Braziliaanse bank getroffen door zeer omvangrijke cyberaanval
Een Braziliaanse bank is in de herfst van 2016 getroffen door een zeer omvangrijke cyberaanval, waarbij de aanvallers de controle over alle online activiteiten van de bank hebben overgenomen. Medewerkers van de bank waren gedurende de aanval voor een periode van vijf uur uit de eigen infrastructuur buitengesloten.
Dit heeft de directeur van Kaspersky Lab’s Latijns-Amerikaans onderzoeksteam Dmitry Bestuzhev bekend gemaakt op de Kaspersky Security Summit 2017, meldt Wired. In totaal wisten de aanvallers 36 domeinnamen van de bank over te nemen, inclusief interne e-mail- en FTP-servers. Gedurende een periode van vijf uur konden de aanvallers op hierdoor op 22 oktober 2016 alle online transacties onderscheppen. Kaspersky Lab schat dat honderdduizenden tot miljoenen bankklanten in 300 steden wereldwijd door de aanval zijn getroffen.
Cyberinbraak bij DNS-provider
De domeinnamen van de bank werden overgenomen door de aanvallers door in te breken op de systemen van de Domain Name Service (DNS) provider Registro.br. Hier wisten de aanvallers de juiste rechten te verkrijgen om het DNS-account van de bank te kunnen beheren. Daarnaast hebben de aanvallers valide digitale SSL-certificaten ingezet die zijn afgegeven via Let’s Encrypt. Bestuzhev stelt dat een dergelijke aanval voor zover bekend niet eerder op deze schaal is uitgevoerd.
Vermoedelijk is de aanval vijf maanden lang voorbereid, waarna de aanvallers op 22 oktober 2016 uiteindelijk hebben toegeslagen. Het is niet bekend hoe de aanvaller Registro.br hebben weten binnen te dringen. Wel meldt Bestuzhev dat deze provider in januari 2016 een cross-site request forgery kwetsbaarheid heeft gedicht in zijn website. Mogelijk hebben de aanvallers van dit lek misbruik gemaakt om toegang te krijgen tot de systemen van de DNS-provider. Daarnaast wijst Bestuzhev erop dat medewerkers van de provider doelwit zijn geweest van een phishingcampagne. Het is dus ook mogelijk dat de aanvallers via deze aanval inloggegevens voor systemen in handen hebben weten te krijgen. Opvallend is dat de getroffen bank twee-factor-authentificatie niet had ingeschakeld, ondanks dat Registro.br deze mogelijkheid wel bood.
De naam van de Braziliaanse bank is niet bekend gemaakt. Wel is duidelijk dat het gaat om een grote bank met ruim 500 vestigingen in onder andere Brazilië, Argentinië, de Verenigde Staten en Kaaiman Eilanden.
Dossiers
Meer over
Lees ook
SentinelOne en Smarttech247 bundelen krachten voor nieuwe generatie managed detection and response
SentinelOne, een leider op het gebied van AI-security, en Smarttech247, wereldwijd leverancier van cybersecurity-oplossingen, gaan samenwerken
"Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"
In het recente onderzoek 'Het portret van de moderne informatiesecurityprofessional' deed Kaspersky onderzoek naar het wereldwijde tekort aan cybersecuritypersoneel. Zo onderzocht het de exacte redenen waarom bedrijven te weinig cybersecuritydeskundigen hebben.
Terugblik met Remco Geerts van Tesorion
InfosecurityMagazine bestaat tien jaar. Wat is er in die tijd veranderd? Die vraag is voorgelegd aan Remco Geerts. Remco is bij Tesorion verantwoordelijk voor strategie en innovatie. Hij zit ruim 25 jaar in de sector. Hierdoor is hij niet alleen de juiste persoon voor die functie, maar ook voor dit interview.