Wanneer we het hebben over cyberaanvallen, zijn er drie basismanieren waarop aanvallers toegang krijgen tot een slachtoffernetwerk:
Phishing: Ze gebruiken e-mails om een netwerk binnen te dringen, waardoor aanvallers mogelijk een eerste toegangspunt krijgen als de aanval met succes een endpoint infecteert.
Kwetsbaarheden: Door gebruik te maken van zero-day- of bekende kwetsbaarheden (die niet zijn gepatcht), kunnen aanvallers verhoogde rechten krijgen op systemen en applicaties en deze gebruiken om toegang te krijgen tot de rest van het netwerk.
RDP/Remote toegang: Aanvallers gebruiken gecompromitteerde inloggegevens of brute force-aanvallen op wachtwoorden en gebruiken die als toegangskanaal tot een netwerk.
Bedrijven richten zich meestal op de eerste twee aanvalsvectoren hierboven. Bij het bespreken van de derde richten ze zich meestal op RDP zelf in plaats van op hoe onveilig de authenticatie is zodra een aanvaller inlogt op een sessie op afstand.
Dus, in dit artikel willen we onderzoeken wat er gebeurt als een aanvaller een externe toegang-sessie vindt en gebruikt (RDP of anderszins, hierin algemeen aangeduid als externe toegang).
We bekijken de methoden van brute force-aanvallen die worden gebruikt om inloggegevens te compromitteren, hoe vaak dit voorkomt, waarom gebruikers het de aanvaller eigenlijk gemakkelijk maken en wat u eraan kunt doen.
Wat is een Brute Force-aanval?
Een brute force-aanval is een type cyberaanval waarbij een aanvaller met vallen en opstaan het wachtwoord, de aanmeldingsgegevens of encryptiesleutels van een gebruiker probeert te raden of te kraken. Bij deze aanvalsmethode worden systematisch alle mogelijke combinaties van tekens, cijfers en speciale tekens geprobeerd om ongeautoriseerde toegang te krijgen tot het account, het systeem of het netwerk van een gebruiker.
Brute force-aanvallen kunnen handmatig of met geautomatiseerde softwaretools worden uitgevoerd, waardoor ze populair zijn onder hackers.
Soorten Brute Force-aanvallen
Er zijn verschillende soorten brute force-aanvallen, waaronder:
Eenvoudige brute force-aanval: Hierbij worden alle mogelijke combinaties van letters, cijfers en speciale tekens geprobeerd om het wachtwoord van een gebruiker te raden.
Omgekeerde brute force-aanval: De aanvaller begint met een bekend wachtwoord en probeert een overeenkomende gebruikersnaam te vinden.
Woordenboekaanval: Aanvallers proberen een lijst met woorden, zinnen en veelgebruikte wachtwoorden om het wachtwoord van een gebruiker te raden.
Hybride brute force-aanval: Dit type aanval combineert een woordenboekaanval met een traditionele brute force-aanval.
Credential stuffing: Hierbij wordt een lijst met gestolen gebruikersnamen en wachtwoorden gebruikt om ongeautoriseerde toegang te krijgen tot meerdere accounts.
Motieven achter brute force-aanvallen
Inzicht in de motieven achter brute force-aanvallen is essentieel voor het evalueren van risico’s en het implementeren van effectieve beveiligingsmaatregelen. Cybercriminelen handelen zelden zonder doel. Hun doelen zijn vaak financieel gewin, spionage of het verstoren van activiteiten. Industrieën die gevoelige gegevens verwerken, zoals de gezondheidszorg of de financiële sector, lopen bijvoorbeeld een hoger risico op spionage, terwijl kleinere bedrijven het doelwit kunnen zijn van ransomware of diefstal van inloggegevens vanwege beperkte IT-budgetten.
Hier wordt nader bekeken waarom aanvallers brute force-tactieken gebruiken:
Diefstal van inloggegevens voor winst
Een van de meest voorkomende redenen achter brute force-aanvallen is het stelen van gebruikersgegevens, zoals gebruikersnamen en wachtwoorden. Eenmaal verkregen kunnen deze gegevens worden verkocht op darkwebmarktplaatsen, vaak als onderdeel van grote datadumps, of worden gebruikt om ongeautoriseerde toegang te krijgen tot waardevolle systemen. Een aanvaller kan bijvoorbeeld inloggegevens voor de interne systemen van een organisatie verkopen, zodat anderen gerichte aanvallen kunnen uitvoeren, zoals ransomware of gegevensdiefstal.
Verspreiding van ransomware
Brute force-aanvallen worden vaak gebruikt als ingang voor het inzetten van ransomware. Door toegang te krijgen tot systemen via gecompromitteerde inloggegevens, kunnen aanvallers kritieke gegevens versleutelen en losgeld eisen voor het vrijgeven ervan. Dit motief is versterkt door de toename van werk op afstand, dat vaak vertrouwt op protocollen voor externe toegang (RDP) of andere oplossingen voor externe toegang die kwetsbaar zijn voor brute force-aanvallen.
Spionage en data-extractie
Brute force-aanvallen worden gebruikt door cybercriminelen met motieven die te maken hebben met bedrijfs- of staatsspionage. Ze stellen aanvallers in staat om netwerken te infiltreren en gevoelige gegevens te ontfutselen. Aanvallers kunnen zich richten op intellectueel eigendom, handelsgeheimen of geheime informatie. Ze gebruiken zwakke authenticatiemethoden om toegang te krijgen tot waardevolle systemen.
Verstoring van het systeem
Soms is het doel niet om gegevens of geld te stelen, maar om de activiteiten van een organisatie te verstoren. Brute force aanvallen kunnen deel uitmaken van grotere campagnes om systemen te overbelasten, downtime te veroorzaken of het vertrouwen van klanten aan te tasten. In deze gevallen willen de aanvallers de reputatie of capaciteiten van een organisatie beschadigen in plaats van direct financieel voordeel te behalen.
Zwakke plekken in de beveiliging testen en misbruiken
Brute force aanvallen dienen vaak als verkenningsgereedschap. Aanvallers kunnen ze gebruiken om de verdediging van een organisatie te onderzoeken en zwakke punten in verificatiesystemen te identificeren. Deze informatie kan vervolgens worden gebruikt om geavanceerdere en gerichtere aanvallen uit te voeren.
Hergebruik van referenties op verschillende platforms
Veel mensen hergebruiken wachtwoorden voor meerdere accounts. Dit wetende, maken cybercriminelen gebruik van brute force-aanvallen om niet alleen toegang te krijgen tot één account, maar mogelijk ook tot een heel netwerk van onderling verbonden diensten. Deze tactiek, bekend als credential stuffing, is vooral problematisch wanneer één gecompromitteerd wachtwoord kan leiden tot bredere inbreuken.
Eerste toegang tussenhandel
In sommige gevallen worden brute force aanvallen uitgevoerd door initiële access brokers, cybercriminelen die gespecialiseerd zijn in het inbreken in netwerken en het verkopen van toegang aan andere aanvallers. Deze tussenhandelaren gebruiken zwakke authenticatiesystemen om toegang te krijgen en verkopen referenties aan mensen die grootschalige aanvallen zoals spionage of ransomware willen uitvoeren.
Inzicht in deze doelstellingen kan organisaties helpen bij het prioriteren van hun verdediging, zoals verbeterde authenticatie, routinematige beveiligingsaudits en training van medewerkers, om kwetsbaarheden effectief te beperken.
Online en offline brute kracht aanvallen
Brute force-aanvallen vallen uiteen in twee hoofdcategorieën: online en offline, die elk unieke uitdagingen met zich meebrengen.
Online Brute Force-aanvallen
Deze aanvallen zijn gericht op live systemen of netwerken. Aanvallers raden herhaaldelijk wachtwoorden met behulp van geautomatiseerde tools. Ze vinden in realtime plaats, waardoor ze detecteerbaar zijn door te controleren op ongebruikelijke aanmeldpogingen, zoals herhaalde mislukkingen vanaf één IP-adres.
Matigingsstrategieën zijn onder andere beperking van de snelheid om pogingen te vertragen, CAPTCHA-uitdagingen om bots te blokkeren en multifactorauthenticatie (MFA) om de beveiliging te verbeteren.
Offline aanvallen met brute kracht
Bij offline aanvallen worden gestolen wachtwoordhashes gekraakt zonder interactie met live systemen. Aanvallers gebruiken krachtige tools om combinaties te testen, waardoor detectie moeilijk is.
Afweermaatregelen zijn onder andere het beveiligen van wachtwoordopslag met salted hashes en het gebruik van sterke encryptie. Regelmatige systeemupdates zijn ook essentieel om kwetsbaarheden te verhelpen.
Waarom zijn Brute Force-aanvallen een probleem?
Telkens als u een verhaal of een branchestatistiek ziet over RDP dat betrokken is bij een cyberaanval, bedenk dan dat de aanvaller op het moment van de aanval wel of niet over een werkende gebruikersnaam en wachtwoord beschikte om in te loggen.
In scenario’s waarin de aanvaller vanaf nul begint – zoals bij initial access brokers – is het doel niet alleen om toegang te krijgen, maar ook om werkende inloggegevens te verkrijgen die in de huidige aanval worden gebruikt of op het dark web worden verkocht aan een andere aanvaller die op zoek is naar initiële toegang.
Dat betekent dat aanvallers soms brute force-aanvallen op wachtwoorden moeten gebruiken om het wachtwoord te achterhalen dat bij een bepaalde gebruikersnaam hoort.
Brute force-tools zijn ontworpen om het raden van inloggegevens te automatiseren, waardoor dit sneller en efficiënter wordt voor aanvallers.
Volgens het MITRE ATT&CK Framework (uitgesproken als “ATTACK”), dat bijna elke kwaadaardige tactiek, techniek en procedure beschrijft die door cybercriminelen wordt gebruikt, zijn er vier soorten brute force-aanvalsmethoden:
Wachtwoorden raden: Het systematisch raden van wachtwoorden met behulp van een herhalend of iteratief mechanisme op basis van een lijst met veelgebruikte wachtwoorden.
Wachtwoordverspreiding: Wanneer een aanvaller een lijst met gebruikersnamen bemachtigt en probeert in te loggen met hetzelfde wachtwoord voor allemaal.
Wachtwoord kraken: Regenboogtabellen gebruiken of wachtwoorden raden en hashes berekenen om wachtwoordhashes te kraken.
Credential Stuffing: Inloggegevens gebruiken die zijn verkregen uit inbraakdumps van niet-gerelateerde accounts om toegang te krijgen tot doelaccounts.
De beslissing om de ene methode boven de andere te gebruiken, is grotendeels gebaseerd op de vraag of de aanvaller gebruikersnamen en/of wachtwoorden op het netwerk van het slachtoffer kent.
Maar hoe vaak komen brute wachtwoordaanvallen voor?
Volgens de Britse cyberverzekeraar Hiscox, begon 17% van de ransomware-aanvallen die zij zagen als onderdeel van cyberverzekeringsclaims met een brute force-aanval. Dat is bijna 1 op de 5. We hebben ook massale brute force-aanvallen gezien in 2022 met 47 miljoen aanvallen in Zuidoost-Azië gericht op telewerkers.
Het is dus een heel reëel probleem… om verschillende redenen.
1. Er zijn talloze bronnen voor zwakke wachtwoorden
Wachtwoorden die worden gebruikt bij raad-, sproei- of opvulaanvallen komen vaak uit verschillende bronnen. Een belangrijke bron zijn datalekken die gebruikersnamen en e-mailadressen blootleggen. Bij de LinkedIn-inbreuk in mei 2016 zijn bijvoorbeeld 164 miljoen e-mailadressen en wachtwoorden gecompromitteerd, waardoor dit een belangrijke bijdrage levert aan dergelijke aanvallen.
Een andere bron zijn gepwnde databases met veelgebruikte wachtwoorden, waarvan er veel verrassend eenvoudig zijn (bijvoorbeeld “P@ssw0rd!”). Daarnaast maken aanvallers vaak gebruik van gerichte raadmogelijkheden door zich te richten op specifieke gebruikers, waardoor de kans op het vinden van zwakke of voorspelbare wachtwoorden toeneemt.
Volgens het 2023 Identity Exposure Report van Spycloud, hebben meer dan 7 miljoen van de gecompromitteerde wachtwoorden die tijdens inbreuken zijn verzameld, een liefdes- of familiethema (bijv. als ik de naam van uw echtgenoot weet, kan ik daar beginnen met raden). Bij deze aanvallen worden vaak systematisch verschillende wachtwoordcombinaties getest om zwakke of veelgebruikte wachtwoorden te misbruiken.
2. Gedrag van gebruikers draagt ook bij aan beveiligingsrisico’s
Volgens hetzelfde Spycloud-rapport hergebruikte 72% van de gebruikers in 2022 inbreuken eerder blootgestelde wachtwoorden, waarbij 61% van de gebruikers in de VS wachtwoorden hergebruikte.
Wachtwoorden worden gemiddeld 13 keer hergebruikt. Een deel van de reden hiervoor is het aantal systemen, applicaties en platforms waarop de gebruiker tegenwoordig moet inloggen.In kleinere bedrijven zijn er gemiddeld 85 wachtwoorden, terwijl dat er in grotere bedrijven slechts 25 zijn.
Het gebruik van complexe wachtwoorden kan de accountbeveiliging aanzienlijk verbeteren, waardoor het voor aanvallers moeilijker wordt om inloggegevens te kraken.
Met de huidige rekenkracht kunnen aanvallers wel 1 miljard wachtwoorden per seconde kunnen testen in een brute force aanval, wachtwoordbeveiliging essentieel.
3. Externe toegang kan aanvallers manieren bieden om onbevoegde toegang te krijgen
Laten we externe toegang toevoegen aan de discussie, want brute force aanvallen zijn slechts een middel om ongeautoriseerde toegang te krijgen; de echte kwetsbaarheid ligt in de manier waarop uw hybride personeelsbestand omgaat met bedrijfsmiddelen.
Sommige organisaties vertrouwen nog steeds (steeds!) op RDP (het protocol dat niet de verschrikkelijke cyberbeveiligingsdood sterft die het verdient!). Een recent rapport onthulde dat cybercriminelen RDP misbruikten in 90% van de geanalyseerde incidenten, waardoor het een kritieke vector is voor ransomware-aanvallen. Zelfs als u RDP niet gebruikt, kunnen andere externe toegangstoepassingen ook aanzienlijke risico’s met zich meebrengen: 16% van de datalekken begon met het compromitteren van RDP of een andere externe toegangstoepassing.
Dit betekent dat elke methode van externe toegang een aanvalsvector is voor cybercriminelen. Aangezien 50% van de organisaties zichzelf niet als zeer effectief beoordeelt in het beperken van de risico’s van externe toegang, is het cruciaal om sterkere authenticatiemaatregelen te implementeren die verder gaan dan het gebruik van een eenvoudig wachtwoord om externe toegang effectief te beveiligen.
Best practices om bruteforce-aanvallen te voorkomen
Het voorkomen van brute force-aanvallen vereist een meerlaagse aanpak die sterk beleid, technische beveiligingsmaatregelen en gebruikerseducatie combineert. Hoewel multi-factor authenticatie (MFA) de basis van de verdediging vormt, zijn uitgebreide strategieën nodig om een proactievere beveiligingshouding te waarborgen. Zo blijft u brute force-aanvallen voor.
Stel een robuust wachtwoordbeleid op
Een sterk wachtwoordbeleid is de basis van elke brute force preventiestrategie. Zorg ervoor dat alle gebruikers zich aan deze best practices houden:
Lengte en complexiteit: Eis dat wachtwoorden minstens 12 tekens lang zijn, met een mix van hoofdletters, kleine letters, cijfers en speciale tekens.
Regelmatige updates: Dwing het verlopen van wachtwoorden af om de mogelijkheden voor aanvallers te beperken.
Vermijd hergebruik: Implementeer systemen die voorkomen dat gebruikers oude wachtwoorden hergebruiken.
Ban veelgebruikte wachtwoorden uit: Gebruik tools om zwakke of gemakkelijk te raden wachtwoorden te blokkeren, zoals “123456” of “wachtwoord”.
Tools voor beveiligingsmonitoring implementeren
Real-time monitoring en waarschuwingen kunnen helpen bij het detecteren van en reageren op brute force aanvallen voordat ze slagen. Overweeg de inzet van de volgende tools:
Inbraakdetectie- en preventiesystemen (IDPS): Tools zoals Snort of Suricata kunnen ongebruikelijke aanmeldpogingen detecteren en verdachte activiteiten blokkeren.
SIEM-oplossingen: SIEM-systemen (Security Information and Event Management) zoals Splunk of LogRhythm centraliseren loggegevens en bieden inzicht in mogelijke brute force-activiteiten.
Drempels voor accountvergrendeling: Configureer systemen om accounts tijdelijk te vergrendelen na een specifiek aantal mislukte aanmeldpogingen.
Medewerkers voorlichten over Beveiliging
Menselijke fouten zijn een veelvoorkomende kwetsbaarheid waar aanvallers misbruik van maken. Doorlopende training zorgt ervoor dat Medewerkers in staat zijn om risico’s te herkennen en te beperken:
Bewustwording van phishing: Train personeel om phishing-pogingen te herkennen die kunnen voorafgaan aan brute force-aanvallen.
Wachtwoordhygiëne: Benadruk het belang van unieke, sterke wachtwoorden voor zowel werk- als privéaccounts.
Meldingsprotocollen: Medewerkers aanmoedigen om verdachte aanmeldpogingen of systeemgedrag direct te melden.
Technische configuraties benutten
Technische beveiligingen kunnen het aanvallers aanzienlijk moeilijker maken om brute force-aanvallen uit te voeren. Implementeer deze maatregelen:
Snelheidsbeperking: IP’s vertragen of blokkeren na een reeks mislukte aanmeldingspogingen.
CAPTCHA-integratie: CAPTCHA-uitdagingen toevoegen aan aanmeldingspagina’s om automatische aanmeldingspogingen te voorkomen.
IP-whitelisting: Beperk de aanmeldtoegang tot specifieke IP-bereiken, met name voor gevoelige systemen.
Wachtwoorden versleutelen: Gebruik sterke versleutelingsalgoritmen, zoals Argon2 voor het opslaan van correcte wachtwoord-hashes.
Externe toegang die verder gaat dan alleen wachtwoorden
Brute force attacks blijven aanzienlijke risico’s vormen, maar een proactieve aanpak en preventiestrategieën kunnen de impact ervan drastisch verminderen. Door multifactorauthenticatie (MFA) te implementeren, een sterk wachtwoordbeleid af te dwingen en geavanceerde beveiligingstools te gebruiken, kunnen organisaties een robuuste verdediging opbouwen tegen ongeautoriseerde toegang.
Zelfs als uw organisatie vertrouwt op oudere of kwetsbaardere methoden voor externe toegang, zoals RDP, is het verplicht stellen van MFA voor alle aanmeldingen een belangrijke eerste stap. Naast MFA kunnen strategieën zoals het gebruik van hoge coderingspercentages, het salten van wachtwoord-hashes, het instellen van limieten voor aanmeldpogingen en het gebruik van CAPTCHA-uitdagingen na herhaalde mislukkingen brute force aanvallen verijdelen voordat ze slagen.
Het is ook essentieel om medewerkers voor te lichten, verdachte activiteiten te monitoren en tools zoals inbraakdetectiesystemen in te zetten om potentiële bedreigingen in realtime te identificeren. Het doel is niet alleen om te reageren op aanvallen, maar om ze te voorkomen.
Voor degenen die dit artikel tot het einde hebben gelezen, is de takeaway duidelijk: brute force aanvallen kunnen worden beperkt met weloverwogen, gelaagde beveiligingsmaatregelen. Begin met MFA: het is een van de eenvoudigste maar meest effectieve manieren om externe toegang te beveiligen en uw organisatie te beschermen. Wacht niet met het versterken van uw verdediging; de tijd om te handelen is nu.
