Nul
Een zakelijke laptop wordt gebruikt in een coffee shop in een weekend was genoeg om een geavanceerde cybercrime groep compromis een organisatie van de gehele infrastructuur.
Het incident werd uitgewerkt door cybersecurity bedrijf Crowdstrike als onderdeel van de Cyber Inbraak Diensten Casebook 2018 rapport en dient als een herinnering aan het feit dat laptops en andere apparaten die veilig zijn tijdens het hardlopen in het netwerk van een organisatie kan worden overgelaten blootgesteld wanneer u zich buiten bedrijf muren.
Crowdstrike beschreven, het bedrijf dat het slachtoffer van de hackers alleen als kleding fabrikant “met een grote en wereldwijde aanwezigheid, met inbegrip van de retail-locaties”.
Het incident begon toen een medewerker van de fabrikant nam hun laptop in een coffeeshop en gebruikt het om naar de website van één van onze partners.
De beveiliging onderzoekers zeiden dat de gebruiker de site bezoekt na wordt gedirigeerd door een phishing-e-mail-en dat was de site gehackt door FakeUpdates, malware en social engineering campagne die duizenden Joomla en WordPress websites.
De malware geeft gebruikers de pop-ups die beweren dat hun browser software moet worden bijgewerkt. In dit geval, de laptop was toen besmet met het Dridex banking trojan en de PowerShell Rijk post-exploit-toolset.
De beveiliging van software die wordt gebruikt door de kleding bedrijf — Crowdstrike niet de naam van de leverancier — gebruikt op apparaten binnen het zakelijke netwerk te halen bedreigingen. Als de laptop wordt gebruikt buiten het netwerk, dit incident is niet duidelijk geworden totdat de laptop weer terug was in het kantoor — tegen die tijd was het te laat.
De besmette laptop diende dan als een startpunt voor de aanvallers om compromissen te sluiten op het bedrijfsnetwerk, waardoor de aanvallers gebruik van PowerShell gebruiken om toegang tot tientallen systemen die kunnen worden aangetast door het nemen van voordeel van de gebruiker machtigingen.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
De aanvallers waren ook in staat om het verzamelen van meer bevoorrechte account referenties met behulp van Mimikatz, een open-source utility gebruikt voor het ophalen van een duidelijke tekst referenties en hashes uit het geheugen, om toegang te krijgen tot de servers en meer bewegen over het netwerk.
“Lokale beheerdersbevoegdheden heeft het gemakkelijker gemaakt voor de dreiging acteur om toegang te krijgen tot een veelheid van eindpunten met door de toegang tot slechts één account, die gekoppeld ze allemaal. Zodra de toegang tot het domein is opgedaan, liet de organisatie volledig blootgesteld,” Bryan York, directeur professional services bij Crowdstrike vertelde ZDNet.
Deze blootstelling konden de aanvallers te installeren Kader POS malware op de store server met de bedoeling van het stelen van creditcard gegevens.
Onderzoekers hebben vastgesteld dat een cyber criminele groep noemen ze Indrik Spider als de daders van de aanval. Het hacken van de operatie is al actief sinds de jaren 2014 en is sterk verbonden met Dridex en BitPaymer ransomware campagnes, die worden verondersteld te gesaldeerd de aanvallers miljoenen dollars.
Het is de eerste keer Indrik Spider is geassocieerd met FakeUpdates, wat aangeeft dat de groep breidt haar activiteiten als het blijft zoeken naar nieuwe middelen van illegaal geld verdienen. Crowdstrike zou niet zeggen of de campagne succesvol was in haar doel of als er creditcard gegevens zijn gestolen van het bedrijf, maar er zijn lessen die organisaties moeten nemen aan boord om niet het slachtoffer te worden van vergelijkbare campagnes.
Crowdstrike beveelt aan dat de rekeningen moet worden gescheiden, en dat eindgebruikers niet mogen worden gegeven beheerder privileges op hun lokale systemen. In dit incident, de tegenstander misbruik van een fout in de configuratie van de onderneming in de Active Directory die onnodige privileges — dus de security bedrijf adviseert organisaties moet regelmatig Active Directory-configuraties over de gehele wereldwijde onderneming.
“Aanvallers gebruikt PowerShell of Windows Management Instrumentation in 20 procent van de gevallen zagen we dit jaar en de bedrijven nodig hebben om te weten hoe beter de detectie van en bescherming tegen deze,” zei York.
LEES MEER OVER CYBERCRIMINALITEIT
Hacken van de groep geeft, schakelt aanvallen van ransomware trojan malwareDe rockstar hackers beschermen u tegen de bad guys CNETGratis, makkelijk te gebruiken, en voor iedereen beschikbaar: De krachtige malware te verbergen in het zicht op het open webHoe bedrijven kunnen verhogen, interne cyber-risico bewustzijn TechRepublicOngeorganiseerde misdaad en state-back-hackers: Hoe het cybercrime en cyberwar landschap is voortdurend in beweging
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0