NCSC komt met advies om aanvallers als Laundry Bear buiten de deur te houden

Volgens de AIVD en MIVD voert Laundry Bear sinds 2024 cyberoperaties uit tegen westerse overheden, met speciale aandacht voor defensie, specifieke overheidsinstanties, defensieleveranciers, maatschappelijke organisaties en digitale dienstverleners. De actor maakt gebruik van bekende aanvalstechnieken, zoals passwordspraying, het stelen van sessiecookies en Living-off-the-Land-technieken (LotL).

Maatregelen

Het NCSC adviseert een aantal maatregelen om de digitale veerkracht te versterken:

• Phishingresistente multifactor-authenticatie (MFA): Voorkomt dat aanvallers via phishing sessiecookies kunnen stelen en accounts kunnen overnemen. Gebruik sterke wachtwoorden en overweeg een wachtwoordmanager.
• Voorwaardelijke toegang (conditional access): Beperk inlogmogelijkheden tot specifieke IP-adressen, locaties en apparaten. Monitor verdachte inlogpogingen en blokkeer verdachte IP-adressen.
• Beheer van sessiecookies: Zorg dat sessiecookies slechts vanaf één IP-adres kunnen worden gebruikt. Verwijder sessiecookies regelmatig en beperk hun levensduur.
• Apparaatbeheer en geen BYOD: Beheer alle apparaten met toegang tot de IT-omgeving en implementeer Endpoint Detectie en Response (EDR) voor detectie van verdacht gedrag.
• Bewustwordings- en trainingsprogramma's: Zorg dat medewerkers alert zijn op phishing en social engineering en weten hoe te handelen in dergelijke situaties.
• Toepassen van de vijf basisprincipes: Volg de vijf basisprincipes van digitale weerbaarheid van het NCSC voor bredere bescherming tegen digitale aanvallen. Meer informatie is te vinden op de website van het NCSC.

Het volledige rapport, inclusief een technisch document, is beschikbaar op de websites van de AIVD en MIVD.