VS en VK waarschuwen voor diefstal van clouddata door criminelen
De Amerikaanse en Britse autoriteiten hebben samen met diensten uit Australië en Canada vandaag gewaarschuwd voor een groep criminelen genaamd Scattered Spider die onder andere clouddata bij organisaties steelt, alsmede ransomware uitrolt. Eind 2023 verscheen de eerste versie van de waarschuwing. De groep is echter nog steeds actief en wordt verantwoordelijk gehouden voor aanvallen op allerlei organisaties, waaronder bleekmiddelfabrikant Clorox, de Britse ketens Marks & Spencer, Co-op en Harrods en de Amerikaanse casino- en hotelketen Caesars Entertainment.
De bijgewerkte waarschuwing (pdf) bevat meer informatie over de werkwijze van de groep, die vaak social engineering toepast om bij organisaties binnen te dringen. Zo doen leden van de groep zich voor als medewerkers van de aangevallen organisatie en proberen de helpdesk te overtuigen om het wachtwoord van de medewerker te resetten en de multifactorauthenticatie (MFA) over te zetten naar een apparaat waar zij de controle over hebben.
Zodra de groep toegang tot een netwerk of systemen heeft wordt geprobeerd om vertrouwelijke informatie te stelen. Deze informatie wordt naar verschillende locaties geüpload, waaronder MEGA.nz en in de VS gebaseerde datacenters en opslaglocaties, waaronder Amazon S3. In veel gevallen blijkt de groep ook toegang tot de Snowflake-omgeving van de organisatie te krijgen, aldus de waarschuwing.
Snowflake is een clouddienst die organisaties gebruiken voor de opslag van grote hoeveelheden data. Volgens de autoriteiten probeert de groep zodra er toegang is verkregen om in korte tijd veel data te stelen, waarbij tegelijkertijd duizenden queries in de Snowflake-omgevingen worden uitgevoerd. Ook versleutelt de groep VMware-servers. Daarnaast maakt de groep in gecompromitteerde omgevingen nieuwe identiteiten aan. Om die geloofwaardig te laten lijken worden fake socialmediaprofielen gecreëerd.
De waarschuwing is afkomstig van de FBI, het Cybersecurity and Infrastructure Security Agency van het Amerikaanse ministerie van Homeland Security, de Royal Canadian Mounted Police, het Australische Cyber Security Centre, de Australische politie, het Canadese Centre for Cyber Security en het Britse National Cyber Security Centre.
Hoe leg je die ambtenaren nu uit dat versleuteling een oplossing is zodat criminelen er niet bij kunnen komen?
Hoe leg je uit, dat als het VK in de onversleutelde Cloud kan binnenkomen, ook jan-crimineel-de-hacker kan binnenkomen?
Waarom begrijpen ze dat nou niet??
Hoe leg je die ambtenaren nu uit dat versleuteling een oplossing is zodat criminelen er niet bij kunnen komen?
Hoe leg je uit, dat als het VK in de onversleutelde Cloud kan binnenkomen, ook jan-crimineel-de-hacker kan binnenkomen?
Waarom begrijpen ze dat nou niet??
Omdat je het zelf ook niet begrijpt. Encryptie is een prima middel om externe lekken ineffectief te maken; maar deze aanvallersgroep infiltreert binnen de organisaties.
Of stel je voor dat alle data excrypted wordt zodat zelfs eigen medewerkers er niet bij kunnen?
Het is allebei onbetrouwbaar en crimineel.
Het veroorzaakt voor de oppassende digitale burger chaos en schade.
Geld verdwijnt naar daar waar het niet hoort te verdwijnen.
De 1 procent verantwoordt zich toch nooit.
Hoe leg je die ambtenaren nu uit dat versleuteling een oplossing is zodat criminelen er niet bij kunnen komen?
Hoe leg je uit, dat als het VK in de onversleutelde Cloud kan binnenkomen, ook jan-crimineel-de-hacker kan binnenkomen?
Waarom begrijpen ze dat nou niet??
Omdat je het zelf ook niet begrijpt. Encryptie is een prima middel om externe lekken ineffectief te maken; maar deze aanvallersgroep infiltreert binnen de organisaties.
Of stel je voor dat alle data excrypted wordt zodat zelfs eigen medewerkers er niet bij kunnen?
Yep versleuteling kan ongedaan worden met de correcte autorisatie.
Laat nu net dit het geval zijn bij de kwaadwillende..... ze hebben de correcte autorisaties in bezit gekregen waardoor encryptie niet meer van toepassing is op de data at-rest.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?