Worden jullie systemen gehackt, of logt de aanvaller gewoon in?

Waarom een deur intrappen en het alarm af laten gaan, als je ook stilletjes kunt binnenlopen met een sleutel én de code? Dat is de gedachte achter een duidelijke trend in digitale veiligheid: aanvallers stelen in toenemende mate wachtwoorden, en zelfs authenticatietokens en sessiecookies, om MFA te omzeilen en zich voor te doen als legitieme gebruikers.

Uit rapportages blijkt dat het gebruik van gestolen inloggegevens al jaren tot de populairste methoden voor initiële toegang behoort. In ongeveer een derde (32%) van de datalekken vorig jaar speelden gestolen credentials een rol. Goed nieuws: hoewel er verschillende manieren zijn waarop cybercriminelen in het bezit kunnen komen van inloggegevens, zijn er ook veel mogelijkheden om ze tegen te houden.

Waarom inloggegevens het nulpunt van veel aanvallen zijn

Volgens een schatting zijn er in 2024 meer dan 3,2 miljard inloggegevens van organisaties buitgemaakt, een stijging van 33% op jaarbasis. Met die toegang kunnen aanvallers onopgemerkt rondkijken en hun volgende stap plannen, zoals:

• Netwerkverkenning: data, assets en gebruikersrechten in kaart brengen.

• Rechten uitbreiden: bijvoorbeeld via kwetsbaarheden, om lateraal te bewegen richting kroonjuwelen (kritieke systemen/data).

• Command-and-control (C2) opzetten: extra malware downloaden en gegevens exfiltreren  

Door deze stappen te doorlopen, kan een tegenstander ook zeer succesvolle ransomware- en andere campagnes uitvoeren.

Hoe komen cybercriminelen aan wachtwoorden (en tokens)?

Aanvallers hebben verschillende manieren ontwikkeld om de bedrijfsgegevens van je werknemers of in sommige gevallen zelfs hun MFA-codes te compromitteren. Deze omvatten:

• Phishing: e-mails of sms’jes die lijken te komen van een officiële bron (bijv. de IT-afdeling of een leverancier) lokken slachtoffers naar een valse inlogpagina (denk aan ‘Microsoft 365’).
• Vishing: de telefonische variant. De ‘helpdesk’ vraagt om een wachtwoord of het aanmelden van een nieuw MFA-apparaat. Of ze kunnen de helpdesk bellen en beweren dat ze een leidinggevende of werknemer zijn die dringend een nieuw wachtwoord nodig heeft om hun werk te kunnen doen.
• Infostealers: malware die wachtwoorden en sessiecookies oogst uit browsers en apps. Verspreidt zich via malafide links/bijlagen, gehackte websites, nep-apps of bijvoorbeeld onofficiële game-mods. Infostealers zijn naar schatting verantwoordelijk voor 75% van de gecompromitteerde inloggegevens vorig jaar.
• Brute-force:
  • Credential stuffing: eerder gelekte combinaties hergebruiken op bedrijfsapps en -sites.
  • Password spraying: veelgebruikte wachtwoorden massaal proberen. Geautomatiseerde bots helpen hen om dit op grote schaal te doen, totdat er uiteindelijk één werkt.
• Inbreuken door derden: een leverancier/partner (bijv. MSP of SaaS-partij) raakt data kwijt of verkoopt gelekte inlog-‘combo’s’ om te gebruiken in latere aanvallen..
• MFA-bypass: SIM-swapping, MFA prompt bombing die het doelwit overstelpt met pushmeldingen om "waarschuwingsmoeheid" te veroorzaken en een pushgoedkeuring uit te lokken, en Adversary-in-the-Middle (AitM) aanvallen waarbij aanvallers zichzelf tussen een gebruiker en een legitieme authenticatieservice plaatsen om MFA-sessietokens te onderscheppen.

Recente voorbeelden

• Change Healthcare (VS, 2024): in één van de belangrijkste cyberaanvallen van 2024 legde de ransomware-groep ALPHV (BlackCat) Change Healthcare plat, een grote Amerikaanse leverancier van technologie voor de gezondheidszorg. De bende gebruikte een reeks gestolen referenties om op afstand toegang te krijgen tot een server waarop multifactorauthenticatie (MFA) niet was ingeschakeld. Vervolgens escaleerden ze hun privileges en verplaatsten ze zich lateraal binnen de systemen om ransomware te implementeren, wat uiteindelijk leidde tot een ongekende verstoring van het gezondheidszorgsysteem en de diefstal van gevoelige gegevens van miljoenen Amerikanen.

• Snowflake (internationaal, 2024): financieel gemotiveerde dreigingsactor UNC5537 kreeg toegang tot de Snowflake klantendatabase-instanties van meerdere klanten. Honderden miljoenen downstream-klanten werden getroffen door deze grootschalige afpersingscampagne voor gegevensdiefstal. De dreigingsactor zou toegang hebben gekregen tot hun omgevingen via referenties die eerder waren gestolen via infostealer-malware. 

Wat kun je doen? 

Dit alles maakt het belangrijker dan ooit om de wachtwoorden van je werknemers te beschermen, aanmeldingen veiliger te maken en de IT-omgeving beter te controleren op de signalen van een inbreuk.

• Volg een Zero Trust-aanpak gebaseerd op het principe vertrouw nooit, maar verifieer altijd. Vul deze aanpak aan met:

  • Bijgewerkte trainings- en bewustwordingsprogramma’s voor werknemers

    • Inclusief praktijksimulaties met de nieuwste social-engineeringtechnieken

  • Strikte beleidsregels en tools om te voorkomen dat gebruikers riskante sites bezoeken (waar bijvoorbeeld infostealers kunnen schuilen)

  • Beveiligingssoftware op alle servers, endpoints en andere apparaten

  • Tools voor continue monitoring om verdacht gedrag te herkennen. Dit helpt bij het detecteren van tegenstanders die zich mogelijk in je netwerk bevinden dankzij een gecompromitteerde credential

  • Schadebeperking bij gecompromitteerde accounts, bijvoorbeeld door The principle of least privilege (PoLP) te volgen

  • Dark web monitoring om te controleren of bedrijfsgegevens/credentials te koop zijn in de ondergrondse cybercriminaliteit

• Overweeg een MDR-service (Managed Detection & Response)

  • Lagere totale eigendomskosten

  • Vakinhoudelijke expertise

  • 24/7 bewaking en bescherming tegen dreigingen

  • Toegang tot analisten die de nuances van inbraken op basis van inloggegevens begrijpen

  • Versnelde incidentrespons wanneer Checklist (om vandaag te starten)