Nieuws
image

Mandiant: ransomwaregroep belt helpdesks om wachtwoorden te resetten

zondag 17 september 2023, 09:17 door Redactie, 2 reacties

Een groep cybercriminelen die wordt verdacht van de aanval op Caesars belt helpdesks van organisaties op om wachtwoorden en multifactorauthenticatie (MFA) te resetten, zo stelt securitybedrijf Mandiant. Daarnaast maakt de groep vaak gebruik van sms-gebaseerde phishingaanvallen, waarbij wordt geprobeerd om medewerkers van de aangevallen organisatie op een phishingsite te laten inloggen. Vanwege de aanvallen krijgen organisaties die met de Microsoft Authenticator werken het advies om sms als MFA-optie uit te schakelen.

De groep aanvallers wordt door Mandiant 'UNC3944' genoemd, maar staat ook bekend als 'Scattered Spider'. Om toegang tot de systemen van slachtoffers te krijgen maken de aanvallers veel gebruik van social engineering. Vaak worden phishing-sms'jes verstuurd en de helpdesks van organisaties gebeld om wachtwoorden of multifactorauthenticatie te resetten. In de meeste gevallen waarbij kon worden achterhaald hoe de groep toegang had gekregen tot de netwerken van hun slachtoffers, bleek het om sms-phishing te gaan.

Nadat de inloggegevens van een medewerker via de phishingaanval zijn verkregen, doen de aanvallers zich voor als deze medewerker en bellen de helpdesk om de MFA-codes te krijgen of wachtwoorden te resetten. Daarbij weten de aanvallers ook de persoonlijke informatie over de medewerker te geven die de helpdesk vraagt. Wat de aanvallers vaak doen is het herhalen van de vraag die de helpdeskmedewerker stelt, gevolgd door een lange stilte, voordat er antwoord wordt gegeven. Vermoedelijk wordt dit gedaan om de antwoorden op de gestelde vragen op te zoeken.

In één incident wist de groep het MFA-token te resetten van een externe it-leverancier waar de getroffen organisatie gebruik van maakte. De aanvallers hadden de inloggegevens van dit account bemachtigd omdat de medewerker van de it-leverancier een paar weken eerder 'fake software' op zijn laptop had gedownload. De phishingsites waar de groep gebruik van maakt lijken op de inlogpagina van de aangevallen organisatie en hebben vaak de naam van de organisatie in combinatie met "-sso" of "-servicenow" in de domeinnaam.

Microsoft Authenticator

Mandiant adviseert organisaties die gebruikmaken van Entra ID, dat eerder bekendstond als Microsoft Azure Active Directory, om sms als MFA-optie voor de Microsoft Authenticator uit te schakelen. Daarnaast moeten nog verschillende andere opties worden aangepast, alsmede externe toegang tot Microsoft Azure en Microsoft 365 beheerfeatures worden geblokkeerd. Dat helpt volgens het securitybedrijf tegen de aanvallen van UNC3944.

Daarnaast is een 'zeer effectieve techniek' het gebruik van videoverificatie voor het uitvoeren van wachtwoord- of MFA-resets. De helpdesk zou dan het gezicht van de gebruiker moeten vergelijken met een intern systeem waar een foto van de betreffende gebruiker is opgeslagen. Een aanvullende optie is het vragen om een id-bewijs of medewerkerspas.

Reacties (2)
17-09-2023, 15:19 door Erik van Straten
Daarnaast is een 'zeer effectieve techniek' het gebruik van videoverificatie voor het uitvoeren van wachtwoord- of MFA-resets. De helpdesk zou dan het gezicht van de gebruiker moeten vergelijken met een intern systeem waar een foto van de betreffende gebruiker is opgeslagen.
Zodra voldoende helpdesks dat gaan doen zullen criminelen daarop inspelen. Dat kan middels AI of met een AitM aanval plus social engineering.

Een aanvullende optie is het vragen om een id-bewijs of medewerkerspas.
En dan maar hopen dat de aanvallers daar geen kopie van in handen hebben.

Absolute authenticatie op afstand krijg je nooit betrouwbaar (zie https://security.nl/posting/792391).

Relatieve authenticatie (her-authenticatie) op afstand kun je met veel moeite betrouwbaar krijgen: er moet dan sprake zijn van een niet uitgelekt "shared secret" dat wordt gedeeld via een aangetoond directe verbinding. In plaats van een shared secret kan ook van een asymmetrisch sleutelpaar gebruik worden gemaakt (waarvan de private key niet gelekt mag zijn), maar de eis voor de bewezen directe verbinding blijft dan staan (om AitM-attacks te voorkómen).

Als je geen technisch ingewikkeld gedoe wilt: kom maar naar de zaak als je jouw inloggegevens kwijt bent (of als ze gecompromitteerd zijn). Als dat onmogelijk is kan er ook een vertrouwde collega naar toe worden gestuurd die de betrokkene kent, herkent, en diens identiteit bevestigt.
17-09-2023, 17:48 door Anoniem
Door Erik van Straten:
Daarnaast is een 'zeer effectieve techniek' het gebruik van videoverificatie voor het uitvoeren van wachtwoord- of MFA-resets. De helpdesk zou dan het gezicht van de gebruiker moeten vergelijken met een intern systeem waar een foto van de betreffende gebruiker is opgeslagen.
Zodra voldoende helpdesks dat gaan doen zullen criminelen daarop inspelen. Dat kan middels AI of met een AitM aanval plus social engineering.

Een aanvullende optie is het vragen om een id-bewijs of medewerkerspas.
En dan maar hopen dat de aanvallers daar geen kopie van in handen hebben.

Absolute authenticatie op afstand krijg je nooit betrouwbaar (zie https://security.nl/posting/792391).

Relatieve authenticatie (her-authenticatie) op afstand kun je met veel moeite betrouwbaar krijgen: er moet dan sprake zijn van een niet uitgelekt "shared secret" dat wordt gedeeld via een aangetoond directe verbinding. In plaats van een shared secret kan ook van een asymmetrisch sleutelpaar gebruik worden gemaakt (waarvan de private key niet gelekt mag zijn), maar de eis voor de bewezen directe verbinding blijft dan staan (om AitM-attacks te voorkómen).

Als je geen technisch ingewikkeld gedoe wilt: kom maar naar de zaak als je jouw inloggegevens kwijt bent (of als ze gecompromitteerd zijn). Als dat onmogelijk is kan er ook een vertrouwde collega naar toe worden gestuurd die de betrokkene kent, herkent, en diens identiteit bevestigt.

Nogal vaak is in de context van 'password reset' eventuele technische shared secrets natuurlijk ook niet bij de hand.
Dan kun je (net als e-mail diensten) gaan terugvallen van te voren opgeslagen 'secret questions' , van het type 'eerste film gezien' , of wat iemand ook kiest .

Maar proces-ontwerp is best erg lastig.

Als je kleinschalig bent - en er is "de zaak" met "op de zaak" "de IT afdeling" , en dat is ook nog binnen reis/werk afstand, en de werknemer is in staat te reizen is het best oplosbaar.

Het kan zijn dat "op de zaak" (dwz: betreffende kantoorlocatie) helemaal geen IT aanwezig is. Of alleen een schroevedraaier/pc installatie jongetje, die helemaal geen password reset bevoegdheden heeft . Want de centrale IT support zit gewoon heel ergens anders.
Bij de grote organisaties waar ik gewerkt hebt was dat zo - en niet eens een klein bijkantoor .

Het definieren van 'betrouwbare collega' die moet vouchen is ook een aardige can of worms .
Als IT "iedereen" kent kun je gewoon Marie even sturen om te kijken of Kees Jan echt bij z'n PC staat met een probleem.

Het blijft een wapenwedloop - en hoe harder je probeert om foute resets te voorkomen des te meer pijn komt er bij de business , want uiteindelijk zijn vergeten logins toch een fact of life.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure