In de afgelopen maanden heeft een cybercriminele bende, bekend als LAPSUS$, de verantwoordelijkheid opgeëist voor een aantal spraakmakende aanvallen op technologiebedrijven, waaronder:
- T-Mobile (23 april 2022)
- Globant
- Okta
- Ubisoft
- Samsung
- Nvidia
- Microsoft
- Vodafone
Naast deze aanvallen was LAPSUS$ ook in staat om met succes een ransomware-aanval uit te voeren tegen het Braziliaanse ministerie van Volksgezondheid.
Hoewel spraakmakende cyberaanvallen zeker niets nieuws zijn, zijn er verschillende dingen die LAPSUS$ uniek maken.
- Het vermeende brein achter deze aanvallen en verschillende andere vermeende handlangers waren allemaal tieners.
- In tegenstelling tot meer traditionele ransomware-bendes, heeft LAPSUS$ een zeer sterke aanwezigheid op sociale media.
- De bende is vooral bekend om gegevensexfiltratie. Het heeft de broncode en andere eigendomsinformatie gestolen en heeft deze informatie vaak op internet gelekt.
LAPSUS$ gestolen inloggegevens
In het geval van Nvidia, bijvoorbeeld, aanvallers hebben toegang gekregen tot honderden gigabytes aan eigen gegevens, inclusief informatie over chips die het bedrijf aan het ontwikkelen is. Misschien meer verontrustend; LAPSUS$ beweert echter de inloggegevens van duizenden Nvidia-medewerkers te hebben gestolen. Het exacte aantal gestolen inloggegevens is enigszins onduidelijk, waarbij verschillende technische nieuwssites verschillende aantallen rapporteren. Specops was echter in staat om ongeveer 30.000 wachtwoorden te bemachtigen die tijdens de inbreuk waren gecompromitteerd.
De opkomst van cyberafpersing
Er zijn twee belangrijke punten van aandacht voor de LAPSUS$-aanvallen waar organisaties op moeten letten. Ten eerste illustreren de LAPSUS$-aanvallen duidelijk dat bendes van cybercriminelen niet langer genoegen nemen met het uitvoeren van alledaagse ransomware-aanvallen. In plaats van alleen gegevens te versleutelen, zoals in het verleden zo vaak is gedaan, lijkt LAPSUS$ veel meer gericht op cyberafpersing. LAPSUS$ krijgt toegang tot het meest waardevolle intellectuele eigendom van een organisatie en dreigt die informatie te lekken tenzij losgeld wordt betaald.
Het is denkbaar dat een technologiebedrijf onherstelbare schade lijdt door het lekken van zijn broncode, productroutekaart of onderzoeks- en ontwikkelingsgegevens, vooral als die gegevens beschikbaar zouden worden gesteld aan concurrenten.
Hoewel de LAPSUS$-aanvallen zich tot dusver vooral op technologiebedrijven hebben gericht, kan elke organisatie het slachtoffer worden van een dergelijke aanval. Als zodanig moeten alle bedrijven zorgvuldig overwegen wat ze kunnen doen om hun meest gevoelige gegevens uit de handen van cybercriminelen te houden.
Zwakke wachtwoorden in het spel
De andere belangrijke conclusie van de LAPSUS$-aanvallen was dat hoewel er geen definitieve informatie is over hoe de aanvallers toegang hebben gekregen tot de netwerken van hun slachtoffer, de lijst met gelekte Nvidia-inloggegevens die door Specops is verkregen, duidelijk laat zien dat veel werknemers extreem zwakke wachtwoorden gebruikten. Sommige van deze wachtwoorden waren veelvoorkomende woorden (welkom, wachtwoord, september, enz.), die extreem gevoelig zijn voor woordenboekaanvallen. Veel andere wachtwoorden bevatten de bedrijfsnaam als onderdeel van het wachtwoord (nvidia3d, mynvidia3d, enz.). Minstens één medewerker ging zelfs zo ver om het woord Nvidia als wachtwoord te gebruiken!
Hoewel het heel goed mogelijk is dat de aanvallers een initiële penetratiemethode gebruikten die niet was gebaseerd op het gebruik van verzamelde inloggegevens, is het veel waarschijnlijker dat deze zwakke inloggegevens een cruciale rol speelden bij de aanval.
Dit roept natuurlijk de vraag op wat andere bedrijven kunnen doen om te voorkomen dat hun werknemers soortgelijke zwakke wachtwoorden gebruiken, waardoor de organisatie kwetsbaar wordt voor aanvallen. Het opzetten van een wachtwoordbeleid dat lange en complexe wachtwoorden vereist, is een goed begin, maar er is meer dat bedrijven zouden moeten doen.
Uw eigen organisatie beschermen tegen een soortgelijke aanval
Een belangrijke maatregel die organisaties kunnen gebruiken om het gebruik van zwakke wachtwoorden te voorkomen, is het creëren van een aangepast woordenboek van woorden of woordgroepen die niet als onderdeel van het wachtwoord mogen worden gebruikt. Onthoud dat werknemers bij de Nvidia-aanval vaak het woord Nvidia gebruikten als wachtwoord of als onderdeel van hun wachtwoord. Een aangepast woordenboek had kunnen worden gebruikt om te voorkomen dat een wachtwoord het woord Nvidia bevat.
Een andere, nog belangrijkere manier waarop een organisatie het gebruik van zwakke wachtwoorden kan voorkomen, is door een beleid te maken dat voorkomt dat gebruikers wachtwoorden gebruiken waarvan bekend is dat ze zijn gelekt. Wanneer een wachtwoord wordt gelekt, wordt dat wachtwoord gehasht en wordt de hash meestal toegevoegd aan een database met wachtwoord-hashes. Als een aanvaller een wachtwoord-hash verwerft, kunnen ze de hash eenvoudig vergelijken met de hash-database, waardoor het wachtwoord snel wordt onthuld zonder een tijdrovende brute force of op woordenboek gebaseerde crack.
Specops Password Policy geeft beheerders de tools die ze nodig hebben om ervoor te zorgen dat gebruikers het gebruik van zwakke wachtwoorden of wachtwoorden waarvan bekend is dat ze zijn gecompromitteerd, vermijden. Specops maakt het gemakkelijk om een wachtwoordbeleid te maken dat voldoet aan veelvoorkomende wachtwoordstandaarden, zoals die zijn gedefinieerd door NIST. Naast het instellen van vereisten voor lengte en complexiteit, stelt Specops beheerders echter in staat woordenboeken te maken van woorden die niet als onderdeel van een wachtwoord mogen worden gebruikt. Bovendien onderhoudt Specops een database met miljarden gelekte wachtwoorden. Gebruikerswachtwoorden kunnen automatisch worden vergeleken met deze database, waardoor wordt voorkomen dat gebruikers een wachtwoord gebruiken waarvan bekend is dat het is gehackt.
