Het aantal cyberaanvallen is in het tweede kwartaal van 2023 aanzienlijk toegenomen ten opzichte van de periode januari-maart. Het gaat onder meer om meer datadiefstal en aanvallen met ransomware.
Dit blijkt uit cijfers uit het Quarterly Report van Cisco Talos Incident Response (Talos IR), onderdeel van BTG-partner Cisco. De afgelopen drie maanden reageerde Cisco Talos op een groeiend aantal incidenten van datadiefstal en afpersing waarbij geen gebruik is gemaakt van het versleutelen van bestanden of het inzetten van ransomware. Dit aanvalstype is met 25 procent gestegen sinds het vorige kwartaal, waardoor het de meest waargenomen bedreiging was.
Kwaadwillenden stelen bij dit soort aanvallen gegevens van slachtoffers en dreigen deze te lekken of te verkopen, tenzij het slachtoffer voldoet aan de gestelde eisen. Het inzetten van ransomware of het versleutelen van gegevens is bij deze aanvallen niet nodig. Dit verschilt van de dubbele-afpersingsmethode van ransomware, waarbij tegenstanders bestanden stelen en versleutelen en vervolgens betaling eisen van slachtoffers om een ontsleutelingssleutel te ontvangen.
Ransomware voor voor bijna zesde van de dreigingen
Ransomware was de op een na meest waargenomen dreiging in dit kwartaal en goed voor 17 procent van de incidenten. Dit is een lichte stijging ten opzichte van de 10 procent van het vorige kwartaal. In het tweede kwartaal zijn de bekende LockBit- en Royal-ransomware-families en de nieuwe 8base- en MoneyMessage-families veelvuldig waargenomen.
In lijn met de bevindingen uit het vorige kwartaalrapport van Talos IR blijkt dat de gezondheidszorg het vaakst getroffen wordt door cyberaanvallen. De sector is goed voor 22 procent van alle incidentrespons-opdrachten die Cisco Talos ontvangt. Na de zorgsector zijn de financiële sector en de nutsbedrijven (elektriciteit, olie en gas) het vaakst doelwit.
Vaak gecompromitteerde inloggegevens gebruikt
Bij de meeste incidenten waar Talos IR dit kwartaal op reageerde, kregen cybercriminelen aanvankelijk toegang door misbruik te maken van gecompromitteerde inloggegevens om toegang te krijgen tot geldige accounts. Het gebruik van geldige accounts werd waargenomen in bijna 40 procent van alle incidenten. Dit is een stijging van 22 procent ten opzichte van Q1 2023.
Het is moeilijk te zeggen hoe aanvallers de gecompromitteerde inloggegevens hebben verkregen die zijn gebruikt om toegang te krijgen tot geldige accounts. Er zijn verschillende manieren waarop inloggegevens gecompromitteerd kunnen raken, zoals datalekken bij derden, informatie-stelende malware zoals Redline en phishing-campagnes. De kans dat inloggegevens in handen van een aanvaller komen is vooral groot indien werknemers dezelfde inloggegevens voor meerdere accounts gebruiken, waarschuwt Cisco.
Naast het gebruik van geldige accounts om toegang te krijgen tot data is bij meer dan 50 procent van de aanvallen in dit kwartaal PowerShell gebruikt, Microsoft’s scriptplatform voor het automatiseren van taken en configuratiemanagement. Dit dynamische programma blijft populair bij cybercriminelen, onder andere door onzichtbaarheid, gemak en uitgebreide IT-beheermogelijkheden.
Zwakke punten in beveiliging
Cisco Talos benadrukt nadrukkelijk het belang van multifactorauthenticatie (MFA). Het ontbreken of onjuist implementeren van MFA in kritieke services speelde een rol in meer dan 40 procent van de incidenten waarop Talos IR dit kwartaal reageerde. In bijna 40 procent van de gevallen gebruikten cybercriminelen gecompromitteerde inloggegevens om toegang te krijgen tot geldige accounts, waarvan 90 procent geen MFA had.
In sommige gevallen wisten aanvallers MFA te omzeilen door middel van uitputtingsaanvallen. Hierbij probeert een aanvaller herhaaldelijk zich te verifiëren op een gebruikersaccount met geldige inloggegevens, waardoor de slachtoffers worden overspoeld met MFA pushmeldingen. De aanvaller hoopt dat de slachtoffers uiteindelijk toegeven en zich succesvol zullen verifiëren.
‘Blijf alert op verdachte digitale activiteiten’
“De bevindingen van Cisco Talos over de cyberdreigingen van Q2 benadrukken het belang van sterke wachtwoorden en het inschakelen van MFA (Multi-Factor Authentication) waar mogelijk,” aldus Jan Heijdra, security specialist bij Cisco Nederland. “Datadiefstal en ransomware aanvallen komen steeds vaker voor in verschillende sectoren. Het is en blijft daarom voor iedereen belangrijk om alert te blijven op verdachte digitale activiteiten.”
Petra Claessen, Voorzitter van BTG en Boardmember BTG Services: “Cyberdreigingen zijn continu in beweging, wat betekent dat ook de digitale beveiliging van bedrijven moet blijven evolueren. Cisco Talos Incident Response biedt ieder kwartaal inzicht in de nieuwste ontwikkelingen in het dreigingslandschap. De informatie uit dit rapport helpt bedrijven in te spelen op trends en ontwikkelingen in cybercriminaliteit, en helpt organisaties zo hun veiligheid naar een hoger niveau te tillen.”