Aanvallers zetten in op SonicWall VPN-kwetsbaarheden en Microsoft 365-accounts

Hiervoor waarschuwt het Security Operations Center (SOC) van Barracuda, dat deze ontwikkelingen in het cyberdreigingslandschap in oktober opmerkte. Aanvallers benutten een bekende kwetsbaarheid (CVE-2024-40766) in SonicWall VPN-apparaten, die al meer dan een jaar bestaat. Door eerder gestolen inloggegevens te gebruiken, weten ze eenmalige wachtwoorden (OTP’s) te onderscheppen en multifactorauthenticatie (MFA) te omzeilen – zelfs op systemen waar de kwetsbaarheid al is verholpen. De ransomware-groep achter Akira gebruikt legitieme tools voor remote monitoring om detectie te ontlopen en beveiligingssystemen uit te schakelen.

Python-scripts verbergen schadelijke tools

Analisten van Barracuda’s SOC signaleren een groeiend gebruik van Python-scripts om hacktools zoals Mimikatz en credential stuffing-tools te draaien. Deze methode stelt aanvallers in staat detectie te omzeilen, aanvallen geautomatiseerd uit te voeren en meerdere schadelijke operaties gelijktijdig uit te voeren.

Ook neemt het aantal verdachte inlogpogingen op Microsoft 365-accounts toe. Gecompromitteerde accounts geven aanvallers toegang tot gevoelige bedrijfsgegevens, kunnen worden doorverkocht aan andere criminelen en dienen als uitvalsbasis voor verdere aanvallen binnen organisaties.

Risicofactoren

Volgens Barracuda lopen organisaties extra risico als ze:

• Kwetsbaarheden niet tijdig verhelpen en inloggegevens niet resetten
• Onvoldoende detectiemogelijkheden hebben voor verdachte activiteiten
• Een zwak wachtwoordbeleid of onvolledige MFA-implementatie hanteren
• Medewerkers niet regelmatig trainen in cybersecuritybewustzijn

Meer informatie is hier te vinden.