Accountovername-aanvallen zijn als het wijdverbreide kampvuurverhaal over een babysitter die een reeks dreigende telefoontjes ontvangt die worden getraceerd vanuit 'binnenshuis'.
Angst voor het onbekende slaat te dicht bij huis. Brokers voor eerste toegang zijn nauw verwant aan aanvallen op het overnemen van accounts en beide zijn gekoppeld aan ransomware. Nu lijkt het waarschijnlijk dat initiële toegangsmakelaars (IAB's) en accountovername-aanvallen hun zinnen zullen zetten op apparaten die geschikt zijn voor Internet of Things. In plaats van dat de oproep van binnenuit komt, komt de aanval van binnenuit de telefoon (uiteraard met VoIP).
De rol van Initial Access Brokers bij ransomware-aanvallen
De opkomst van werken op afstand heeft bijgedragen aan de toename bij ransomware-aanvallen in de afgelopen jaren. Nu meer werknemers vanuit huis werken, zijn organisaties aangewezen op technologieën voor externe toegang, zoals Remote Desktop Protocol (RDP) en Virtual Private Networks (VPN's), die aanvallers een gemakkelijke manier bieden om initiële toegang tot een netwerk te krijgen.
Accountovername-aanvallen worden vaak gebruikt als een middel om initiële toegang tot een netwerk te krijgen om een ransomware-aanval uit te voeren. Bij een accountovername-aanval gebruikt de aanvaller doorgaans gestolen of gekochte inloggegevens om ongeoorloofde toegang te krijgen tot de online accounts van een slachtoffer.
IAB's, ook wel inbreukmakelaars genoemd, bieden toegang tot gehackte of gecompromitteerde computersystemen aan andere personen of organisaties. Het gebruik van IAB's is de laatste jaren steeds gebruikelijker geworden, omdat cybercriminelen hierdoor gemakkelijk en snel toegang kunnen krijgen tot een reeks doelen zonder tijd en middelen te hoeven besteden aan het hacken ervan.
Naarmate organisaties echter RDP-, VPN- en andere IT-referenties beter beveiligen, zullen aanvallers hun aandacht op nieuwe doelen moeten richten. IoT-apparaten zijn een logische keuze vanwege hun wijdverspreide inzet — meer dan een kwart van de apparaten in elke organisatie zijn IoT-apparaten, ongeacht de branche, en dat aantal zal naar verwachting blijven toenemen. Helaas zijn veel van deze apparaten kwetsbaar voor aanvallen, waardoor ze een aantrekkelijk doelwit zijn.
Drie redenen waarom IoT-apparaten kwetsbaar zijn voor aanvallen
Hoewel er veel redenen zijn waarom IoT-apparaten kwetsbaar zijn voor aanvallen, zijn er drie belangrijke redenen: ze worden vaak gebruikt met standaardconfiguraties, patchbeheer is moeilijk en ze zijn niet ontworpen met het oog op beveiliging.
Standaardreferenties zijn gemakkelijke doelen — Toegang:7 onderzoek identificeerde volledige productlijnen van IoT-apparaten die hardgecodeerde inloggegevens deelden voor toegang op afstand.
Gespecialiseerde IoT-firmware blijft mogelijk ongepatcht — Projectmemoria identificeerde meer dan 100 kwetsbaarheden in TCP/IP-stacks die verschillende apparaten troffen, maar vele werden niet gepatcht door de fabrikanten.
Veel IoT-apparaten missen authenticatie en encryptie — OT:ICEFALL-onderzoek heeft aangetoond hoe onveilige protocollen in operationele technologie gemakkelijk kunnen worden misbruikt door aanvallers.
Kwetsbaarheden vertellen natuurlijk maar de helft van het verhaal. Om de aard van de dreiging te begrijpen, moeten organisaties ook begrijpen hoe IoT-apparaten momenteel worden aangevallen.
IAB's voor IoT
Er zijn veel voorbeelden van geavanceerde persistente bedreigingen (APT's) die zakelijke IoT hebben gebruikt voor initiële toegang tot organisaties. Bijvoorbeeld de door de Russische staat gesponsorde acteur Strontium maakt gebruik van VoIP-telefoons, kantoorprinters en videodecoders, terwijl door de Chinese staat gesponsorde actoren kwetsbaarheden op IP-camera's hebben uitgebuit om infiltreren in Amerikaanse organisaties.
Aanvalstechnieken sijpelen meestal door van APT's naar minder geavanceerde actoren, en er zijn al cybercriminele bendes, zoals de Conti-, Deadbolt- en Lorenz-ransomwaregroepen, die zich hebben gericht op IP-camera's, NAS-apparaten en VoIP voor initiële toegang. Daarnaast zijn er groepen die IoT-exploits verhandelen op Dark Web-markten - de logische volgende stap is een IAB-markt voor IoT.
Een IAB voor IoT zou waarschijnlijk op een vergelijkbare manier werken hacktivisten die zich op IoT/OT hebben gericht. Ze scanden doelorganisaties met behulp van tools zoals Shodan en Kamerka, sommen kwetsbaarheden op of ontdekten referenties, en gebruikten die voor eerste toegang.
Een van de belangrijkste verschillen tussen IAB's die zich richten op RDP/VPN en IAB's die zich richten op IoT-apparaten, is dat laatstgenoemden ook kwetsbaarheden in IoT-apparaten kunnen benutten, die vaak veel langer ongepatcht blijven. Dit betekent dat ze op een meer onopvallende en hardnekkige manier toegang kunnen krijgen tot organisaties, waardoor ze een aantrekkelijker doelwit worden voor cybercriminelen.
Het risico van IAB's voor IoT beperken
Hoewel IAB's voor IoT anders zijn dan die gericht op RDP/VPN-referenties, is het goede nieuws dat organisaties cyberbeveiliging nog steeds op een vergelijkbare manier kunnen benaderen. Het ontdekken van nieuwe apparaten op het netwerk, het continu monitoren van netwerkverkeer en het gebruik van de juiste netwerksegmentatie zijn allemaal best practices om het risico op een aanval te verkleinen, ongeacht of het gebruik maakt van een IT- of een IoT-apparaat.
Om de problemen aan te pakken die uniek zijn voor IoT-apparaten, moeten fabrikanten en organisaties een proactieve benadering van IoT-beveiliging hanteren. Dit betekent het wijzigen van standaard zwakke configuraties en het regelmatig toepassen van patches om ervoor te zorgen dat apparaten veilig zijn. Bovendien moeten protocollen die worden gebruikt in gespecialiseerde IoT-apparaten worden ontworpen met het oog op beveiliging, inclusief elementaire beveiligingscontroles zoals authenticatie en codering. Door deze stappen te nemen, kunnen we de beveiliging van IoT-apparaten verbeteren en het risico op aanvallen verkleinen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/attacks-breaches/the-evolution-of-account-takeover-attacks-initial-access-brokers-for-iot
