Microsoft- en Google-platforms onder vuur

vr, 06/08/2021 - 20:02

Door: Redactie WINMAG Pro

Organisaties over de hele wereld hebben in recordaantallen gebruikgemaakt van tools in de cloud, en aanvallers zijn snel gevolgd. In de afgelopen maanden heeft Proofpoint een toename waargenomen van cybercriminelen die misbruik maken van de populaire infrastructuur van Microsoft en Google om bedreigingen te hosten en te verzenden via Office 365, Azure, OneDrive, SharePoint, G-Suite en Firebase-opslag.

Recent onderzoek van Proofpoint toont aan dat aanvallers zowel Microsoft- als Google-infrastructuur gebruiken om kwaadaardige berichten te verspreiden. Verder mensen als doelwit te nemen terwijl ze gebruikmaken van populaire cloud-samenwerkingstools - met name in de voortdurende omgevingen voor thuiswerken en werken op afstand.

De cijfers

Vorig jaar werden 59.809.708 schadelijke berichten van Microsoft Office 365 gestuurd naar duizenden klanten van Proofpoint.

Meer dan 90 miljoen schadelijke berichten werden verzonden of gehost door Google, waarbij 27 procent werd verzonden via Gmail, ‘s werelds populairste e-mailplatform.

In het eerste kwartaal van 2021 heeft Proofpoint zeven miljoen kwaadaardige berichten waargenomen vanuit Microsoft Office 365. Proofpoint zag ook 45 miljoen kwaadaardige berichten vanuit de Google-infrastructuur. Dat is meer dan de aantallen per kwartaal van op Google gebaseerde aanvallen in 2020.

Het volume schadelijke berichten van deze vertrouwde clouddiensten overtrof dat van alle botnets in 2020. De goede reputatie van deze domeinen, waaronder outlook.com en sharepoint.com, maakt het moeilijker voor beveiligers om ze te ontdekken.

Perceptie van authenticiteit is essentieel, omdat e-mail onlangs opnieuw de belangrijkste bron voor ransomware is geworden. Cybercriminelen maken steeds meer gebruik van de toeleveringsketen en het ecosysteem van partners om accounts in gevaar te brengen, referenties te stelen en geld weg te sluizen.

Vanwege het aantal diensten dat vanuit één account kan worden gebruikt, hebben cybercriminelen het afgelopen jaar 95 procent van de organisaties aangevallen met pogingen om cloudaccounts te compromitteren. Meer dan de helft van de organisaties heeft te maken gehad met ten minste één compromittering.

Bij meer dan 30 procent van de gecompromitteerden was er na de aanval activiteit, waaronder bestandsmanipulatie, het doorsturen van e-mail en OAuth-activiteiten.

Cybercriminelen kunnen gestolen inloggegevens gebruiken om zich ten onrechte bij systemen aan te melden en meerdere cloudservices en hybride omgevingen te gebruiken. Ze kunnen ook overtuigende e-mails versturen die van een echte medewerker lijken te komen, en zo potentieel tot financieel en gegevensverlies leiden.

Praktijkvoorbeelden

De methoden van de door Proofpoint onderschepte aanvallers lopen uiteen.

Soms werd er gebruikgemaakt van Microsoft SharePoint-URL’s die zogenaamd documenten met beleidslijnen en COVID-19-richtlijnen hosten.

In andere gevallen werden er berichten met valse videoconferentiegegevens onder domeinnaam “.onmicrosoft.com” verzonden. De berichten bevatten een URL die leidt naar een fake webmailverificatiepagina, ontworpen om gebruikersgegevens te verzamelen.

Een laatste voorbeeld draait om de kleinschalige Xoris ransomware-campagne, waarbij de aanvallers poogden om boekhouders te verleiden om versleutelde MS Word-documenten te openen. De documenten bevatten macro’s die, indien ingeschakeld, ransomware droppen.

Info | proofpoint.com