Google waarschuwt voor wachtwoordcriminelen

Google waarschuwt voor een criminele activiteitsgroep Scattered Spider, die zich specifiek richt op organisatie-helpdesks om medewerkerswachtwoorden te laten resetten. De aanvallers benaderen helpdeskmedewerkers telefonisch, vaak terwijl ze zich voordoen als interne collega’s. Ze gebruiken informatie uit datalekken en social engineering om toegang tot Active Directory-accounts te krijgen. In eerste instantie verzamelen ze namen van systeembeheerders en securitygroepen met toegang tot kritieke infrastructuur, zoals VMware vCenter. Ze scannen eveneens naar wachtwoordbeheerders (zoals HashiCorp Vault). Vervolgens bellen ze nogmaals, nu als zogenaamd bevoegde beheerder, om opnieuw wachtwoordresets te verkrijgen, een methode die succesvol blijkt te zijn doordat veel helpdesks onvoldoende identiteitsverificatie toepassen. Met de zo bemachtigde beheerdersaccounts infiltreren de aanvallers VMware-infrastructuur, stelen gegevens, verwijderen back‑ups en rollen uiteindelijk ransomware uit. Google adviseert organisaties om wachtwoordresets alleen uit te voeren als personeel fysiek aanwezig is of via sterke multifactorauthenticatie is geverifieerd. De urgentie wordt versterkt door de aanklacht van chemicaliënfabrikant Clorox tegen Cognizant. Volgens Clorox verleende de dienstverlener via de helpdesk inloggegevens aan leden van Scattered Spider, wat leidde tot een ransomware-aanval met een schadepost van 380 miljoen dollar. Foto Antoni Shkraba Studio (Pexels)