Een stagiaireaccount bracht een hele organisatie bijna ten val

Een paar weken geleden ontving ons Incident Response-team een dringend telefoontje van een organisatie in de onderwijssector. De aanleiding: een systeembeheerder probeerde in te loggen met zijn Domain Admin-account, maar het wachtwoord werkte niet meer.

Dat kleine detail, een wachtwoord dat onverwacht was gewijzigd, was het enige wat de organisatie scheidde van een volwaardige ransomware-aanval.

Wat we tijdens het forensisch onderzoek ontdekten, verdient het om gedeeld te worden.

Nacht 1: Stille toegang

De aanvaller verkreeg via de bedrijfs-VPN toegang tot de infrastructuur met geldige inloggegevens. Geen multi-factor authenticatie. Geen alerts. Geen weerstand.

Eenmaal binnen startte hij om 22:58 een remote desktop-sessie naar de primaire Domain Controller via een beheerdersaccount. In minder dan een uur:

• Installeerde hij een legitiem remote management-tool (MeshAgent), hernoemd om detectie te vermijden en persistente toegang te behouden onafhankelijk van de VPN.
• Benaderde hij de Shadow Copies van het systeem, vermoedelijk om inloggegevens te extraheren, waarna hij ze verwijderde om herstel te bemoeilijken.
• Voerde hij een volledige scan van het interne netwerk uit om de infrastructuur in kaart te brengen.

Niemand merkte het. Het was dinsdag 23:00 uur.

Nacht 2: Escalatie

De volgende avond keerde de aanvaller terug. Dit keer met een duidelijk doel en een gestructureerd plan. En hier verschijnt de onverwachte hoofdrolspeler van het verhaal: een stagiaireaccount.

Ja, een account aangemaakt voor een stagiaire. Met Domain Admin-rechten.

Met dat account voerde de aanvaller tussen 22:00 en 03:00 een reeks acties uit die elk IR-team direct herkent:

Verkenning en voorbereiding

Opnieuw een netwerkscan. Aanmaak van RDP-configuratiebestanden. Lijsten van doel-IP-adressen.

Beveiligingen uitschakelen

Via PsExec verspreidde de aanvaller een script dat op afstand de bedrijfsantivirussoftware verwijderde van servers via WMI. Een tweede script schakelde vervolgens Windows Defender uit. Binnen enkele minuten stonden tientallen systemen volledig onbeschermd.

Massale laterale beweging

Vanuit de Domain Controller startte de aanvaller RDP-sessies naar 26 systemen in het domein. Allemaal via het stagiaireaccount. Allemaal met beheerdersrechten.

Dataexfiltratie

Om 03:15 startte de aanvaller een bulkoverdrachttool naar een cloudstorage-bucket onder zijn controle. Het programma was geconfigureerd om kantoorbestanden, databases, e-mails en gevoelige bestanden te zoeken in alle gedeelde mappen van het netwerk.

Poging tot NAS-versleuteling

Diezelfde nacht benaderde de aanvaller de vier NAS-servers van de organisatie via SSH. Logboeken toonden mislukte pogingen tot automatische scriptuitvoering, consistent met pogingen om ransomware op de opslagsystemen te deployen. De poging mislukte omdat de tooling niet was aangepast aan de omgeving.

De ochtend die alles veranderde

Het was vrijdagochtend 20 februari. Een systeembeheerder probeerde in te loggen met het Domain Admin-account.

Onjuist wachtwoord.

Tegelijkertijd viel op dat het stagiaireaccount, dat al wekenlang niet legitiem was gebruikt, actieve sessies had op meerdere servers.

Het incident response-proces werd onmiddellijk in gang gezet. Ons IR-team ontving de melding vrijdag en werkte het hele weekend om de dreiging in te dammen en de infrastructuur te beveiligen. In de eerste uren:

• Een geavanceerde EDR-oplossing werd uitgerold over de volledige infrastructuur.
• De VPN werd uitgeschakeld.
• Alle beheerdersgegevens werden geroteerd.
• Het gecompromitteerde account werd uitgeschakeld.

Dit is geen toeval. Aanvallers opereren 's nachts, en incidenten barsten op vrijdag los. Als de respons tot maandag had gewacht, had de aanvaller nog eens 48 uur gehad in een omgeving die al klaar was voor versleuteling.

Wat dit geval ons leert

Een VPN zonder MFA is een open deur

De aanvaller logde in met geldige inloggegevens. Zonder MFA stond niets hem in de weg. Dit blijft een van de meest voorkomende initiële toegangsvectoren bij ransomware-incidenten.

Least privilege is niet optioneel

Een stagiaireaccount had Domain Admin-rechten. Dat ene account maakte toegang tot 26 systemen mogelijk, het uitschakelen van beveiligingscontroles en de exfiltratie van 175 GB aan gevoelige data.

Een antivirusprogramma dat op afstand kan worden verwijderd, is geen verdediging

De aanvaller verwijderde de bedrijfsantivirus van servers in enkele minuten via PsExec en een script. Een EDR-platform met tamper protection had deze activiteit waarschijnlijk geblokkeerd.

Zonder logs begint een onderzoek in het donker

Dit verdient extra aandacht, want het was ernstiger dan het in eerste instantie leek. In dit geval was VPN- en firewalllogging niet alleen gestopt met roteren: logging was volledig uitgeschakeld.

De perimeter-firewall genereerde helemaal geen logs. Geen VPN-verbindingsregistraties. Geen verkeerslogboeken. Geen netwerksporen.

Daardoor konden we niet vaststellen welke inloggegevens werden gebruikt voor de initiële compromittering, het bron-IP-adres van de aanvaller identificeren, of volledig bevestigen of de 175 GB data het netwerk daadwerkelijk had verlaten.

We moesten het incident volledig reconstrueren op basis van forensische eindpuntartefacten. Als het onderzoeken van een misdrijf zonder bewakingscamera's.

Netwerksegmentatie beschermt infrastructuren

Vanuit de VPN had de aanvaller zicht op het volledige netwerk. Elke server, elke NAS, elk werkstation. Goede segmentatie had de impact van de compromittering aanzienlijk beperkt.

Vroege detectie was het enige dat werkte, en het gebeurde per toeval

Het was niet de SIEM. Het was niet de antivirus. Het was een beheerder die donderdagochtend niet kon inloggen.

Als de aanvaller dat wachtwoord niet had gewijzigd, was de ransomware die nacht hoogstwaarschijnlijk uitgerold.

Wat elke organisatie zou moeten hebben, en velen nog steeds niet hebben

Gecentraliseerde logging via een SIEM

Het is niet genoeg dat een firewall logs genereert. Die logs moeten worden gestuurd naar een centraal platform waar ze niet eenvoudig kunnen worden uitgeschakeld, gemanipuleerd of verwijderd door een aanvaller, of door een configuratiefout.

Een SIEM is niet alleen cruciaal voor incidentonderzoeken. Het is ook een vereiste voor compliance met frameworks zoals NIS2, ISO 27001 en nationale cybersecurityregelgeving.

Enterprise-grade EDR met tamper protection

De traditionele antivirus werd in minuten verwijderd via een script. Een geavanceerd EDR-platform met sterke detectie, respons en anti-manipulatiemogelijkheden had zowel de verwijdering als de kwaadaardige activiteiten die volgden waarschijnlijk geblokkeerd.

Het verschil tussen traditionele antivirus en een volwassen EDR-platform is het verschil tussen een slot en een bewaakt alarmsysteem.

Een SOC die MDR aanvult

EDR deployen is noodzakelijk, maar niet voldoende.

De MDR-dienst van de EDR-leverancier biedt een eerste detectielaag. Maar een SOC voegt de correlatie, context en responscapaciteit toe die echt het verschil maakt.

Het correleren van VPN-toegang, massale RDP-activiteit en het verwijderen van antivirus via SIEM- en EDR-telemetrie had waarschijnlijk een eerdere respons veroorzaakt, voordat de aanvaller de exfiltratiesfase bereikte.

MFA op elk extern toegangspunt

Zonder uitzonderingen.

Echte least privilege, niet theoretische least privilege

Controleer regelmatig welke accounts verhoogde rechten hebben en waarom.

Een stagiaireaccount met Domain Admin-rechten is geen kleine fout. Het is een tijdbom.

Is uw organisatie voorbereid?

Dit geval is niet uitzonderlijk. Het weerspiegelt een patroon dat we keer op keer tegenkomen: VPN's zonder MFA, te ruime rechten, uitgeschakelde logging en aanvallers die 's nachts opereren terwijl iedereen slaapt.

Het verschil tussen "incident ingeperkt" en "organisatie versleuteld" was letterlijk een gewijzigd wachtwoord dat iemand op tijd opmerkte.

Niet elke organisatie heeft dat geluk. En geluk is geen beveiligingsstrategie.

Bij DEFION Security helpen we organisaties reageren op cybersecurityincidenten, echte detectiecapaciteit (SIEM + SOC + EDR) te implementeren en hun verdediging te versterken voordat het te laat is.