Bedrijven die waardevol intellectueel eigendom, financiële data, industriële geheimen of gevoelige politieke informatie bezitten zijn gewaarschuwd voor aanvallers die nauwelijks malware gebruiken om bij deze ondernemingen binnen te dringen. Dat laat Dell SecureWorks in een waarschuwing weten.
Bij bijna alle onderzoeken die Dell het afgelopen jaar uitvoerde gebruikten de aanvallers inloggegevens van het aangevallen bedrijf en legitieme beheerderstools om zich door het bedrijfsnetwerk te begeven. In de waarschuwing geeft Dell verschillende voorbeelden van aanvallen waarbij geen of amper malware werd gebruikt. Zo werd recentelijk een productiebedrijf gehackt nadat aanvallers de inloggegevens van een werknemer hadden bemachtigd en zo op de Citrix-oplossing van het bedrijf konden inloggen. Het bedrijf had geen twee-factor authenticatie ingeschakeld, waardoor wachtwoord en gebruikersnaam voldoende waren om toegang tot de interne bedrijfsgegevens te krijgen.
Vervolgens gebruikten de aanvallers het Altiris managementplatform van het bedrijf om zich lateraal door het netwerk te bewegen. Altiris wordt gebruikt om software en updates op bedrijfscomputers uit te rollen. Ook bij een ander voorbeeld begint de aanval met de gestolen inloggegevens van een werknemer waarmee toegang tot een Citrix-server wordt verkregen. Vervolgens werd de gecentraliseerde managementserver aangevallen. Deze server werd binnen de onderneming gebruikt voor het uitrollen van anti-virussoftware. Op de server hadden de aanvallers de malware waarmee ze gegevens wilden stelen gewhitelist. De virusscanners herkenden de malware, maar omdat die op de whitelist stond mocht die blijven werken.
Om dit soort aanvallen te voorkomen krijgen organisaties het advies twee-factor authenticatie voor alle remote access-oplossingen en voor alle werknemers en leveranciers in te stellen. Verder mogen gebruikers geen beheerdersrechten hebben, moet het gebruik van domein-accounts met verhoogde rechten worden geaudit en moet als laatste gevoelige data op het netwerk worden gesegmenteerd en gemonitord.
Deze posting is gelocked. Reageren is niet meer mogelijk.