Dank aan Bill Kearney van Sophos Rapid Response voor zijn werk aan dit artikel.
Als u het recente Sophos 2021 Threat Report hebt gelezen, weet u dat we met opzet een sectie hebben opgenomen over alle malware die er is die geen ransomware is.
Het is begrijpelijk dat ransomware dezer dagen de media-aandacht opeist, maar cybercriminaliteit gaat veel verder dan ransomware-aanvallen.
Inderdaad, zoals we eerder hebben opgemerkt, gebeuren veel ransomware-incidenten als gevolg van andere malware die eerst uw netwerk infiltreerde en later de ransomware binnenbracht.
In feite is er bij veel netwerkinbraken helemaal geen malware betrokken, omdat cybercriminelen genoeg andere manieren hebben om geld uit uw gebruikers, uw bedrijf, of beide, te laten vloeien.
Hier volgt een voorbeeld dat het Sophos Rapid Response-team onlangs tegenkwam – een opportunistische netwerkinbraak die veel minder geavanceerd was dan een typische ransomware- of gegevensdiefstalaanval, maar desondanks gevaarlijk en verontrustend.
Erger nog voor de werknemers van het bedrijf, deze oplichters waren niet specifiek uit op het bedrijf als geheel, maar leken het netwerk gewoon aan te vallen omdat het een handige manier was om veel mensen tegelijkertijd te hacken.
Heel eenvoudig gezegd, de oplichters waren uit op zo veel mogelijk accounts als ze toegang konden krijgen om zo snel mogelijk zo veel mogelijk cadeaubonnen te kopen.
Zoals u waarschijnlijk weet, worden cadeaubonnen die u online koopt meestal per e-mail geleverd aan een ontvanger van uw keuze als een geheime code en een registratielink.
Het ontvangen van een cadeauboncode is dus een beetje alsof je het nummer, de vervaldatum en de beveiligingscode van een prepaid creditcard in handen krijgt – losjes gezegd: wie de code heeft, kan hem uitgeven.
Hoewel cadeaukaarten bedoeld zijn om alleen door de beoogde ontvanger te worden gebruikt – ze mogen niet worden overgedragen – is er niet veel dat de ontvanger ervan weerhoudt iemand anders ze te laten gebruiken als die dat wil, en dat betekent dat ze kunnen worden verkocht op het cybercriminele onderweb.
En hoewel een cadeaubon van 200 dollar, die illegaal online wordt verkocht voor bijvoorbeeld de helft van de nominale waarde, niet veel lijkt…
…kunnen oplichters met toegang tot een heel bedrijf aan gebruikers – in dit verhaal ondersteunde het VPN van het bedrijf ongeveer 200 mensen – proberen om in korte tijd niet slechts één, maar mogelijk honderden prepaid cadeaubonnen te bemachtigen.
De criminelen in dit geval kon het niet schelen of de slachtoffers die uit de zak werden gelaten de individuele werknemers, het bedrijf zelf, of beide waren.
Remoteert en weert
Het goede nieuws hier is dat de oplichters slechts 800 dollar van andermans geld hebben uitgegeven voordat het Rapid Response-team hen uit het netwerk kon schoppen, en voor zover wij weten zijn de frauduleuze aankopen op tijd ontdekt en teruggedraaid, zodat niemand met verlies van inkomsten kwam te zitten.
Zoals u zult zien, was de belangrijkste reden dat de oplichters werden gerommeld en snel werden afgeslagen, dat een systeembeheerder bij het getroffen bedrijf in actie kwam zodra hij merkte dat er iets mis was.
Als u de Naked Security Live-video van vorige week, getiteld “Beat the Threat”, hebt bekeken, weet u dat we in onze tips aan het einde van de video het volgende zeiden:
Elke tip die u kunt krijgen en die suggereert dat er mogelijk een boef in uw netwerk zit, is een tip die de moeite van het bekijken waard is. Dat is net zoiets als je rookalarm in de keuken horen afgaan en denken: ‘Weet je wat, de vorige keer was het stoom van de waterkoker die per ongeluk afging, dus ik ga er maar van uit dat het daardoor komt. Deze keer kan het iets op het fornuis zijn dat al in brand staat.
Hoewel we ook trots zijn dat het Sophos Rapid Response-team in staat was snel te reageren en de aanval af te handelen, was het van vitaal belang dat het slachtoffer in de eerste plaats snel de juiste reactie in gang zette.
Hoe het gebeurde
De boeven hadden geen tijd om de boel op te ruimen – of misschien waren ze dat toch niet van plan – maar voor zover we kunnen nagaan, verliep de aanval eenvoudig en snel.
We weten niet precies hoe de boeven binnen zijn gekomen, maar wat we wel weten is:
- De VPN server van het slachtoffer was al een aantal maanden niet meer gepatcht. Dit alleen al kan genoeg zijn geweest om de oplichters te laten inbreken – er bestond een exploit voor de oude versie waarmee de oplichters in theorie het netwerk hadden kunnen binnensluipen.
- De VPN-server was niet ingesteld om 2FA te vereisen. Dit betekent dat een succesvol gephisht wachtwoord van een enkele gebruiker genoeg zou kunnen zijn geweest om ze hun bruggenhoofd te geven. (Ondanks de ongepatchte kwetsbaarheid, vermoeden we dat de aanvallers deze keer op deze manier zijn binnengedrongen.)
- Eenmaal “binnen” de VPN, waren de boeven in staat om RDP intern te gebruiken om van computer naar computer te springen. Dit betekende dat ze webbrowsers konden openen op de computers van de gebruikers en konden zien van welke online accounts ze niet waren uitgelogd, inclusief hun persoonlijke e-mailaccounts (bijv. Gmail en Outlook.com). Zorg ervoor dat je RDP van binnenuit je netwerk net zo goed beveiligt als van buitenaf.
- De oplichters gebruikten individuele e-mailaccounts om een reeks wachtwoord-resets uit te voeren. Op computers waar de oplichters toegang hadden tot e-mailaccounts door in de cache opgeslagen referenties, maar niet bij andere interessante accounts konden omdat de gebruiker was uitgelogd, hebben ze wachtwoorden gereset via het e-mailaccount. De accounts waar de oplichters achteraan gingen waren onder andere Best Buy, Facebook, Google Pay, PayPal, Venmo en Walmart.
Gelukkig lijkt het erop dat slechts een paar van de gebruikers die op deze manier werden aangevallen, hun creditcardgegevens hadden opgeslagen voor automatisch hergebruik bij het doen van aankopen, wat waarschijnlijk de reden is waarom de oplichters er slechts in slaagden een paar honderd dollar aan cadeaukaartaankopen te doen voordat ze werden gespot.
Naar verluidt merkten veel gebruikers die hun gewijzigde wachtwoorden opnieuw moesten instellen om weer toegang te krijgen tot hun accounts, dat er cadeaubonnen in de wachtrij stonden voor aankoop in hun online winkelwagentjes, maar dat de oplichters niet in staat waren geweest om die aankopen af te ronden.
(We kunnen niet zeggen of de oplichters de mislukte aankopen hebben achtergelaten omdat ze werden betrapt voordat ze konden opruimen, omdat ze hoopten dat ze over het hoofd zouden worden gezien en later per ongeluk door de legitieme rekeninghouder zouden worden gekocht, of omdat ze gefocust waren op snelheid en er niet om gaven wat er daarna gebeurde.)
Maar er is meer
Zoals bij veel aanvallen had ook deze niet slechts één doel, hoewel het bemachtigen van “geld te koop” hier de voornaamste drijfveer lijkt te zijn geweest.
De boeven hebben ook een populair gratis hulpprogramma voor het zoeken naar bestanden gedownload en geïnstalleerd om hen te helpen zoeken naar interessante bestanden op het netwerk.
Dit hulpprogramma liet een logbestand achter waaruit blijkt dat de criminelen actief op jacht waren naar persoonlijke en vertrouwelijke gegevens van zowel het bedrijf als zijn medewerkers.
We weten niet hoeveel de criminelen hebben kunnen halen uit de bestanden waar ze op jaagden, als ze al iets wisten, maar we weten wel waarin ze geïnteresseerd waren, waaronder:
- Bankafschriften met betrekking tot personen en het bedrijf.
- Merchant overeenkomsten voor het accepteren van credit card betalingen.
- Credit card aanvragen.
- Rooster gegevens voor bedrijfs chauffeurs.
Voor zover we kunnen nagaan, lijkt het doorzoeken van bestanden een secundair belang te zijn geweest voor deze criminelen, die echter vastberaden en volhardend waren in hun pogingen om frauduleuze aankopen te doen tegen zoveel mogelijk gebruikers van het netwerk als ze konden.
Niettemin, secundair belang of niet, de oplichters waren niet alleen uit op cadeaubonnen.
Persoonlijke en bedrijfsgegevens die privé zouden moeten zijn, hebben immers ook waarde in de cybercriminele ondergrondse – niet alleen voor doorverkoop aan andere criminelen, maar ook als middel om criminele activiteiten te bevorderen.
Snelle reactie loont
Gelukkig lijken deze oplichters al vroeg in hun aanval te zijn vastgelopen.
Vermoedelijk gefrustreerd omdat ze niet bij zoveel e-mailaccounts van gebruikers konden als ze wilden, hebben ze de wachtwoorden op diverse bedrijfsgerelateerde accounts opnieuw ingesteld om hun toegang uit te breiden.
Dat had als neveneffect dat gebruikers, waaronder een van de sysadmins, van diverse bedrijfssystemen werden afgesloten…
…en de sysadmin verhelpte niet alleen het directe probleem om het wat te verhelpen, maar lokte ook een reactie uit om het waarom te achterhalen.
Die reactie leidde er al heel snel toe dat de boeven van het netwerk werden getrapt.
Zoals we hierboven al zeiden, elke tip is een goede tip!
Wat te doen?
De snelheid en vastberadenheid van deze oplichters, die speculatief inloggen op e-mail account na e-mail account, is een uitstekende herinnering van waarom defence in depth belangrijk is.
Al deze tips zouden hier hebben geholpen:
- Patch vroeg, patch vaak. De kwetsbare VPN die in dit artikel wordt genoemd was waarschijnlijk niet de manier waarop de boeven in dit geval toegang kregen, maar het was toch een mogelijk inkomend pad. Waarom achter de boeven aanlopen als je ze ook voor kunt zijn?
- Gebruik 2FA waar je maar kunt. Een tweede authenticatiefactor voor zowel de externe VPN als de interne RDP-servers was misschien al genoeg geweest om deze boeven buiten de deur te houden.
- Log uit van accounts als je ze niet gebruikt. Ja, het is een gedoe om opnieuw in te loggen op accounts elke keer dat je ze moet gebruiken, maar in combinatie met 2FA maakt het het veel moeilijker voor oplichters om misbruik van je te maken als ze toegang krijgen tot je browser.
- Heroverweeg welke websites je toestaat om betaalkaartgegevens online te bewaren voor de volgende keer. Bedrijven die betaalkaartgegevens alleen bewaren voor specifieke aankopen, zoals het betalen van een energierekening, vormen een veel kleiner risico dan online diensten via welke uw kaart kan worden gebruikt om voor bijna alles te betalen, vooral voor artikelen die onmiddellijk via e-mail worden “geleverd”.
- Blokkeer malware niet alleen met uw product voor bescherming tegen bedreigingen. Blokkeer ook potentieel ongewenste toepassingen (PUA’s) en hackingtools. Cybercriminelen maken steeds vaker gebruik van legitieme software voor cyberbeveiliging en netwerkbeheer die u al op uw systeem hebt staan, in plaats van malware te gebruiken – een techniek die ‘van het land leven’ wordt genoemd – in de hoop zelf op een sysadmins te lijken. Vang ze op als je kunt.
- Zorg dat gebruikers beveiligingsproblemen kunnen melden. Als u onverwachts wordt buitengesloten van uw eigen account, zorg er dan voor dat uw reactie niet simpelweg is “Ik moet weer online”, maar ook “Ik moet de onderliggende oorzaak vinden.” Een gemakkelijk te onthouden e-mailadres of bedrijfstelefoonnummer voor cyberbeveiligingsmeldingen kan u helpen uw hele bedrijf tot ogen en oren voor het IT-beveiligingsteam te maken.
- Houd uw gebruikers alert op de nieuwste trends in phishing. Overweeg een anti-phish trainingsproduct zoals Sophos Phish Threat. We kunnen het nog niet zeker weten, maar het lijkt erop dat een enkel gephished wachtwoord misschien de manier is geweest waarop de oplichters aan de slag zijn gegaan met deze aanvallen.
- Laat u niet op een zijspoor zetten door specifieke bedreigingen, zoals ransomware. Ransomware-specifieke tools zijn nuttig als onderdeel van een defence in depth-benadering, maar zouden deze aanval op zichzelf niet hebben gestopt. Een holistische aanpak die deze oplichters zou hebben tegengehouden, zou echter zeer waarschijnlijk ook de meeste ransomware-aanvallen hebben tegengehouden.