Cybercriminelen nemen controle over infrastructuur Braziliaanse bank volledig over
Een Braziliaanse bank is in de herfst van 2016 getroffen door een zeer omvangrijke cyberaanval, waarbij de aanvallers de controle over alle online activiteiten van de bank hebben overgenomen. Medewerkers van de bank waren gedurende de aanval voor een periode van vijf uur uit de eigen infrastructuur buitengesloten.
Dit heeft de directeur van Kaspersky Lab’s Latijns-Amerikaans onderzoeksteam Dmitry Bestuzhev bekend gemaakt op de Kaspersky Security Summit 2017, meldt Wired. In totaal wisten de aanvallers 36 domeinnamen van de bank over te nemen, inclusief interne e-mail- en FTP-servers. Gedurende een periode van vijf uur konden de aanvallers op hierdoor op 22 oktober 2016 alle online transacties onderscheppen. Kaspersky Lab schat dat honderdduizenden tot miljoenen bankklanten in 300 steden wereldwijd door de aanval zijn getroffen.
Cyberinbraak bij DNS-provider
De domeinnamen van de bank werden overgenomen door de aanvallers door in te breken op de systemen van de Domain Name Service (DNS) provider Registro.br. Hier wisten de aanvallers de juiste rechten te verkrijgen om het DNS-account van de bank te kunnen beheren. Daarnaast hebben de aanvallers valide digitale SSL-certificaten ingezet die zijn afgegeven via Let’s Encrypt. Bestuzhev stelt dat een dergelijke aanval voor zover bekend niet eerder op deze schaal is uitgevoerd.
Vermoedelijk is de aanval vijf maanden lang voorbereid, waarna de aanvallers op 22 oktober 2016 uiteindelijk hebben toegeslagen. Het is niet bekend hoe de aanvaller Registro.br hebben weten binnen te dringen. Wel meldt Bestuzhev dat deze provider in januari 2016 een cross-site request forgery kwetsbaarheid heeft gedicht in zijn website. Mogelijk hebben de aanvallers van dit lek misbruik gemaakt om toegang te krijgen tot de systemen van de DNS-provider. Daarnaast wijst Bestuzhev erop dat medewerkers van de provider doelwit zijn geweest van een phishingcampagne. Het is dus ook mogelijk dat de aanvallers via deze aanval inloggegevens voor systemen in handen hebben weten te krijgen. Opvallend is dat de getroffen bank twee-factor-authentificatie niet had ingeschakeld, ondanks dat Registro.br deze mogelijkheid wel bood.
De naam van de Braziliaanse bank is niet bekend gemaakt. Wel is duidelijk dat het gaat om een grote bank met ruim 500 vestigingen in onder andere Brazilië, Argentinië, de Verenigde Staten en Kaaiman Eilanden.
Meer over
Lees ook
Nieuwe malware gebruikt Windows om Android-apparaten te infecteren
Een nieuwe vorm van Android-malware dringt smartphones en tablets binnen via Windows-machines. De malware infecteert in eerste instantie de Windows-machine en wacht af tot een Android-smartphone of -tablet met de computer wordt verbonden. Zodra dit gebeurt dringt de malware het mobiele apparaat binnen en nestelt zich in Android. Het gaat om de ma1
Syrische hackers breken in bij CNN
De Syrische hackersgroep Syrian Electronic Army heeft opnieuw de social media-accounts van een Westers mediabedrijf gehackt. Ditmaal hebben de hackers de social media-accounts van CNN overgenomen. Op dit kanaal hebben zij hun eigen boodschap verspreid. De hackers wisten meerdere Facebook- en Twitter-accounts over te nemen. Ook het blog van CNN we1
Criminelen gebruiken DDoS-aanvallen via de telefoon om bedrijven af te persen
Cybercriminelen blijken voorbeeld te zijn voor andere criminelen die bedrijven en overheden via de telefoon proberen af te persen. De criminelen proberen telefooncentrales van bedrijven onbereikbaar te maken door deze te bestoken met een grote hoeveelheid telefoontjes. De tactiek lijkt veel op de DDoS-aanvallen die op internet met grote regelmaat1