Verlaten cloudresources zijn goudmijn voor cybercriminelen

Verlaten cloudresources zijn goudmijn voor cybercriminelen

Security
Storage
Achtergrond
Redactie WINMAG Pro

Veel organisaties zetten tijdelijk cloudservices in voor campagnes of testomgevingen – maar vergeten die na afloop op te ruimen. Dat lijkt onschuldig, tot een groep als Hazy Hawk ermee aan de haal gaat. Deze geavanceerde criminele groepering kaapt verlaten subdomeinen en gebruikt die om phishingaanvallen en nepadvertenties te verspreiden. Zo wordt jouw organisatie ineens ongewild het gezicht van digitale oplichting. Deze nieuwe dreiging onderstreept hoe essentieel DNS-hygiëne is voor merkveiligheid.

De schaduwkant van cloudgroei

De inzet van cloudresources is de afgelopen jaren exponentieel toegenomen – vaak sneller dan het overzicht kon volgen. Teams zetten in hoog tempo nieuwe S3-buckets, Azure-endpoints of tijdelijke SaaS-integraties op, vaak zonder centrale regie of monitoring. Veel van die resources worden na verloop van tijd niet meer gebruikt – maar hun bijbehorende DNS-records blijven in veel gevallen gewoon actief. 

Juist dat vergeten restje infrastructuur vormt een ideale instap voor cybercriminelen. Groepen zoals ‘Hazy Hawk’ scannen actief op verlaten of verkeerd geconfigureerde DNS-records. Zodra ze een kans zien, nemen ze het subdomein over en zetten het in voor oplichting, phishing of de verspreiding van malware – vaak zonder dat het betrokken bedrijf doorheeft dat hun merknaam inmiddels wordt misbruikt. 

Wat maakt Hazy Hawk zo gevaarlijk bij verlaten cloudresources?

Onderzoekers van Infoblox Threat Intel ontdekten sinds december 2024 honderden overgenomen subdomeinen, waaronder van gerenommeerde instellingen als het Amerikaanse CDC, universiteiten en overheden. Hazy Hawk maakt gebruik van commerciële passieve DNS-databronnen om kwetsbare configuraties te identificeren en verbergt zijn activiteiten met slimme omleidingen en obfuscatie. 

In tegenstelling tot standaard domeinkaping, richt Hazy Hawk zich op cloudgebaseerde infrastructuur. Daarbij benut het juist de complexiteit en versnippering van moderne IT-omgevingen. De aanvallen onttrekken zich aan standaarddetectie en veroorzaken onzichtbare schade aan merkvertrouwen en gebruikersveiligheid: bezoekers krijgen pushmeldingen of nepadvertenties te zien die afkomstig lijken van een legitieme bron – jouw organisatie.

Lees meer over DNS-kwetsbaarheden en informatielekken als grote cyberrisico's in 2024

De vergeten verantwoordelijkheid van DNS-hygiëne

Veel IT-teams hebben prima monitoring voor actieve applicaties, maar DNS-records die verwijzen naar ‘oude’ clouddiensten blijven vaak buiten beeld. Subdomeinen als campaign2022.jouwbedrijf.nl of archive.assets.jouworganisatie.nl blijven in DNS bestaan, ook al zijn de onderliggende services beëindigd. Dat maakt ze tot een aantrekkelijke prooi voor aanvallers. 

Wat vaak ontbreekt: een centrale registratie en periodieke review van alle DNS-records in combinatie met cloudservices. Zeker bij organisaties die werken met meerdere teams of decentrale units ontstaat al snel een ‘shadow cloud’ van vergeten koppelingen. 

Hoe voorkom je misbruik van je subdomeinen?

  1. Voer een audit uit op inactieve DNS-koppelingen. Gebruik scripts of tools om DNS-records te matchen met nog actieve cloudresources. Een voorbeeld van zo'n tool is de AI-tool voor subdomeindetectie Subwiz, die organisaties helpt bij het identificeren van vergeten subdomeinen.  Alles wat geen dienst meer levert, moet worden verwijderd of omgeleid. 
  2. Zet monitoring op DNS-wijzigingen. Laat je security- of IT-team alerts instellen voor wijzigingen in subdomeinresolutie en zorg dat afwijkingen snel opvallen. 
  3. Beperk publieke blootstelling. Stel waar mogelijk restricties in op wie resources mag deployen én domeinkoppelingen mag configureren. Minder vrijheid betekent minder foutmarges. 
  4. Verhoog bewustzijn bij dev- en marketingteams. Leg uit waarom tijdelijke clouddiensten na afloop actief moeten worden ontmanteld – niet alleen gedeactiveerd. 
  5. Investeer in DNS-security-oplossingen. Tools zoals Infoblox of andere DNS-managementplatforms helpen bij het centraliseren, scannen en beveiligen van je DNS-landschap. 

Hazy Hawk is symptoom van een groter probleem

De werkwijze van Hazy Hawk legt een structurele zwakte bloot in cloud governance De activiteiten van Hazy Hawk zijn geen eenmalige dreiging, maar het zichtbare topje van een structurele kwetsbaarheid in modern IT-beheer. De kernvraag is dan ook: weet jij nog welke subdomeinen jouw merk online vertegenwoordigen – en wie daar controle over heeft? 

Zorg dus dat je grip houdt op je digitale infrastructuur. Niet alleen om reputatieschade te voorkomen, maar om te voorkomen dat cybercriminelen met jouw naam aan de haal gaan. 

Lees meer

Zscaler lanceert AI-beveiliging voor gevoelige data
Zscaler lanceert AI-beveiliging voor gevoelige data
CrowdStrike-cijfers tonen groei cybersecuritysector
CrowdStrike-cijfers tonen groei cybersecuritysector
Importheffingen verdelen Amerikaanse IT-sector
Importheffingen verdelen Amerikaanse IT-sector
AI in klantreis: jongeren gebruiken het voor advies
AI in klantreis: jongeren gebruiken het voor advies
Cyberdreigingen in 2025: wat ondernemers moeten weten
Cyberdreigingen in 2025: wat ondernemers moeten weten
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie