Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) luidt de noodklok over een belangrijke dreiging die al een tijdje aan het broeien is – het kwaadwillig gebruik van tools voor beheer op afstand.
Afgelopen herfst maakte een massale cyberaanvalcampagne gebruik van legitieme software voor beheer op afstand. Cyberbeveiligingsbedrijven als ThreatLocker en Blackpoint Cyber merkten dat kwaadwillenden beheer op afstand gebruikten als onderdeel van hun cyberaanvallen, waaronder ransomware.
Internationale en Amerikaanse cyberbeveiligingsautoriteiten waarschuwden zelfs voor een toename van cyberaanvallen gericht op managed service providers (MSP’s). CISA herhaalt nu zijn waarschuwing voor de dreiging waarmee MSP’s en hun klanten worden geconfronteerd.
Cybercriminelen richten zich op legitieme gebruikers van RMM’s, waaronder MSP’s en IT-ondersteuning.
Cybrercriminelen kunnen het vertrouwen in MSP-netwerken uitbuiten. Als ze toegang weten te krijgen krijgen tot de MSP, hebben ze vaak ook direct toegang tot veel de klanten van de MSP. Dit betekent dat MSP’s ernstige risico’s voor hun klanten kunnen introduceren, zoals ransomware en cyberspionage.
Afgelopen oktober identificeerde CISA een wijdverspreide cybercampagne waarbij legitieme RMM-software kwaadaardig werd gebruikt. Cybercriminelen stuurden phishing-e-mails om gebruikers de RMM-software te laten downloaden, wat leidde tot diefstal van geld van hun bankrekeningen.
De bij de aanvallen gebruikte RMM-tools waren ScreenConnect (nu ConnectWise Control) en AnyDesk, maar het CISA waarschuwde dat “cybercriminelen elke legitieme RMM-software met kwade bedoelingen kunnen gebruiken”.
Waarom zijn RMM-tools zo aantrekkelijk voor aanvallers?
RMM-tools bieden voor criminelen verschillende voordelen, zoals het feit dat aanvallers geen aangepaste malware hoeven te maken. Ook kunnen ze makkelijker beleidsregels voor softwarecontrole omzeilen wanneer ze als zelfstandig uitvoerbaar bestand worden gedownload. Ook worden ze eigenlijk nooit geblokkeerd door anti-malware of antivirusproducten.
Ryan Loughran, helpdeskmanager bij KJ Technology, een bedrijf voor beheerde IT-diensten, zei dat het duidelijk is dat het gebruik van RMM-tools bij cyberaanvallen voor veel cybercriminelen een topprioriteit is. Hij zei ook dat veel kleine en middelgrote bedrijven zich niet bewust zijn van de mogelijkheid om het doelwit te worden van dit soort aanvallen.
Er zijn middelen beschikbaar om MSP’s te helpen, zoals toetreding tot een cyberbeveiligingswerkgroep, die toegang kan bieden tot best practices en informatieve briefings over de nieuwste bedreigingen.