Stel je eens voor dat je een securityanalist bent in het Security Operations Center (SOC) van een wereldwijde security partner, die de eerste verdedigingslinie vormt voor meerdere organisaties. Elke dag wordt je overspoeld met alarmmeldingen en events, waarbij je voor elke organisatie de puzzel van potentiële dreigingen in hun netwerk, endpoints, cloud assets, applicaties, e-mail en servers moet oplossen. Maar wat gebeurt er als één of meer puzzelstukjes ontbreken?
Drie cyberaanvallen die zijn waargenomen door het SOC van Barracuda XDR laten zien wat er met een organisatie kan gebeuren als hun digitale security onvolledig is.
Incident #1: ransomware-aanval op een IT-bedrijf
De blinde vlekken in security: onvolledige devicebescherming, zwakke authenticatie en geen verbinding met een SOC voor inzicht in security.
De aanvaller maakte gebruik van gecompromitteerde VPN-logingegevens en misbruikte een zero-day kwetsbaarheid om binnen te komen en te blijven. De aanvaller verplaatste zich vervolgens lateraal door het netwerk en naar gecompromitteerde servers. Ook gaf de aanvaller zichzelf meer rechten, manipuleerde hij admin-accounts en -groepen en zette ongeautoriseerde communicatiekanalen op met een schadelijke command-and-control (C&C) server. Door het ontbreken van robuuste securitymaatregelen in de netwerkinfrastructuur kon de aanvaller meerdere kwetsbaarheden misbruiken. Dit resulteerde in significante schade aan onder andere het netwerk.
Tijdens de aanval gebruikte de aanvaller verschillende tools om blinde vlekken in de security uit te buiten, het systeem te compromitteren, schadelijke acties uit te voeren en detectie te omzeilen. Er werden onder andere tools voor remote control gebruikt om een persistente netwerkverbinding op afstand mogelijk te maken, laterale bewegingen te vergemakkelijken en om data te exporteren.
Net als bij veel andere aanvallen, werden commercieel verkrijgbare IT-tools gebruikt die, als ze op zichzelf zouden worden ontdekt, niet direct verdacht zijn. Een aanvaller kan deze tools bijvoorbeeld gebruiken om op afstand schadelijke payloads of scripts te downloaden, netwerken te scannen op open poorten, draaiende services en andere netwerkkenmerken te identificeren die misbruikt kunnen worden, of om aanvullende doelwitten te vinden.
Deze ransomware-aanval, waarbij ook data werd gestolen, resulteerde in een verstoring waardoor diensten stopgezet moesten worden, met alle (financiële) gevolgen van dien. De datadiefstal vergrootte de schade, doordat intellectueel eigendom en klantgegevens verloren gingen.
Incident #2: datadiefstal bij een productiebedrijf
De blind spots in de security: verkeerde configuraties, het ontbreken van robuuste authenticatie en geen toegankelijke back-up.
Bij deze aanval maakte de aanvaller gebruik van gecompromitteerde logingegevens om toegang te krijgen tot een remote desktop protocol (RDP) server. Hierbij werd een veelgebruikte tool gebruikt om een VPN-account te ‘brute-forcen’. De aanvaller maakte vervolgens misbruik van onjuiste securityconfiguraties, waaronder niet goed beveiligde, essentiële system directories. Zo kreeg de aanvaller toegang tot meer dan 100 devices en werd het ERP-systeem van het slachtoffer ernstig verstoord. De aanvaller verwijderde hiernaast de back-updata van de organisatie.
Net als bij het eerste incident gebruikte de aanvaller verschillende tools om in te breken op het systeem, brute-force aanvallen uit te voeren, wachtwoorden te verkrijgen, kwetsbaarheden in de security te vinden en te helpen bij laterale bewegingen en het op afstand uitvoeren van code.
De aanval zorgde voor een aanzienlijke verstoring van de bedrijfsvoering, met grote financiële schade als gevolg. Door de inbraak op het netwerk kwam de productie stil te liggen, waardoor productieschema’s werden verstoord. Hiernaast duurde de downtime en het herstelproces langer dan verwacht doordat ook hier de back-updata waren verwijderd door de aanvaller. Het duurde meer dan twee maanden voordat het bedrijf weer volledig operationeel was.
Incident #3: datadiefstal bij een retailer
Blinde vlekken in de security: openbaar toegankelijke bedrijfsassets, zwakke authenticatie en geen verbinding voor inzicht in de security.
Door een onjuiste configuratie was een kritieke server met remote desktop protocol (RDP) toegankelijk vanaf internet. De aanvaller maakte gebruik van dit open RDP-kanaal door in te breken op het netwerk en richtte zich vervolgens op de domain controllers (DC’s), waarmee hij accounts aanmaakte. Hierna wiste de aanvaller zijn sporen. Doordat de aanvaller zo’n uitgebreide toegang had tot het netwerk, kon hij de integriteit en vertrouwelijkheid hiervan aantasten. De aanvaller stal ook gevoelige data van de file servers en verkocht deze data vervolgens op het dark web.
De aanvaller maakte gebruik van een veelgebruikte ‘threat emulation tool’ waarmee hij in het systeem kon blijven, zichzelf meer rechten kon geven, lateraal kon bewegen en data kon wegsluizen. Hiernaast maakte de aanvaller gebruik van tools die wachtwoorden kunnen kraken en van tools waarmee hij een beter beeld van de omgeving van het slachtoffer kon krijgen voor verdere uitbuiting.
Als gevolg van de inbreuk werden gevoelige data gestolen en publiek toegankelijk gemaakt op het dark web. De kritieke file servers die tijdens de aanval werden gecompromitteerd, bevatten waardevol intellectueel eigendom en gevoelige klantgegevens. Het publiceren van deze data leidde tot reputatieschade en ondermijnde het vertrouwen van klanten in de getroffen organisatie.
Conclusie: behoefte aan ‘full spectrum security’
Deze drie incidenten zijn een goede reminder dat onvolledige securitymaatregelen organisaties kwetsbaar kunnen maken voor aanvallen die grote gevolgen kunnen hebben, zowel financieel als voor de reputatie. Een gebrek aan zichtbaarheid in de security van de hele omgeving maakt het moeilijker om verdachte activiteiten op te sporen en te correleren met andere waargenomen activiteiten binnen het netwerk.
Een goede oplossing voor dit gebrek aan zichtbaarheid is door netwerk-, endpoint-, server-, cloud-, en emailsecurity te integreren in een XDR-oplossing. Door de data van verschillende securityonderdelen te combineren, kunnen dreigingen sneller en beter worden gedetecteerd en kan er beter worden gereageerd op deze dreigingen. Met een XDR-oplossing wordt elk onderdeel van de IT-infrastructuur – van e-mails tot cloudapplicaties – bewaakt en beveiligd met geavanceerde securitymaatregelen, een volledig spectrum van defensieve tools, gecombineerd met proactieve strategieën voor detectie van en respons op dreigingen. Organisaties kunnen zo snel ingrijpen bij verdachte situaties en de ‘window of opportunity’ van aanvallers beperken.
Adam Khan, VP Global Security Operations, Barracuda XDR