Aanvallers van Cozy Bear richten hun pijlen steeds meer op de cloud
Cybercrimegroepering Cozy Bear richt zijn pijlen in toenemende mate op cloudomgevingen van organisaties. Zij bewegen hierbij mee met de verschuiving naar de cloud die in veel sectoren gaande is.
Hierdoor waarschuwen acht internationale cybersecurity-agentschappen. Cozy Bear is een groep cybercriminelen die naar verluid banden onderhoudt met de Russische overheid. De groep is onder meer bekend door de supplychain-aanval op de Orion-software van SolarWinds.
Van brute force tot MFA bombing
Bij zijn aanvallen op cloudomgevingen van organisaties maakt Cozy Bear onder meer gebruik van brute force-aanvallen en 'vergeten' gebruikersaccounts. In dit laatste geval gaat het om accounts van bijvoorbeeld medewerkers die niet langer in dienst zijn, maar niet zijn verwijderd. Ook richten de aanvallers hun peilen op tokens om toegang te verkrijgen tot gebruikersaccounts. Een andere aanval die wordt ingezet is 'MFA bombing', waarbij aanvallers een groot aantal MFA-verzoeken uitsturen naar een slachtoffer in de hoop dat deze het verzoek accepteert.
De waarschuwing is afkomstig van het Britse National Cyber Security Centre (NCSC), het Amerikaanse National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), US Cyber National Mission Force (CNMF) en Federal Bureau of Investigation (FBI), evenals Australian Signals Directorate's Australian Cyber Security Centre (ASD's ACSC), het Canadian Centre for Cyber Security (CCCS), en New Zealand Government Communications Security Bureau (GCSB).
Meer informatie is hier beschikbaar.