Ingangspunt: Waarom hackers gestolen inloggegevens gebruiken voor eerste toegang
Het is een bekend verhaal: zwakke of hergebruikte wachtwoorden komen online terecht met schadelijke gevolgen voor organisaties. Criminelen gebruiken steeds vaker gestolen inloggegevens om initiële toegang tot gebruikersaccounts te krijgen, waardoor er nieuwe eisen aan de beveiliging worden gesteld.
Dit heeft geleid tot een bloeiende markt voor gestolen inloggegevens en de initiële toegang die ze kunnen bieden. Het ENISA Threat Landscape 2023-rapport meldde dat er jaar-op-jaar groei is in de markt voor Initial Access Brokers (IAB), waarbij inloggegevens de belangrijkste koopwaar zijn.
Malware die informatie steelt, ‘komt vaak terecht op de machines van slachtoffers via social engineering, meestal phishing, soms zelfs via een betaald distributieschema dat gebruik maakt van de Emotet- en Qakbot-botnets,’ schreef ENISA. ‘Andere campagnes lokken gebruikers om schijnbaar legitieme software te downloaden, bijvoorbeeld via malvertising.’
We verwachten dat toekomstige social engineering campagnes om inloggegevens te verkrijgen en informatie stealer te installeren, verder inspelen op nieuwe verdedigingsmaatregelen om misbruik van inloggegevens te beschermen.
Gestolen inloggegevens zijn een groter probleem dan ooit
De uitdagingen voor organisaties rondom gestolen inloggegevens worden alleen maar groter. Het Verizon 2024 Data Breach Investigation Report (DBIR) vond dat aanvallen waarbij exploitatie van kwetsbaarheden de kritieke weg was om een datalek te beginnen, met 180% waren toegenomen ten opzichte van het voorgaande jaar.
Ze ontdekten dat het gebruik van gestolen inloggegevens de meest voorkomende eerste actie was bij datalekken met 24%, net voor ransomware met 23%.
De dreiging is alomtegenwoordig, met fraudeurs die verschillende middelen gebruiken om inloggegevens te stelen. Een veel voorkomende truc is het gebruik van malware om wachtwoorden te stelen en ze vervolgens te verkopen op het dark web, met populaire tools zoals Redline, Vidar en Raccoon Stealer.
De FBI heeft gewaarschuwd voor cybercriminelen die zoekmachineadvertentiediensten gebruiken om merken na te bootsen en gebruikers naar kwaadaardige sites te leiden die ransomware hosten om inloggegevens te stelen.
Inloggegevens kunnen ook worden geraden door middel van benaderingen zoals brute force attacks, waarbij cybercriminelen tools inzetten die wachtwoordcombinaties continue testen totdat ze de juiste ontdekken.
Dit kan verschillende methoden omvatten, van relatief simpele trial-and-error benaderingen tot dictionary attacks, waarbij de gewoonten van gebruikers om eenvoudige en gemakkelijk te onthouden wachtwoorden te kiezen, worden uitgebuit door alle woorden in een ‘woordenboek’ van veel voorkomende wachtwoorden te proberen.
Potentieel voor grote datalekken
Misschien wel het meest beruchte recente datalek en cyberaanval was de Solarwinds-aanval, een geavanceerde supply chain-aanval op het Orion-platform van het bedrijf die door Microsoft Corp President Brad Smith werd aangeduid als “de grootste en meest geavanceerde aanval die de wereld ooit heeft gezien”.
Een gecompromitteerd SolarWinds-wachtwoord werd ontdekt in een privé Github-repository van juni 2018 tot november 2019; een stagiair van SolarWinds had het wachtwoord solarwinds123 ingesteld op een account dat toegang had tot de updateserver van het bedrijf.
Er zijn talloze andere voorbeelden die het potentiële gevaar illustreren. Overweeg bijvoorbeeld het Dropbox-datalek, dat miljoenen gebruikers trof.
Dit gebeurde toen een Dropbox-medewerker een wachtwoord hergebruikte dat zelf deel uitmaakte van een inbreuk op LinkedIn, waarbij miljoenen wachtwoorden door dieven werden geaccesd.
Zoals het ENISA-rapport opmerkt, is het misbruik van geldige accounts voor initiële toegang ‘geen nieuwe techniek’, maar blijft het een succesvolle focus voor cybercriminelen. Vooral verkeerd geconfigureerde accounts waren opmerkelijk, zo stond erin – evenals accounts met zwakke wachtwoorden.
En hoewel multi-factor authenticatie (MFA) veel van deze aanvallen stopt, is het niet waterdicht, aangezien ENISA wijst op actoren die MFA-codes onderscheppen, gebruikers lastigvallen met pushmeldingen, en meer.
“We verwachten dat inloggegevens een centraal punt blijven voor cybercriminelen,” zei ENISA. “Ondanks technische beschermende maatregelen hebben cybercriminelen manieren gevonden om deze te omzeilen.”
Verminder het risico op initiële toegang via gestolen inloggegevens
Cybersecurity experts zullen zich volledig bewust zijn van het gevaar van gestolen inloggegevens en de noodzaak voor de sterkst mogelijke beveiliging. Maar er is geen plaats voor zelfgenoegzaamheid. De dreiging van initiële toegang via gestolen inloggegevens evolueert continu – en wij moeten dat ook doen.
Op het meest basale niveau heb je geen idee wat je eindgebruikers – bijvoorbeeld je collega’s of klanten – online doen, of waar ze hun zwakke wachtwoorden hergebruiken. Je kunt de websites die ze gebruiken en de apparaten die ze inzetten niet kennen.
Het is ook van vitaal belang om het creëren van sterkere wachtwoorden te handhaven die bestand zijn tegen brute force technieken en andere vormen van aanvallen.
Specops Password Policy helpt bij het opbouwen van een robuust wachtwoordbeleid door:
- Persoonlijke woordenlijsten te genereren om het gebruik van vaak gebruikte woorden binnen je bedrijf te voorkomen.
- Gebruikers directe en interactieve updates te geven wanneer ze wachtwoorden wijzigen.
- Het gebruik van gebruikersnamen, weergavenamen, bepaalde woorden, opeenvolgende tekens, incrementele wachtwoorden en herhaalde delen van eerdere wachtwoorden te beperken.
- Deze functie toe te passen op elk GPO-niveau, computer, individuele gebruiker of groep binnen je organisatie.
- Continu te scannen en meer dan 4 miljard gecompromitteerde wachtwoorden te blokkeren. (Met de continue scanfunctie kan het ervoor zorgen dat gecompromitteerde wachtwoorden dagelijks worden gevonden, een belangrijk voordeel in de strijd tegen een steeds evoluerende vijand.)
Door de algehele wachtwoordbeveiliging in de omgeving te verhogen, goede wachtwoordhygiëne te handhaven en gecompromitteerde, incrementele en anderszins zwakke wachtwoorden te elimineren, wordt de beveiliging van je Active Directory-omgeving en geprivilegieerde accounts versterkt.
Maar ken je de wachtwoordhygiëne van je Active Directory wel? Bereid je verdediging beter voor door wachtwoordkwetsbaarheden in je Active Directory te scannen, zodat je zwakke en gecompromitteerde wachtwoorden kunt detecteren.
Download Specops Password Auditor gratis en ontvang een alleen-lezen rapport.
Gesponsord en geschreven door Specops Software.
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----