Cybercriminelen verleggen focus naar webapplicaties
In het laatste kwartaal van 2024 hebben cybercriminelen hun strategie aangepast, met een sterke focus op webapplicaties en ongepatchte, publiek toegankelijke toepassingen. Dat blijkt uit de analyse van alle incidenten die threat intelligence-organisatie Cisco Talos op zijn radar kreeg. Cybercriminelen zetten met name webshells in, schadelijke scripts om via webservers toegang te krijgen tot de computer van een slachtoffer. Daarmee veranderden ze ook het geweer van schouder, want voorafgaand aan dit kwartaal was misbruik van identiteit en legitieme accounts al meer dan een jaar de meest populaire aanvalsvorm. In 35 procent van de incidenten gebruikten cyberaanvallers open source en publieke webshells tegen kwetsbare of ongepatchte webapplicaties. Dat is een aanzienlijke stijging ten opzichte van het vorige kwartaal, toen deze aanvalstechniek minder dan 10 procent vertegenwoordigde.
Aandeel ransomware daalt, maar blijft erg groot
Het aandeel van ransomware binnen het aanvalsspectrum daalde dit kwartaal licht naar 30 procent, vergeleken met 40 procent eerder. Pas tegen het jaareinde was er opnieuw een toename van ransomware-aanvallen, met een opvallende rol voor onder andere RansomHub en vooral BlackBasta. Die aanvallers doen zich voor als IT-personeel om via social engineering toegang te krijgen tot het account van een werknemer en gevoelige informatie te stelen, die ze vervolgens ook versleutelen. Bij die dubbele afpersingsaanvallen zetten ze slachtoffers onder druk om hen twee maal te doen betalen. Het is een bedreiging die cybersecurity-experts in 2025 in de gaten moeten houden. Daarnaast kreeg Talos voor het eerst Interlock in het vizier.
De detectietijd voor ransomware varieerde dit kwartaal van ongeveer 17 dagen voor Interlock tot 44 dagen bij onder meer RansomHub. Langere detectietijden kunnen erop wijzen dat een cybercrimineel zijn aanvalsperimeter probeert uit te breiden, beveiligingsmaatregelen wil omzeilen en/of interessante gegevens wil identificeren voor exfiltratie. Bij een RansomHub-aanval hadden de criminelen al ruim een maand netwerktoegang voordat ze de ransomware activeerden.
In driekwart van de ransomware-aanvallen kregen de aanvallers toegang tot accounts met gestolen inloggegevens, vaak via gecompromitteerde admin-accounts. Een opvallende nieuwe techniek was het gebruik van een wachtwoordstealer om toegang te krijgen tot een backuptoepassing van Veeam. Opmerkelijk is dat bij alle getroffen organisaties multifactorauthenticatie (MFA) aanwezig was, maar niet goed geïmplementeerd of omzeild tijdens de aanval.
Toename van wachtwoordspraying
Sinds begin december 2024 merkt Talos meer aanvallen met wachtwoordspraying, die doen denken aan geautomatiseerde DDoS-aanvallen waarmee cybercriminelen websites ‘platleggen’. In een van de onderzochte incidenten telde Talos tot bijna 13 miljoen inbraakpogingen op gebruikersacccounts binnen 24 uur. Zulke aanvallen leiden tot de blokkering van accounts en geweigerde VPN-toegang.
“Wachtwoordspraying inzetten om toegang te krijgen tot aanmeldgegevens is niet nieuw”, verduidelijkt Jan Heijdra, Field CTO Security bij Cisco Nederland. “Het onderstreept het belang van MFA en een sterk wachtwoordbeleid. In bijna 40 procent van de incidenten van oktober tot het jaareinde was multifactorauthenticatie niet geïmplementeerd of fout geconfigureerd. En bij ransomware gold dit in alle gemelde gevallen. We blijven dan ook het belang van deze maatregelen benadrukken.”
In 15 procent van de door Talos onderzochte incidenten was een toepassing niet gepatcht, geüpdatet of niet langer ondersteund door de leverancier. In een kwart van de incidenten was er geen toestelbescherming geïnstalleerd of was de endpoint security verkeerd geconfigureerd.
Onderwijs blijft doelwit nummer 1
Bijna 30 procent van de aanvallen was gericht op onderwijsinstellingen, waardoor deze branche voor het tweede kwartaal op rij het meest getroffen blijft. Ook in het eerste kwartaal stond de onderwijssector bovenaan de meest getroffen sectoren.
Lees meer
