krijg je nooit betrouwbaar (zie https://security.nl/posting/792391).
Relatieve authenticatie (her-authenticatie) op afstand kun je met veel moeite betrouwbaar krijgen: er moet dan sprake zijn van een niet uitgelekt "shared secret" dat wordt gedeeld via een aangetoond directe verbinding. In plaats van een shared secret kan ook van een asymmetrisch sleutelpaar gebruik worden gemaakt (waarvan de private key niet gelekt mag zijn), maar de eis voor de bewezen directe verbinding blijft dan staan (om AitM-attacks te voorkómen).
Als je geen technisch ingewikkeld gedoe wilt: kom maar naar de zaak als je jouw inloggegevens kwijt bent (of als ze gecompromitteerd zijn). Als dat onmogelijk is kan er ook een vertrouwde collega naar toe worden gestuurd die de betrokkene kent, herkent, en diens identiteit bevestigt.
Absolute authenticatie op afstand krijg je nooit betrouwbaar (zie https://security.nl/posting/792391).
Relatieve authenticatie (her-authenticatie) op afstand kun je met veel moeite betrouwbaar krijgen: er moet dan sprake zijn van een niet uitgelekt "shared secret" dat wordt gedeeld via een aangetoond directe verbinding. In plaats van een shared secret kan ook van een asymmetrisch sleutelpaar gebruik worden gemaakt (waarvan de private key niet gelekt mag zijn), maar de eis voor de bewezen directe verbinding blijft dan staan (om AitM-attacks te voorkómen).
Als je geen technisch ingewikkeld gedoe wilt: kom maar naar de zaak als je jouw inloggegevens kwijt bent (of als ze gecompromitteerd zijn). Als dat onmogelijk is kan er ook een vertrouwde collega naar toe worden gestuurd die de betrokkene kent, herkent, en diens identiteit bevestigt.
Nogal vaak is in de context van 'password reset' eventuele technische shared secrets natuurlijk ook niet bij de hand.
Dan kun je (net als e-mail diensten) gaan terugvallen van te voren opgeslagen 'secret questions' , van het type 'eerste film gezien' , of wat iemand ook kiest .
Maar proces-ontwerp is best erg lastig.
Als je kleinschalig bent - en er is "de zaak" met "op de zaak" "de IT afdeling" , en dat is ook nog binnen reis/werk afstand, en de werknemer is in staat te reizen is het best oplosbaar.
Het kan zijn dat "op de zaak" (dwz: betreffende kantoorlocatie) helemaal geen IT aanwezig is. Of alleen een schroevedraaier/pc installatie jongetje, die helemaal geen password reset bevoegdheden heeft . Want de centrale IT support zit gewoon heel ergens anders.
Bij de grote organisaties waar ik gewerkt hebt was dat zo - en niet eens een klein bijkantoor .
Het definieren van 'betrouwbare collega' die moet vouchen is ook een aardige can of worms .
Als IT "iedereen" kent kun je gewoon Marie even sturen om te kijken of Kees Jan echt bij z'n PC staat met een probleem.
Het blijft een wapenwedloop - en hoe harder je probeert om foute resets te voorkomen des te meer pijn komt er bij de business , want uiteindelijk zijn vergeten logins toch een fact of life.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.