FBI waarschuwt vitale infrastructuur voor password spraying en ‘push bombing’
De FBI, de Amerikaanse geheime dienst NSA, alsmede de Australische en Canadese autoriteiten, waarschuwen organisaties in de vitale infrastructuur voor aanvallen, waarbij aanvallers door middel van password spraying en 'push bombing', ook bekend als MFA fatigue, toegang tot accounts weten te krijgen en daarvandaan verdere aanvallen uitvoeren.
Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Bij 'MFA fatigue' beschikt de aanvaller over de inloggegevens van het doelwit, maar niet de multifactorauthenticatie (MFA)-code om de inlogprocedure succesvol af te ronden.
Elke keer dat de aanvaller inlogt met de gestolen inloggegevens krijgt de eigenaar van deze inloggegevens een melding op zijn telefoon of hij de inlogpoging wil goedkeuren. De aanvaller blijft net zolang inloggen totdat de medewerker in kwestie één van de inlogpogingen goedkeurt, waarna de aanvaller toegang tot het account krijgt. Zodra de aanvallers toegang tot een account hebben registreren ze hun eigen apparaten met MFA, om zo hun toegang tot de omgeving via het geldige account te beschermen. Onder andere Microsoft 365-, Azure- en Citrix-accounts zijn doelwit van de aanvallen.
De aanvallers gebruiken ook het Remote Desktop Protocol (RDP) om zich lateraal door het netwerk te bewegen. In zeker één geval gebruikten de aanvallers Microsoft Word om PowerShell te starten en zo het RDP-bestand te openen. De FBI en NSA zijn met meerdere gevallen bekend waarbij de aanvallers succesvol vitale organisaties compromitteerden. In de waarschuwing geven de autoriteiten ook verschillende adviezen om de aanvallen te voorkomen en detecteren, waaronder het uitschakelen van accounts van vertrokken medewerkers, het controleren of één ip-adres voor meerdere accounts wordt gebruikt, verdachte activiteit bij inactieve accounts en het uitschakelen van RC4 for Kerberos authentication.
Wachtwoordmanagers kunnen deze ellenlange wachtwoorden gemakkelijk invoeren zonder teveel gedoe en getyp, vaak zonder gebruik van het clipboard.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer (ISO)
Dienst Justitiële Inrichtingen
Ben jij een tech-liefhebber met een passie voor informatiebeveiliging? Wil je jouw expertise inzetten om de veiligheid te waar-borgen binnen een dynamische omgeving? Dan is de rol van Informatiebeveiligings-functionaris bij Justitieel Complex Zaanstad wellicht jouw volgende avontuur! In deze rol ben jij de sleutel tot het creëren en handhaven van een veilige werkomgeving, waarbij onze organisatie optimaal blijft draaien.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.