Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Gelre ziekenhuizen getroffen door spray-attack: hoe werkt het en wat is er tegen te doen?

Laptop met handen en een telefoon die vastgehouden wordt

De Gelre ziekenhuizen in Apeldoorn en Zutphen meldden onlangs een aanval op haar ICT-systemen. Drie weken lang vonden aanvallen plaats via password-spraying. Hierbij kregen de aanvallers toegang tot een mailbox van een medewerker met een medisch ondersteunende functie. Hierbij zijn geen persoonsgegevens buitgemaakt. Wat houdt deze aanvalstechniek in? En wat kan je er als organisatie tegen doen? Hoe verschilt een password-spraying attack bijvoorbeeld van een brute-force- of credential stuffing attack?

Wat is een password-spraying attack?

Een password-spraying attack is een type aanval op gebruikersaccounts waarbij, in de regel, één veel gebruikt wachtwoord op meerdere gebruikers wordt geprobeerd. De hoop van de aanvaller is dat onder de gebruikers er altijd wel iemand is die een ‘populair’ wachtwoord gebruikt. Denk hierbij aan wachtwoorden zoals ‘password’, ‘qwerty12345’, ‘qazwsxedc’ en meer. Gebruikers denken soms dat een patroon op hun toetsenbord een lastig te raden wachtwoord vormt, maar niets is minder waar. Bijvoorbeeld, het laatste wachtwoord in het voorgaande lijstje (‘qazwsxedc’) is door de bekende Have I Been Pwned service al meer dan 230.000(!) keer in wachtwoordendumps aangetroffen. Bij een password-spraying attack zou een aanvaller dit wachtwoord één keer proberen bij zoveel mogelijk gebruikers.

Waarin verschilt deze aanval van andere technieken?

Dit verschilt dus wezenlijk van een brute-force attack, waarbij een aanvaller zich op een enkele gebruiker richt en daar alle mogelijke letter- en cijfercombinaties tussen de 1 en (meestal) 8 karakters probeert als wachtwoord. Z-CERT security specialist Rik Sentveld vergelijkt het in een artikel in Zorgvisie treffend als het verschil tussen een sproeier en een emmer water. Waarbij password spraying de sproeier is die over een groot oppervlak een beetje water verspreid, en de emmer water de brute-force attack is die op een klein stukje wordt gegooid.

Zijn er nog meer technieken?

Een andere type aanval die wel eens met password spraying wordt verward, is credential stuffing. Bij credential stuffing maken aanvallers gebruik van gelekte wachtwoorden van gebruikersaccounts op diverse websites. Deze gelekte wachtwoorden, bijvoorbeeld van LinkedIn, worden vervolgens gebruikt om proberen in te loggen op de webmail van uw organisatie. Aanvallers hopen hier er dus op dat sommige van uw gebruikers voor LinkedIn het zelfde wachtwoord gebruiken als voor de webmail.

Hoe kunnen zorgorganisaties zich wapenen tegen deze aanvallen?

Z-CERT adviseert hierin om gebruik te maken van een gelaagde bescherming. Immers, als de toegang tot een systeem enkel beperkt wordt door een inlognaam en wachtwoord, en deze beide elementen voorspelbaar zijn, dan is de kans dat een aanvaller met een toevalstreffer binnenkomt hoog. Maak daarom gebruik van multi-factor authenticatie, in ieder geval als het extern beschikbare, of zorginformatie bevattende systemen betreft. Een extra, minder voorspelbare factor (zoals een One-Time-Pass code) vermindert de kans op een geslaagde aanval drastisch. Beperk tevens de geografische locatie van het IP-adres vanaf waar men kan inloggen. Hoewel aanvallers ook aanvallen kunnen lanceren vanuit de Nederlandse IP-space, werpt dit wel weer een extra drempel op die uw organisatie minder aantrekkelijk maakt om aan te vallen.

Andere maatregelen richten zich meer op detectie. Hoewel een password-spraying attack in de regel minder heftig qua verkeer is dan een brute-force attack, zal dit nog steeds een andere login trend generen dan regulier login verkeer. Door alertering in te stellen op de hoeveelheid (foutieve) inlogpogingen over alle gebruikersaccounts kunnen dergelijke aanvallen snel worden gedetecteerd