Microsoft onthult haar eerste rapport over incident response werk uitgevoerd door haar Detection and Response Team (DART).

Het eerste rapport van Microsoft Detection and Response Team (DART), die klanten helpt in diepe cyber problemen, de details van het geval van een grote klant met zes bedreigingen tegelijk op haar netwerk, met inbegrip van een door de staat gesponsorde hacker groep die bezig was met het stelen van gegevens en e-mail voor 243 dagen.


Het bedrijf kondigde DART in maart 2019 aan als onderdeel van de $1 miljard per jaar voor enterprise cybersecurity aangekondigd door CEO Satya Nadella in 2017.


Zonder het onthullen van namen van klanten, Microsoft is van plan om regelmatig updates over de activiteiten van Dart publiceren,om te illustreren hoe hackers werken.

Bron: Microsoft.com

Het eerste rapport beschrijft een geavanceerde persistent threat (APT) aanvaller die beheerdersreferenties stal om het netwerk van het doelwit binnen te dringen en gevoelige gegevens en e-mails te stelen.

Met name gebruikte de klant geen multi-factor authenticatie (MFA) ( meervoudige authenticatie ) , die de inbreuk had kunnen voorkomen. Microsoft onthulde vorige week dat 99,9% van de gecompromitteerde accounts geen MFA gebruikt en slechts 11% van de zakelijke accounts MFA gebruikt.

DART werd binnengebracht nadat een klant er niet in slaagde om één aanvaller, na 243 dagen, van zijn netwerk te schoppen, ondanks het feit dat een leverancier van de incidenten reactie zeven maanden eerder in dienst was. De aanvaller werd weggestuurd op de dag dat het team van Microsoft arriveerde. Het team ontdekte ook vijf andere bedreigingsgroepen die binnen het netwerk waren. In dit geval gebruikte de hoofdaanvaller een aanval met het sprayen (spuiten) van wachtwoorden om de Office 365 beheerdersreferenties van de klant te pakken te krijgen en van daaruit doorzocht hij de postvakken om meer referenties te vinden die onder werknemers in e-mails worden gedeeld. DART vond de aanvaller was op zoek naar intellectuele eigendom in bepaalde markten.

De aanvaller gebruikte zelfs de e-discovery en compliance tools van de klant om het zoeken naar relevante e-mails te automatiseren.

Volgens Microsoft, is in het netwerk van het bedrijf in de eerste maand van de aanval geprobeerd om de gecompromitteerde Office 365 account zelf te op te lossen, vervolgens haalde men een incident-response leverancier om, wat bleek te zijn, een langdurig onderzoek te doen.

“Dit onderzoek duurde meer dan zeven maanden en bracht een mogelijk schade aan het licht van gevoelige informatie met betrekking tot het slachtoffer en de klanten van het slachtoffer die in Office 365 mailboxen waren opgeslagen. 243 dagen na het eerste schade werd DART vervolgens ingeschakeld om samen te werken met de leverancier van het incidentrespons en de interne teams van het bedrijf,”

zegt Microsoft.

“DART identificeerde snel gerichte post zoekopdrachten en gecompromitteerde accounts, evenals de command-and-controlekanalen voor aanvallers. DART identificeerde ook vijf extra, verschillende aanvaller campagnes blijven bestaan in de omgeving die geen verband hielden met het eerste incident. Ze ontdekten dat deze aanvallers al eerder in de omgeving waren gekomen om toegangskanalen (dat wil zeggen achterdeuren) te creëren voor later gebruik als dat nodig is.”

Microsoft schetst vijf basisstappen die organisaties kunnen gebruiken om hun blootstelling aan APT-aanvallers te minimaliseren, waaronder het inschakelen van MFA, het verwijderen van verouderde verificatie, het adequaat trainen van Eerste hulp, het correct registreren van gebeurtenissen met een beveiliging, informatie en gebeurtenis beheerproduct en erkennen dat aanvallers legitieme administratieve en beveiligingstools gebruiken om doelen te onderzoeken.

De post biedt dezelfde boodschap die het gaf aan klanten die het slachtoffer zijn van grote ransomware groepen vorige week: klanten moeten beschikbaar beveiligingsprogramma’s in te schakelen en zich te concentreren op het loggen van beveiligingsevenementen.

Microsoft behandelde het werk van de exploitanten van REvil, Samas of SamSam, Doppelpaymer, Bitpaymer, en Ryuk ransomware. Het gedetailleerd beschrijven hoe aanvallers beveiligingssoftware uitschakelen en opgemerkt dat sommige klanten zelfs beveiligingssoftware uitschakelen om de prestaties te verbeteren, waardoor cybercriminelen maandenlang ongehinderd door netwerken kunnen zwerven.

Pin It on Pinterest