Ga naar inhoud

Aanbevolen berichten

Geplaatst:

Een groep criminelen genaamd Storm-0501 voert ransomware-aanvallen uit tegen hybride cloudomgevingen, waarbij data en inloggegevens worden gestolen en ransomware uitgerold, zo meldt Microsoft. De groep heeft het volgens het techbedrijf tegen meerdere sectoren in de Verenigde Staten voorzien, waaronder politie, transport, overheid en productie. Voor het uitvoeren van de aanvallen maakt de groep gebruik van 'zwakke inloggegevens' en accounts met te veel rechten om van de on-premises omgeving van de organisatie naar cloudomgevingen te bewegen.

Naast zwakke credentials maakt de groep ook gebruik van bekende kwetsbaarheden in Zoho ManageEngine, Citrix NetScaler en Adobe ColdFusion om toegang tot servers te krijgen en daarvandaan verdere aanvallen uit te voeren. Zodra de groep een netwerk is binnengedrongen wordt geprobeerd om zoveel mogelijk inloggegevens te stelen, waaronder secrets van wachtwoordmanager KeePass. Ook wordt er geprobeerd om lateraal naar de cloudomgeving te bewegen.

"Bij de recente Storm0501-campagne wist de aanvaller Microsoft Entra Connect Sync servers te lokaliseren en plaintext credentials van de Microsoft Entra Connect cloud en on-premises sync-accounts te stelen", aldus Microsoft. "Na het compromitteren van het cloud Directory Synchronization Account, kan de aanvaller zich via de clear text credentials authenticeren en een access token voor Microsoft Graph krijgen."

Microsoft waarschuwt dat het compromitteren van het Microsoft Entra Connect Sync-account een groot risico voor de aangevallen organisatie vormt, aangezien het de aanvaller in staat stelt om de Microsoft Entra ID wachtwoorden van elk hybride account in te stellen of te wijzigen. Een andere methode waardoor de groep cloudomgevingen weet te compromitteren is door een on-premises account te compromitteren dat ook een account in de cloud heeft.

Nadat de aanvaller de eerdere accounts heeft gecompromitteerd maakt die gebruik van een Global Administrator-account om een nieuw federated domain aan te maken dat als backdoor dient. Zodra er voldoende controle over het netwerk is verkregen worden gevoelige bestanden gestolen en de Embargo-ransomware uitgerold. Wanneer slachtoffers het losgeld niet betalen dreigt de groep de gestolen data openbaar te maken.

 

bron: https://www.security.nl

Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.