A storm’s a coming: hoe organisaties zich kunnen beschermen tegen groepen als Pawn Storm

pawn stormPawn Storm, ook wel bekend als Sednit5, Fancy Bear, APT28, Sofacy of STRONTIUM8. Het klinken wellicht als de namen van Instagram-accounts, top geheime spionageprogramma’s of nieuwe wetgeving, maar in werkelijkheid zijn dit allemaal verschillende namen voor dezelfde succesvolle cyberspionagegroep (of threat actor-groep). Deze actoren gebruiken vaak multi-angle aanvallen op hetzelfde doelwit, waarbij ze meerdere methodes inzetten om hun doelen te bereiken. Petya en Wannacry zijn dergelijke aanvallen. Daarbij vertrouwt Pawn Storm op geoefende (en bewezen) technieken, zeker wanneer het aankomt op phishing-aanvallen. Vorige week nog maakten we bekend dat deze groep onder meer aanvallen heeft uitgevoerd op  Franse en Duitse verkiezingskandidaten.

Phishing-aanvallen
Credential phishing is een effectieve tool die gebruikt wordt binnen campagnes voor cyberspionage. Veel internetgebruikers zijn door schade en schande wijs geworden en weten  nu hoe ze niet in de val van dit type phishing-aanvallen moeten lopen. Door te letten op opvallende grammaticale- en spelfouten, ongewone domeinnamen in de URL of de afwezigheid van een beveiligde, versleutelde verbinding in de browserbalk, kunnen gebruikers mogelijke kwaadaardige bedreigingen identificeren.

Social engineering
Professionele threat actors als Pawn Storm hebben echter de resources en ervaring om deze simpele fouten te vermijden en vernuftige social engineering-tactieken in te zetten om deze indicatoren te omzeilen. Deze ‘professionals’ versturen phishing e-mails met perfecte spelling en grammatica in iedere taal en hebben geen enkele moeite met het omzeilen van spamfilters en andere security-maatregelen. In wezen zijn credential phishing-aanvallen verworden tot effectieve, gevaarlijke tools die ernstige schade kunnen aanrichten op grote hoeveelheden gevoelige data, die gestolen of gewist kan worden of waarmee afpersingen plaats kunnen vinden. Credential phishing is daarnaast een strategische zet om dieper in de digitale infrastructuur van het doelwit terecht te komen.

Hoewel groepen als Pawn Storm zowel individuele personen als doelwit kunnen hebben, zoals Colin Powell en Hillary Clinton, als groepen zoals het Democratic National Committee (DNC) of World Anti-Doping Agency (WADA), zijn er beschermende maatregelen die u kunt treffen om het niveau van uw beveiliging tegen cybercriminelen op te schroeven:

  • Minimaliseer het aanvalsoppervlak – systemen die niet verbonden hoeven zijn met internet, zouden dat ook niet moeten zijn.
  • Zorg ervoor dat  werknemers die thuiswerken gebruik maken van een zakelijke VPN-verbinding voor toegang tot uw systemen.
  • Minimaliseer het aantal domeinnamen dat u onderhoudt en centraliseer mailservers.
  • Voorkom DNS-kaping van uw domeinen. Werk daarom alleen met met gerenommeerde registratoren of partijen die tweefactor-authenticatie toestaan voor uw DNS-beheeraccount. Zet uw domein vast bij de registrator om de lat voor ongeautoriseerde veranderingen aan uw domeinen nog hoger te leggen
  • Handhaaf tweefactor-authenticatie voor zakelijke webmail. Een nog betere optie zou zijn om authenticatie te vereisen via een fysieke (USB-) veiligheidssleutel.
  • Leid werknemers op over het beveiligen van hun gratis privé webmail- en social media-accounts en laat hen deze accounts niet voor werkdoeleinden gebruiken.
  • Geef medewerkers een schone leencomputer mee wanneer zij naar het buitenland moeten voor hun werk. Verwijder de gegevens na terugkomst van de computer en installeer het OS opnieuw.
  • Gebruik alleen diensten van gerenommeerde derde partijen, aangezien uitbestede diensten ook gevaar kunnen lopen.
  • Leid medewerkers op over emailsystemen en/of email-account best practices. Beter nog: bewaar geen gevoelige informatie in emailboxen zonder encryptie en verstuur geen gevoelige informatie via e-mail zonder encryptie.
  • Laat een gerenommeerd bedrijf regelmatig penetratietesten uitvoeren op uw netwerk. Neem daarbij ook social engineering mee in de testen.
  • Houd uw software geüpdatet en gepatcht.

Lees meer in het volledige Pawn Storm-rapport of lees meer over de cloud security events waar Trend Micro aanwezig is.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *