Microsoft 365-gebruikers staan onder toenemende druk door een geavanceerde cyberaanval die wereldwijd organisaties treft. Onderzoekers van SecurityScorecard hebben vastgesteld dat een botnet (een netwerk van gehackte apparaten) van meer dan 130.000 gecompromitteerde apparaten wordt ingezet voor grootschalige 'password-spraying'-aanvallen. Waar we in ons vorige blog over een botnet-aanval Multi-Factor Authenticatie (MFA) adviseerden als verdedigingsstrategie, omzeilt deze aanvalsvariant MFA door gebruik te maken van verouderde authenticatieprotocollen. Op deze manier krijgen hackers ongeautoriseerde toegang tot gevoelige e-mails, documenten en samenwerkingsplatformen. Vooral bedrijven in de financiële sector, gezondheidszorg, overheid en technologie lopen ernstige risico’s.
De aanval verloopt op een zeer geraffineerde manier en blijft vaak lange tijd onopgemerkt. Dit gebeurt door:
Niet-interactieve aanmeldingen: In plaats van traditionele brute-force aanvallen, die vaak tot accountvergrendelingen en beveiligingswaarschuwingen leiden, maken aanvallers gebruik van zogenaamde niet-interactieve aanmeldingen. Dit type aanmelding wordt doorgaans gebruikt door geautomatiseerde services en vereist dus geen directe menselijke interactie, wat kwaadwillenden in staat stelt om systemen binnen te dringen zonder alarmsignalen af te geven.
Misbruik van Basis Authenticatie: Aanvallers benutten een verouderd protocol dat inloggegevens zonder encryptie verzendt. Hierdoor kunnen moderne beveiligingsmaatregelen en MFA worden omzeild, waardoor accounts kwetsbaar zijn voor overname.
Command-and-Control (C2) servers: Onderzoekers hebben vastgesteld dat de aanval wordt aangestuurd via zes command-and-control servers. Deze servers coördineren de activiteit van duizenden geïnfecteerde apparaten en maken gebruik van proxy-diensten van bekende cloudproviders die in verband worden gebracht met China. Door open poorten voor botnetbeheer en aanvalcoördinatie te gebruiken, kunnen aanvallers snel en effectief toeslaan.
De gevolgen van deze aanvallen voor bedrijven zijn aanzienlijk. De schade betreft namelijk niet alleen de directe inbreuk op bedrijfsdata, maar ook het disruptieve effect op de bedrijfsvoering en de potentiële langetermijnrisico's moet je meewegen:
Ongeautoriseerde toegang: Aanvallers kunnen gevoelige bedrijfsgegevens, zoals e-mails en documenten, stelen.
Verstoring van bedrijfsvoering: Herhaalde inlogpogingen kunnen accountvergrendelingen veroorzaken en daarmee de workflow onderbreken.
Lateral movement en phishing: Gecompromitteerde accounts kunnen worden misbruikt om verder in te breken in organisaties en medewerkers te misleiden via phishing-aanvallen.
Gelukkig zijn er voldoende manieren om dit soort cyberanvallen af te slaan. Om jezelf te wapenen tegen deze dreiging, kun je (een van) de volgende maatregelen nemen:
Audit op niet-interactieve aanmeldingen: Controleer verdachte niet-interactieve aanmeldingen in de Microsoft 365-logboeken.
Schakel Basis Authenticatie uit: Stap over op moderne authenticatiemethoden die volledig MFA ondersteunen.
Versterk toegangsbeleid: Beperk niet-interactieve aanmeldingen en dwing sterkere authenticatiemethoden af.
Monitor Command-and-Control activiteit: Houd verdachte netwerkactiviteit en afwijkende inlogpatronen in de gaten.
Volgens cybersecurity-expert Jason Soroko vormen niet-interactieve aanmeldingen een groot deel van het totaal aantal authenticatie-gebeurtenissen binnen Microsoft 365. Deze worden veelal gebruikt door service-accounts, geautomatiseerde taken en API-integraties, maar brengen dus ook aanzienlijke risico’s met zich mee. Om dit te beheersen, adviseert Soroko:
Gebruik certificaten en beheerde identiteiten
Pas een strikt wachtwoordbeheer toe en plan een periodieke herziening van toegangsrechten
Implementeer continue monitoring op afwijkend gedrag binnen authenticatieprocessen
Microsoft heeft aangekondigd later dit jaar bepaalde Basis Authenticatie-protocollen definitief uit te faseren. Dit maakt het nu het juiste moment om maatregelen te treffen en bescherming te garanderen tegen deze groeiende dreiging. Met deze grootschalige botnet-aanval die al actief is, is snel handelen essentieel om Microsoft 365-omgevingen veilig te stellen.
De voortdurende dreiging van botnet-aanvallen benadrukt maar weer eens de noodzaak om een stevig cyberweerbaarheidsbeleid op te stellen. Door tijdig verouderde authenticatieprotocollen uit te schakelen, toegangscontroles te verbeteren en netwerkactiviteit te monitoren, kun je je beter wapenen tegen deze aanvallen.
IRIS one helpt bedrijven bij het versterken van hun cybersecurity en biedt ondersteuning om Microsoft 365-omgevingen optimaal te beveiligen. Neem contact met ons op voor meer informatie over hoe wij kunnen helpen om jouw organisatie digitaal weerbaarder te maken.